CV a zgoda na przetwarzanie danych osobowych – podstawa prawna
Zgodnie z przepisami RODO, czyli Rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. o ogólnej ochronie danych osobowych, w każdym przypadku przetwarzanie danych osobowych powinno odbywać się w oparciu o określoną podstawę prawną. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z warunków określonych w art. 6 RODO.
Przepisy rozporządzenia w ww. normie prawnej przewidują, że podstawą przetwarzania danych osobowych (m.in. w przypadku cv) może być:
- zgoda osoby, której dane dotyczą,
- przetwarzanie jest niezbędne do wykonania (lub zawarcia) umowy, której stroną jest osoba,
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (wyjątkiem w tym zakresie jest sytuacja, w której nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą).
Niewątpliwie, w przypadku procesów rekrutacyjnych na pierwszy rzut oka można mówić o prawnie uzasadnionych interesach administratora lub też wypełnieniu obowiązku prawnego, który ciąży na administratorze. W tych kwestiach może jednak wystąpić wiele wątpliwości, bowiem są to stwierdzenia “nieostre”, które każdorazowo trzeba poddać procesowi wykładni.
Z tego względu wiele przedsiębiorców- pracodawców decyduje się przetwarzać dane osobowe na podstawie zgody kandydata umieszczonej w CV. Zazwyczaj jednak zgoda ta wyrażona jest w formie gotowych klauzul dostępnych na wzorach CV (najczęściej w postaci: wyrażam zgodę na przetwarzanie moich danych osobowych…), czy zbierana przy użyciu portali z ogłoszeniami o pracę.
Jakie dane osobowe powinno zawierać CV?
W tym kontekście warto rozpatrywać przepisy RODO łącznie z przepisami polskiego kodeksu pracy. Są to w pewnych miejscach akty komplementarne. Mówiąc o podstawach prawnych przetwarzania danych osobowych w CV, warto zadać sobie pytanie, jakie dane powinno w ogóle zawierać CV?
W tym zakresie, zgodnie z art. 221 kodeksu pracy:
§ 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1)imię (imiona) i nazwisko;
2) datę urodzenia;
3) dane kontaktowe wskazane przez taką osobę;
4) wykształcenie;
5) kwalifikacje zawodowe;
6) przebieg dotychczasowego zatrudnienia.
Zwracamy uwagę na jedną szczególną frazę, mianowicie pracodawca żąda. Skoro przepisy prawa pracy są tak jednoznaczne w tym zakresie, uzasadnione wydaje się stwierdzenie, że jest to szczególny obowiązek prawny nakładany na pracodawcę. Tym samym podstawą przetwarzania danych osobowych w CV bez klauzuli o wyrażeniu zgody może być również wypełnienie obowiązku prawnego ciążącego na administratorze (vide art. 6 RODO).
Odrębnie jednak należy w tym kontekście rozpatrywać kwestię danych wrażliwych, którą w bardziej szczegółowy sposób również opisujemy poniżej.
Czy można procedować CV bez zgody na przetwarzanie danych?
Na samym początku warto wskazać, że w tym tekście poruszamy kwestię CV bez klauzuli o wyrażeniu zgody na przetwarzanie danych osobowych, a nie o CV procedowanym bez zgody kandydata. Nie ulega wątpliwości, że w przypadku rekrutacji kandydat musi wyrazić zgodę na przetwarzanie danych osobowych w określonej formie.
Wspomnieliśmy o formie wyrażenia zgody na przetwarzanie danych osobowych. Jest to aspekt, który warto dokładniej przeanalizować.
Zgodnie z motywem 32 RODO, zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, (…) która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia (…) lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Tym samym jasne jest, że zgoda na przetwarzanie danych nie musi być w formie pisemnej. Zgodą może być całokształt czynności poprzedzających przesłanie aplikacji, jeżeli okoliczności ich dokonania nie budzą żadnych wątpliwości.
W związku z powyższym- z perspektywy pracodawcy możliwe jest procedowanie CV bez klauzuli na przetwarzanie danych osobowych, pod warunkiem, że zgoda została wyrażona w inny, nawet dorozumiany sposób. Takim sposobem może być m.in przesłanie aplikacji, maila czy listu polecającego. Z drugiej strony pamiętajmy, że pracodawcy może być ciężko udowodnić (czy nawet sprawdzić) czy to kandydat przesłał aplikację i wyraził zgodę (a nie np. członek jego rodziny czy partner, potajemnie).
Zgodnie z przepisami warto pamiętać, że w razie ewentualnej kontroli, to przedsiębiorca musi wykazać, że przetwarza dane zgodnie z prawem. Z punktu widzenia bezpieczeństwa prawnego w przedsiębiorstwie, w wielu wątpliwych przypadkach warto podchodzić do tematu RODO w trakcie rekrutacji z należytą ostrożnością.
Oczywiście, najbardziej klarowne jest wyrażenie zgody w formie pisemnej czy dokumentowej. CV bez klauzuli i zgody na przetwarzanie danych osobowych nie musi byćjednak przez pracodawcę automatycznie skreślone (chyba, że zawiera tzw. dane wrażliwe).
Czym są dane wrażliwe i co jeżeli CV je zawiera?
Powyżej określiliśmy, jakie dane powinno zawierać CV. Co jednak, jeżeli kandydat umieścił w swojej aplikacji znacznie więcej danych, aniżeli to konieczne. Co jeśli (co gorsza) umieścił tam szczególne kategorie danych, określane jako dane wrażliwe?
W kontekście samych danych wrażliwych, ich kategoryzacji i obowiązków w zakresie przetwarzania odsyłamy do naszego tekstu: Czy PESEL to “dane wrażliwe”, czyli o przetwarzaniu danych osobowych szczególnej kategorii.
Zgoda na przetwarzanie danych osobowych wyrażona w sposób dorozumiany nie może się odnosić do przetwarzania danych wrażliwych. W tym zakresie zgoda powinna być wyrażona w sposób wyraźny, czyli samo przesłanie aplikacji nie wystarczy.
Co powinien zrobić pracodawca? Przede wszystkim niezwłocznie usunąć dane CV. Może ponadto poinformować kandydata o problemie, aby umożliwić mu wyrażenie zgody wprost (a nie w sposób dorozumiany).
Co zrobić z CV bez zgody po zakończeniu rekrutacji?
Powyżej opisaliśmy prawne aspekty rozpatrywania CV bez klauzuli RODO. Warto jednak zwrócić uwagę na jeszcze jedną kwestię- mianowicie na kwestię wykorzystywania (bądź usunięcia) CV po zakończeniu procesów aplikacyjnych.
Nie ulega wątpliwości, że większość klauzul (nawet publicznie dostępnych wzorców) zawiera również zgodę na przetwarzanie danych osobowych na potrzeby przyszłych rekrutacji. Jak w przypadku brakiem takiej klauzuli pracodawca powinien postąpić z aplikacją po zakończeniu danej konkretnej rekrutacji?
Kwestia ta może budzić wątpliwości, bowiem zgodnie z RODO, zgoda na przetwarzanie danych osobowych (w tym również zgoda udzielona w sposób dorozumiany) powinna być jednoznaczna. W praktyce najprostsze rozwiązania często są najbezpieczniejsze i najskuteczniejsze- zatem warto skontaktować się z kandydatem (np. w formie mailowej) i zapytać, czy jego CV może zostać pozostawione w bazie danych i wykorzystane na potrzeby przyszłych rekrutacji.
Alternatywnie, można go poinformować o określonym czasie przetwarzania danych. Co do zasady przedsiębiorca – pracodawca nie powinien przetwarzać danych zbyt długo. Można zatem poinformować o np. przetwarzaniu danych z CV przez 6-12 miesięcy od zakończenia rekrutacji. Nasza praktyka pokazuje, że ten okres nie jest zbyt nadmierny w ocenie Prezesa UODO i nie powinna narażaćprzedsiębiorcę na negatywne konsekwencje prawne.
Warto jednak pamiętać, że orzecznictwo i poglądy UODO mogą się zmieniać, warto zatem “wejśćw szczegóły” i przeanalizować najnowsze orzecznictwo, jeżeli w Państwa przedsiębiorstwie zajdzie potrzeba wykorzystania CV zebranych przy okazji poprzednich rekrutacji.
Podsumowanie- Czy zgoda do CV jest konieczna?
Klauzula o przetwarzaniu danych osobowych do CV to niewątpliwie jeden z ważniejszych jej elementów, bowiem w wielu przypadkach może przesądzić o kontakcie (lub jego braku) ze strony pracodawcy. Warto jednak wskazać, że nie jest to obligatoryjny element w kontekście RODO- w wielu przypadkach możliwe jest rozpatrzenie CV bez klauzuli – zgody na przetwarzanie danych osobowych. Kwestia może budzić jednak więcej problemów na gruncie praktycznym- np. co w przypadku zachowania CV w bazie na przyszłe rekrutacje czy co, jeżeli pracownik umieścił w CV “za dużo” danych. Jeżeli ta kwestia budzi Państwa wątpliwości, zachęcamy do kontaktu.
Pytania i odpowiedzi
Nie można przetwarzać CV bez zgody ze strony kandydata, aczkolwiek zgoda na przetwarzanie danych osobowych nie musi być wyrażona w formie klauzuli na dokumencie. W większości przypadków wyrażenie zgody może odbyć się w sposób dorozumiany, np. poprzez samo przesłanie maila z aplikacją.
Zgodnie z kodeksem pracy, CV nie powinno zawierać danych wrażliwych. W niektórych przypadkach pracownicy mogą umieszczać takie dane. Jeżeli pracodawca zidentyfikuje w CV dane wrażliwe, musi zwrócić szczególną uwagę na formę, w jakiej została wyrażona zgoda na przetwarzanie danych osobowych. Jeżeli chodzi o dane wrażliwe, zgoda musi być wyrażona wprost, nie może być wyrażona w sposób dorozumiany.
W zasadzie w dowolnej, nie ma w przepisach prawa jednej, z góry ustalone klauzuli. Z uwagi na kilka aspektów szczególnych, oraz minimalizację ryzyka problemów w razie ew. kontroli, warto zawrzeć zgodę na przetwarzanie danych osobowych w CV. Może ona zwiększyć szanse pracownika na pomyślną rekrutację, a pracodawcy ograniczyć wielu ryzyk prawnych.
Zaufali nam: