Pracodawco, chroń dane osobowe kandydatów!

Każdy pracodawca poszukujący nowych osób do zespołu chce jak najlepiej poznać kandydatów, by wybrać tego jednego, spełniającego wszystkie wymagania. W tym celu firmy gromadzą mnóstwo dokumentów, życiorysów i kwestionariuszy osobowych. To oznacza, że wchodzą w posiadanie zbiorów danych osobowych, a te, jak wiadomo, są ściśle chronione przez polskie prawo. Czy pracodawca może przechowywać dane kandydatów? Jak długo mogą one znajdować się w bazie firmy?

Ściśle tajne. Czego można się dowiedzieć?

Szukanie pracowników wiąże się z przyjmowaniem i analizowaniem dokumentów aplikacyjnych. Informacje, których pracodawca może żądać od uczestników procesu rekrutacji są ściśle określone przez Kodeks pracy. W myśl art. 22 firma może żądać od kandydata następujących danych:

  1. imię (imiona) i nazwisko,
  2. imiona rodziców,
  3. data urodzenia,
  4. miejsce zamieszkania (adres do korespondencji),
  5. wykształcenie,
  6. przebieg dotychczasowego zatrudnienia,
  7. numer PESEL.

Żądanie od kandydatów innych informacji, takich jak wyznanie, preferencje seksualne czy plany rodzicielskie jest niezgodne z prawem. Tego typu informacje uznawane się bowiem za dane wrażliwe. Wyjątkiem jest zaświadczenie o niekaralności, ale to z kolei jest dopuszczalne tylko w określonych zawodach.

Dane pod ochroną

Polskie prawo szczególnie dba o ochronę danych osobowych. Już samo przechowywanie danych kandydatów jest traktowane jako ich przetwarzanie. To wiąże się z pewnymi obowiązkami względem administratora bazy danych, którym automatycznie staje się każdy pracodawca zbierający CV od kandydatów. Przede wszystkim musi on zapewnić szczególne bezpieczeństwo takich informacji czy to znajdujących się na poczcie e-mail, czy wydrukowanych i przechowywanych w teczkach. Warto wiedzieć, że firma oferująca zatrudnienie u siebie nie ma obowiązku zgłaszania bazy danych do Generalnego Inspektora Ochrony Danych Osobowych. Art. 43 ust. 1 punkt 4 ustawy o ochronie danych osobowych wyłącza z tego obowiązku właśnie takich pracodawców, ale firmy rekrutacyjnej budującej bazę kandydatów na własne potrzeby czy agencji pracy tymczasowej już nie. Te i inne podmioty powinny zarejestrować zbiór danych o kandydatach w GIODO, chyba że mają zgłoszonego i powołanego Administratora Bezpieczeństwa Informacji. Mogą wtedy skorzystać z wyjątku, o którym mowa w art. 43 ust. 1a ustawy o ochronie danych osobowych.

Środki ostrożności

W jaki sposób pracodawca jako administrator bazy danych powinien przechowywać dane o kandydatach gromadzone na potrzeby rekrutacji? Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. kładzie duży nacisk na zabezpieczenie takich dokumentów przed udostępnieniem ich osobom trzecim. Dostęp do informacji o osobach aplikujących na wolne stanowisko powinny mieć wyłącznie przedstawiciele firmy związani z procesem rekrutacji. Prawo nakazuje także, by administrator zbioru zapewnił należyte środki bezpieczeństwa podczas przechowywania danych o kandydatów. Chodzi o systemy alarmowe, ochronę i odpowiednie miejsce do gromadzenia dokumentów rekrutacyjnych. Dotyczy to również przechowywania danych osobowych w postaci cyfrowej. Pracodawca powinien zadbać, aby takie informacje były chronione np. przez oprogramowanie zapobiegające kradzieży danych przez cyberprzestępców lub innych pracowników.

Zgoda nie jest konieczna

Wielu pracodawców wymaga załączenia w CV klauzuli o ochronie danych osobowych. Coraz częściej taki zapis umieszczają w swoich dokumentach sami kandydaci. Co ciekawe, zgoda osoby, której te informacje dotyczą nie jest względem prawa wcale wymagana do przechowywania danych kandydatów. Pracodawca, który przechowuje i przetwarza dokumenty nie zawierające klauzuli podpisanej przez kandydata nie łamie prawa, o ile wykorzystuje je tylko do celów tej jednej rekrutacji, na którą aplikowano i ogranicza się do przetwarzania danych w zakresie dopuszczonym przepisami innej ustawy, niż ochrona danych osobowych. Chodzi o wspomniany wyżej §221 Kodeksu pracy. Często przedsiębiorstwa gromadzą CV odrzuconych kandydatów, by skorzystać z nich przy następnych rekrutacjach lub dzielą się zbiorami danych z innymi firmami. Do takich działań zgoda właściciela danych osobowych jest już niezbędna.

Zniszczyć czy przechować?

Dane kandydatów można przechowywać tylko na okres trwania konkretnego procesu rekrutacji. Po zakończeniu naboru zbiór należy trwale usunąć lub zwrócić dokumenty ich właścicielom. Pracodawca ma tu wybór, a kandydat nie może żądać ich odesłania, o ile nie są to oryginalne dokumenty (np. dyplomy). Jeśli firma zamierza przechowywać dane kandydatów, np. do kolejnego obsadzania stanowisk, to tylko pod warunkiem poinformowania kandydata i otrzymania od niego zgody na zachowanie dokumentów. Dane osobowe kandydatów do pracy muszą być przechowywane w sposób bezpieczny i poufny. Jeśli pracodawca nie dostosuje się do przepisów, to grozi mu odpowiedzialność karna. W przypadku gdy administrator danych udostępnia lub umożliwia do nich dostęp osobom nieupoważnionym, grozi mu kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. Jeśli działał nieumyślnie, to kara pozbawienia wolności może zostać zmniejszona do roku. Lepiej więc nie narażać siebie i innych, i zadbać o właściwie przechowywanie danych osobowych kandydatów do pracy.

Dodaj komentarz