Warunki wykonania tzw. „Background check” wobec kandydatów do pracy w sektorze usług IT.

Czy w Polsce możemy wykonać zgodnie z prawem sprawdzenie przeszłości kandydata do pracy (tzw. „Background check”)? Jakie istnieją ograniczenia i możliwości na tle przepisów polskiego prawa dla sprawdzenia kandydatów do pracy w sektorze IT? Które informacje o kandydacie może zweryfikować rekruter?

Background screening

Również określany jako Background check, to inaczej weryfikacja danych dotyczących kandydata, w tym dotyczących m.in. przeszłości zawodowej kandydata przeprowadzana w procesie rekrutacji. Coraz częściej usługi związane z prowadzeniem takiego sprawdzenia są oferowane przez zewnętrzne firmy obejmujące swoją działalnością również inne kraje członkowskie Unii Europejskiej, a także inne kraje świata. Warto jednak pamiętać, że państwa zwłaszcza poza UE mogą posiadać zupełnie inne standardy prawne niż te obowiązujące w UE dotyczące ochrony danych osobowych (RODO).

Background screening może przybierać różne formy, w tym np. potwierdzenia informacji o ukończonych studiach, sprawdzenia przeszłości finansowej (kredytowej) kandydata, weryfikacji danych osobowych zawartych w dowodzie tożsamości kandydata (rekrutacje prowadzone zdalnie), a często także (w związku z wymaganiami kontrahentów) weryfikacji niekaralności pracownika (poprzez uzyskiwanie zaświadczeń o niekaralności od kandydata do pracy). Oczywiście w tradycyjnym wydaniu „background check” dotyczy sprawdzenia informacji zawartych w CV i życiorysie, który kandydat przekazuje na etapie rekrutacji potencjalnemu pracodawcy.

Często zatem powierzając tego typu czynności powinniśmy sprawdzić, czy na gruncie prawa krajowego oferowane usługi przez podmioty działające na rynku, są zgodnie z zasadami RODO i prawa pracy dotyczącymi ochrony danych osobowych.

Zwróćmy także uwagę, że wewnętrzna weryfikacja kandydata w zakresie jego wiarygodności finansowej (czy nie posiada długów? Czy nie był karany?) może mieć znaczenie dla firm IT wykonujących usługi outsourcingu informatycznego dla banków (z uwagi na dostęp np. do danych objętych tajemnicą bankową). W tym zakresie kontrahenci mogą wymagać zwłaszcza, aby specjaliści świadczący usługi IT przedstawili odpowiednie zaświadczenia o niekaralności.

Co o prowadzeniu weryfikacji kandydata do pracy mówi polskie prawo i przepisy dotyczące ochrony danych osobowych w rekrutacji?

1. Katalog danych osobowych, które pracodawca może przetwarzania stosownie do wymogów prawa pracy jest ograniczony i obejmuje: imię (imiona) i nazwisko; datę urodzenia; dane kontaktowe wskazane przez kandydata do pracy. Natomiast dane dotyczące wykształcenia, kwalifikacji zawodowych, przebiegu dotychczasowego zatrudnienia mogą być przetwarzane, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Jest to katalog zamknięty, przy czym pracodawca może żądać podania innych danych osobowych niż określone powyżej, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
2. Nie ma zatem wyraźnej podstawy prawnej w kodeksie pracy do przetwarzania danych zbieranych w celu sprawdzenia przeszłości kandydata lub np. jego historii kredytowej (na stanowiskach związanych z odpowiedzialnością za powierzone mienie), czy np. wiarygodności informacji podanych w CV.
3. W powyższej sytuacji można jednak rozważyć przetwarzanie danych na podstawie zgody kandydatów (prawo pracy na to pozwala), jednak tu też istnieją ograniczenia, gdyż brak zgody pracownika lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie lub pracownika, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę.
4. Powyższe oznaczałoby, że gdyby pracodawca w praktyce zamierzał prowadzić background check w oparciu o zgodę kandydatów to powinien on równorzędnie traktować kandydatów do pracy, którzy np. odmówili wyrażenia zgody na przeprowadzenie background check, a także kandydatów, którzy wycofali zgodę na przetwarzanie ich danych osobowych w trakcie rekrutacji (co jest prawem każdej osoby).
5. Tym samym informacje uzyskane w toku weryfikacji kandydatów mogą okazać się bezużyteczne, gdyż pracodawca, chociaż uzyskał pewne informacje o kandydatach, nie może ich brać pod uwagę (np. z powodu wycofania zgody). Warto tym samym zauważyć, że także z uwagi na prezentowane stanowiska przez Urząd Ochrony Danych Osobowych często weryfikacja wiarygodności danych podawanych przez kandydatów, czy też ich przeszłości jest na gruncie polskiego prawa utrudniona.
6. Czy to oznacza, że np. spółka, której bank powierzył w drodze pisemnej umowy świadczenie usług IT (np. rozwój aplikacji bankowej) nie może zweryfikować niekaralności kandydata, który będzie posiadał dostęp do danych poufnych (np. informacji o finansach klientów banków objętych tajemnicą bankową)? Należy zauważyć, że podstawę do uzyskania zaświadczenia o niekaralności można znaleźć w przepisach ustawy z dnia 12 kwietnia 2018 r. o zasadach pozyskiwania informacji o niekaralności osób ubiegających się o zatrudnienie i osób zatrudnionych w podmiotach sektora finansowego. Przepisy ustawy przewidują możliwość prowadzenia „criminal check” przez podmioty sektora finansowego wymienione w ustawie. Za podmiot sektora finansowego uznawany jest w rozumieniu ustawy m.in. przedsiębiorca mający siedzibę na terytorium państwa członkowskiego, któremu bank, w drodze umowy, powierzył wykonywanie czynności, zgodnie z art. 6a ust. 1 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe. Zgodnie z zawartym odesłaniem ustawa pozwala na uzyskanie zaświadczenia o niekaralności od specjalisty IT, gdy podmiot dokonujący tego sprawdzenia, na podstawie pisemnej umowy z bankiem wykonuje czynności faktyczne związane z działalnością bankową (obejmuje to outsourcing niektórych usług programistycznych wykonywanych przez inżynierów IT).
7. A co w sytuacji, gdy w związku z prowadzoną rekrutacją w formie zdalnej potrzebujemy sprawdzić dane kandydata takie jak imię, nazwisko lub datę urodzenia? Zgodne z przepisami prawa pracodawca może żądać udokumentowania danych osobowych kandydatów lub pracowników w zakresie niezbędnym do ich potwierdzenia (czyli wykonać tzw. „ID check”). Należy też zauważyć, że na etapie rekrutacji nie może być pozyskiwany m.in. numer dokumentu tożsamości oraz numer PESEL, a także nie można przetwarzać innych danych zawartych w dokumencie tożsamości, a także ich przechowywać – w tym zwłaszcza w formie kopii lub skanu (stosownie do wytycznych Urzędu Ochrony Danych Osobowych). Wobec powyższego, jeśli chcemy taki proces przekazać „na zewnątrz” to należy zapewnić, że dane z dokumentów tożsamości nie będą przetwarzane z naruszeniem zasady minimalizacji przetwarzania danych i nie będą niepotrzebnie sporządzane kopie dokumentów tożsamości, a także zawrzeć z podmiotem, który realizuje usługę na rzecz przedsiębiorcy stosowną umowę powierzenia przetwarzania danych zgodną z przepisami RODO.