Autor: LexDigital Sp. z o.o.
Punkt poradnika
2.1
Uwagi
Należy wykreślić z katalogu danych, które pracodawca może żądać od kandydata: imiona rodziców oraz adres zamieszkania. Zbieranie tych danych wydaje się nadmiarowe i nie znajduje poparcia w art. 221 §1 KP.
Punkt poradnika
2.2
Uwagi
Należy określić czy, w sytuacji, w której pracodawcy zostaje polecony kandydat, a wraz z poleceniem otrzymuje CV, jednak pracodawca nie decyduje się na kontakt
z poleconym kandydatem, pracodawca powinien spełnić obowiązek informacyjny wobec poleconego kandydata (art. 14 RODO)?
Punkt poradnika
2.3
Uwagi
Wydaje się, że zamieszczenie w CV danych szczególnej kategorii z własnej inicjatywy kandydata można traktować jakoś wyraźną zgodę (vide art. 9 ust. 1 lit. a RODO). Uzyskiwanie zgody post factum nie wydaje się rozwiązaniem właściwym, bowiem i tak dochodzi wcześniej do przetwarzania danych
Punkt poradnika
3.2
Uwagi
Twierdzenie, iż podczas procesu rekrutacyjnego źródłem informacji, które dotyczą przebiegu pracy zawodowej, powinien być sam kandydat, prowadzi do istotnego zaburzenia pomiędzy interesami pracodawcy a interesami kandydatów. Podobnie, uzależnianie pozyskiwania informacji od poprzedniego pracodawcy od zgody kandydata. Takie działania powinny być możliwe w oparciu o prawnie uzasadniony interes administratora, który polega m.in. na efektywnej rekrutacji, pozyskaniu odpowiedniego, dającego rękojmię prawidłowego wykonywania obowiązków kandydata. W szerszym ujęciu, bardziej wnikliwa weryfikacja kandydata zapewnia również odpowiednią konkurencję pomiędzy kandydatami.
Zwrócić jednocześnie należy uwagę, że podstawy prawne przetwarzania danych w rekrutacji i zatrudnieniu nie są ograniczone wyłącznie do podstaw wynikających
z KP. Ustawodawca, co wynika z uzasadnienia projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dopuszcza również stosowanie ogólnych podstaw przetwarzania z art. 6 i 9 RODO.
Punkt poradnika
3.3.
Uwagi
J.w. Wyłączenie prawnie uzasadnionego interesu administratora jako podstawy prawnej przetwarzania, nie znajduje podstaw w przepisach KP (brak wyraźnego wyłączenia), a nadto nie jest zgodne z intencja ustawodawcy.
Punkt poradnika
3.4-3.5
Uwagi
W świetle orzeczenia Naczelnego Sądu Administracyjnego (III OSK 2700/22) należy uznać, że przetwarzanie danych osobowych kandydatów do pracy jest dozwolone przez okres 3 lat, aż do upływu terminu przedawnienia potencjalnych roszczeń związanych z dyskryminacją lub nierównym traktowaniem.
Punkt poradnika
3.11
Uwagi
Uznanie za niedopuszczalne gromadzenia przez pracodawców i agencje rekrutacyjne informacji zamieszczanych przez kandydatów do pracy na swój temat w mediach społecznościowych i innych ogólnodostępnych źródłach jest zbyt daleko idące. Wydaje się, że gromadzenie takich danych jest możliwe (w oparciu o prawnie uzasadniony interes), pod warunkiem weryfikacji warunków i polityki prywatności konkretnego portalu. O ile ustawienia prywatności konkretnego portalu pozwalają na stwierdzenie, że publikacja/udostępnienie informacji na temat konkretnej osoby wynika z jej woli, a nadto, że informacje te są dostępne dla innych użytkowników, można przyjąć, że pozyskiwanie takich informacji jest prawnie dopuszczalne.
Punkt poradnika
4.1.2
Uwagi
Wydaje się, że zgoda na umieszczenie zdjęć pracowników na identyfikatorach nie jest prawidłowa podstawą w niektórych przypadkach. Niektóre zakłady pracy ze względów bezpieczeństwa mają prawnie uzasadniony interes w przetwarzaniu wizerunku pracowników na identyfikatorach.
Punkt poradnika
4.2.4
Uwagi
Wydaje się, że zgoda (art. 6 ust. 1 lit. a) jest właściwą podstawą prawną przetwarzania danych, ale wyłącznie w zakresie samego przystąpienia pracownika do określonego benefitu. Zbieranie dodatkowej zgody na udostępnienie danych jest bezcelowe. Pracodawca uzyskawszy zgodę na przystąpienie pracownika do określonego benefitu ma podstawę do udostępnienia danych dostawcy benefitu (dostawca benefitu jest wówczas odbiorcą danych, o którym pracodawca powinien poinformować w klauzuli informacyjnej).