Prowadzenie programów poleceń pracowniczych, a kwestie RODO

Współcześnie prowadzenie efektywnej i wydajnej rekrutacji wymaga wdrożenia odpowiednich rozwiązań zarówno na poziomie organizacyjnym, jak i prawnym.

Należy pamiętać, że jasne określenie celów, oczekiwań wobec kandydatów, a także przejrzysta komunikacja z kandydatem pozwala niejednokrotnie nie tylko na dotarcie do odpowiednich osób na rynku pracy, ale także pomoże zbudować korzystny wizerunek zatrudniającej firmy lub organizacji.

 Jednym ze sposobów usprawnienia procesów rekrutacyjnych, a także zagospodarowania potencjału wśród potencjalnych kandydatów jest wdrożenie w organizacjach programów poleceń pracowniczych.

O jakich kwestiach prawnych powinniśmy pamiętać uruchamiając i prowadząc programy rekomendacji pracowniczych w firmie?

1. Przygotowanie procedury. Wdrożenie systemu poleceń pracowniczych opiera się zwykle na przyjęciu procedury regulującej prawa i obowiązki pracodawcy oraz osób polecających (w tym np. otrzymania wynagrodzenia za polecenie zakończone zatrudnieniem). Pamiętać należy, że podczas stosowania procedury organizator procesu przetwarza dane zarówno polecających, jak i polecanych osób. Tym samym należy zabezpieczyć stosując odpowiednie środki organizacyjne i techniczne dane jednej i drugiej kategorii uczestników procesu. Kwestie te mogą znaleźć wyraz w obowiązujących dokumentach regulujących przetwarzanie danych do celów HR lub klauzulach informacyjnych.
2. Podstawa przetwarzania. Zgoda. W przypadku poleceń pracowniczych tj., gdy aplikacje są przekazywane w sposób pośredni konieczne jest określenie właściwej podstawy przetwarzania danych. Zakres danych osobowych zawartych w standardowych aplikacjach o pracę (CV lub LM) wykracza często poza ten wynikający z art. 22(1) kodeksu pracy. Dlatego dane te pracodawcy przetwarzają na podstawie zgody kandydata do pracy, która zgodnie z definicją z art. 4 pkt 11 RODO może polegać także na „wyraźnym działaniu potwierdzającym” aplikującego (dotyczy to np. przypadku podań składanych drogą e-mail). W przypadku polecenia kandydata trudno jest często określić, czy kandydat w sposób niebudzący wątpliwości wyraża zgodę na wzięcie go pod uwagę w procesie naboru do pracy. Konieczne zatem może być przygotowanie właściwego formularza zgody, który kandydat powinien przekazać do pracodawcy np. za pośrednictwem osoby polecającej.
3. Obowiązek informacyjny. Ważnym elementem prawidłowej rekrutacji z perspektywy RODO jest stosowanie prawidłowych informacji o przetwarzaniu danych osobowych (tzw. klauzul informacyjnych). Dokumenty obejmujące te informacje powinny być zgodne z art. 13 oraz art. 14 RODO oraz określać m.in. tożsamość administratora danych osobowych, cele przetwarzania, podstawy przetwarzania, odbiorców danych itd. Nie należy bagatelizować wskazanego obowiązku – może on w wielu okolicznościach być decydujący dla przesądzenia, że dany proces rekrutacyjny jest zorganizowany zgodnie z przepisami Kodeksu pracy lub przepisami o ochronie danych osobowych.
4. Komunikacja z kandydatem. Informacje o przetwarzaniu muszą być przekazywane w sposób zapewniający przejrzystość i transparentność komunikacji z kandydatem do pracy. Komunikowanie informacji o przetwarzaniu może następować w tradycyjny sposób lub drogą elektroniczną (co przy obecnych narzędziach rekrutacyjnych jest najczęstszym przypadkiem). Pamiętajmy, aby kandydat miał możliwość zapoznania się ze wskazanymi powyżej informacjami podczas aplikowania, więc w przypadku polecenia – stosownie do wymogów art. 14 RODO – informacje należy przesłać lub przekazać kandydatom również, gdy dane nie są zbierane bezpośrednio od osoby, której dane dotyczą (np. poprzez przesłanie klauzul drogą e-mail po otrzymaniu aplikacji od polecającego wraz danymi do kontaktu z kandydatem). Wskazać przy tym też należy, że odpowiednie klauzule mogą zostać umieszczone np. na stronie internetowej organizacji prowadzącej rekrutację – miejmy zatem pewność, że te dokumenty spełniają kryteria wynikające z art. 12 RODO tj. są przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, a także uwzględniają informację o źródle zebranych danych jeśli aplikacje polegają na przekazaniu przez osobę polecającą (zgodnie z art. 14 ust. 2 pkt f. RODO).
5. Rekrutacje wewnętrzne. W przypadku rekrutacji z udziałem naszych aktualnych pracowników (np. w związku z możliwą zmianą stanowiska lub awansem) trzeba mieć na względzie, że jesteśmy już administratorem danych osób w nich uczestniczących. Oznacza to, że przetwarzanie danych aktualnego pracownika w związku z jego awansem lub przeniesieniem na inne stanowisko może być zgodne z pierwotnym celem przetwarzania, więc w zależności od okoliczności danego przypadku obowiązki administratora w związku z uruchomieniem wewnętrznego systemu poleceń, nie będą już tak liczne. Należy jednak zwrócić uwagę szczególnie na sytuację zmiany podmiotu, który zatrudnia pracownika (inna spółka z grupy kapitałowej) i w związku z tym m.in. na kwestie przekazywania danych np. poza EOG (i związanego z tym obowiązku wdrożenia instrumentu legalizującego przekazanie danych), czy też zmiany zakresu przetwarzanych danych osobowych kandydatów w wewnętrznych procesach. Możliwe jest także, że spółki z grupy kapitałowej, do których prowadzony jest nabór występują jako współadministratorzy danych zgodnie z art. 26 RODO, co wiąże się z koniecznością zapewnienia, iż przyjęte zostały między nimi „wspólne uzgodnienia współadministratorów”, które będa określają zwłaszcza sposób wywiązania się z obowiązków informacyjnych wobec osób będących pracownikami lub kandydatami do pracy oraz tryb realizacji praw osób, których dane dotyczą określone w przepisach art. 15-22 RODO (które stosownie do przepisów może być realizowane wobec każdego z administratorów).
6. Lokalne przepisy, a globalne polityki. Wdrożenie prawidłowych zasad prowadzenia rekrutacji, w tym poleceń pracowniczych wymaga często uwzględnienia specyfiki lokalnych przepisów o ochronie danych osobowych. Oznacza to konieczność uszczegółowienia globalnych zasad przetwarzania, tak aby były one zgodne z wymogami np. obowiązującego w Polsce kodeksu pracy (dotyczy to spółek prowadzących działalność na terytorium Polski). Nie wolno w tym kontekście także zapominać, że dane szczególnych kategorii pracodawca może pozyskiwać wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika. Nie należy także zapominać o obowiązkach związanych z nadaniem upoważnień do przetwarzania dla managerów lub specjalistów z działu kadr, gdyż taki obowiązek jest wyrażony nie tylko w przepisach RODO, ale również mówią o tym przepisy art. 22 (1b) § 3 kodeksu pracy (w przypadku przetwarzania danych szczególnych kategorii z art. 9 wymagane jest „pisemne upoważnienie”). Ponadto polityki, klauzule informacyjne, czy procedury powinny respektować obowiązujące wytyczne polskiego organu nadzoru, czyli Prezesa Urzędu Ochrony Danych Osobowych, a także zostać sformułowane w języku polskim.
7. Retencja. Nie ulega wątpliwości, że bardzo ważnym elementem prowadzonych procesów rekrutacyjnych, w tym opartych na poleceniach, jest respektowanie zasady ograniczenia czasu przechowywania danych osobowych. W tym zakresie należy mieć na uwadze m.in. fakt, iż pracodawcy są uprawnieni do zachowania w swoich zasobach danych pochodzących z procesów rekrutacyjnych także w związku z obroną przed roszczeniami (np. zarzutem o dyskryminację). W najnowszym orzecznictwie prezentowany jest w szczególności pogląd, że dane w takich przypadkach mogą być przechowywane przez okres do trzech lat. Oznacza to, że organizacje nie muszą usuwać danych natychmiast po zakończeniu rekrutacji (lub w przypadku, gdy została wyrażona zgoda na cele przyszłych rekrutacji – po okresie przechowywania, który ta zgoda obejmuje). Nie oznacza to jednak, że dane przez podany czas mogą być przetwarzane w dowolnym celu, gdyż zasada ograniczenia przechowywania powinna być stosowana w związku z zasadą ograniczenia celu przetwarzania (czyli dane mogą być przetwarzane w konkretnych, wyraźnych i prawnie uzasadnionych celach).
8. Inne obowiązki administratora. Przygotowując proces w organizacji, który obejmuje przetwarzanie danych osobowych należy pamiętać, że każdy pracodawca powinien stosować się do zasad wynikających z art. 25 RODO, czyli powinien uwzględnić ochronę danych osobowych już w fazie projektowania przetwarzania (Privacy by design), a ochrona danych musi już u swoich podstaw powinna obejmować domyślną ochronę danych osobowych (Privacy by default). Tym samym właściwe zabezpieczenie danych i realizacja zasad ochrony danych nie może być opcją lub zależeć od decyzji osoby, której dane osobowe będą zbierane, lecz powinny być „wbudowane” w proces i przemyślane, co do swoich założeń i celów. Nie należy także zapominać, że gdy zamierzamy posiłkować się np. metodami zautomatyzowanego przetwarzania w tym profilowania,  konieczne jest zapewnienie kandydatowi możliwości wyrażenia sprzeciwu, gdy ten proces nie będzie oparty o zgodę. Kwestie te powinny także znaleźć wyraz w analizie ryzyka wykonanej przed rozpoczęciem wdrażania nowej procedury rekrutacyjnej, w tym opartej na poleceniach pracowniczych. Pozwoli to już na samym początku zidentyfikować potencjalne ryzyka przetwarzania, które w wyniku wdrożenia środków zaradczych pozwolą zabezpieczyć dane przed zagrożeniami i upewnić się, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO. Jednocześnie, gdy korzystamy z usług współpracujących dostawców IT do celów rekrutacyjnych to należy zawrzeć odpowiednie umowy zgodnie z art. 28 RODO, gdy podmiot ten przechowuje dane zebrane w celach przez nas określonych, a także dostarczyć odpowiednie informacje o przetwarzaniu lub zweryfikować i dostosować stosowane na współpracującej platformie klauzule zgód, aby odpowiadały aktualnie obowiązującym przepisom i wytycznym.