fbpx

Wyobraź sobie, że pewnego dnia na Twoją skrzynkę mailową trafia CV kandydata ubiegającego się o pracę w firmie, którą prowadzisz. Akurat masz wolną chwilę, więc od razu przeglądasz plik i już zastanawiasz się, czy w odpowiedzi wysłać grzeczną odmowę, czy zaproszenie na rozmowę kwalifikacyjną. Z zamyślenia wyrywa Cię szczegół, który odróżnia nadesłane CV od setek innych życiorysów, które miałeś okazję czytać – brak “żelaznej” formułki “Wyrażam zgodę na przetwarzanie moich danych osobowych …”. Czoło oblewa Ci zimny pot, bowiem jako świadomy przedsiębiorca słyszałeś przecież o RODO i wysokich karach za niezgodne z prawem przetwarzanie danych osobowych. Nim jednak zaczniesz obmyślać linię obrony, przeczytaj mój artykuł i dowiedz się, czy klauzula zgody w CV jest w ogóle potrzebna. 

Podsumowanie na start

Nie chcesz czytać całego artykułu? Zapoznaj się z naszym podsumowaniem poniżej:

 

  1. Podstawą przetwarzania danych osobowych zwyczajowo umieszczanych w CV nie jest zgoda, lecz prawny obowiązek ciążący na Tobie jako pracodawcy.
  2. Zgoda na przetwarzanie danych osobowych zawartych w CV może mieć formę nie tylko pisemnego oświadczenia, lecz także działania (np. przesłania CV potencjalnemu pracodawcy). Tak wyrażona zgoda może być podstawą przetwarzania w odniesieniu do danych, których nie obejmuje prawny obowiązek ciążący na pracodawcy.
  3. Zgoda wyrażona poprzez działanie nie wystarczy w sytuacji, w której CV zawiera “dane wrażliwe” – w razie braku wyraźnej zgody na ich przetwarzanie, powinieneś niezwłocznie je usunąć.
  4. Po otrzymaniu “niespodziewanego” CV, nie zapomnij o spełnieniu względem jego nadawcy obowiązku informacyjnego.
  5. Dane osobowe z CV otrzymanego poza prowadzoną rekrutacją możesz przetwarzać jedynie przez czas niezbędny do podjęcia decyzji o zaproszeniu kandydata na rozmowę kwalifikacyjną bądź odmowie zatrudnienia. Kandydat może jednak wyrazić zgodę na przetwarzanie danych przez dłuższy okres.

Na jakiej podstawie mogę przetwarzać dane osobowe jako pracodawca?

  1. Podstawą przetwarzania danych osobowych zwyczajowo umieszczanych w CV nie jest zgoda, lecz prawny obowiązek ciążący na Tobie jako pracodawcy.
  2. Zgoda na przetwarzanie danych osobowych zawartych w CV może mieć formę nie tylko pisemnego oświadczenia, lecz także działania (np. przesłania CV potencjalnemu pracodawcy). Tak wyrażona zgoda może być podstawą przetwarzania w odniesieniu do danych, których nie obejmuje prawny obowiązek ciążący na pracodawcy.
  3. Zgoda wyrażona poprzez działanie nie wystarczy w sytuacji, w której CV zawiera “dane wrażliwe” – w razie braku wyraźnej zgody na ich przetwarzanie, powinieneś niezwłocznie je usunąć.
  4. Po otrzymaniu “niespodziewanego” CV, nie zapomnij o spełnieniu względem jego nadawcy obowiązku informacyjnego.
  5. Dane osobowe z CV otrzymanego poza prowadzoną rekrutacją możesz przetwarzać jedynie przez czas niezbędny do podjęcia decyzji o zaproszeniu kandydata na rozmowę kwalifikacyjną bądź odmowie zatrudnienia. Kandydat może jednak wyrazić zgodę na przetwarzanie danych przez dłuższy okres.

Jednym z podstawowych założeń RODO jest uznanie przetwarzania danych osobowych za legalne jedynie wtedy, gdy odbywa się ono w oparciu o jedną ze ściśle określonych podstaw. Ich katalog (umieszczony w art. 6 RODO) wymienia m.in. zgodę, która w powszechnej świadomości jest uznawana za zasadniczą podstawę, na którą należy się powoływać w każdych okolicznościach. Jeżeli Ty również tak uważasz, pozwól, że wyprowadzę Cię z błędu, gdyż w rzeczywistości jest dokładnie na odwrót – zgoda powinna być przywoływana jedynie wówczas, gdy inne podstawy nie znajdują zastosowania. 

Jakie zatem podstawy wymienia art. 6? Oto one:

  1. zgoda osoby, której dane dotyczą;
  2. wykonanie umowy lub podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  3. wypełnienie prawnego obowiązku ciążącego na administratorze;
  4. ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. prawnie uzasadniony interes administratora lub strony trzeciej.

Która z tych podstaw najbardziej pasuje do Ciebie jako potencjalnego pracodawcy, który właśnie otrzymał CV? Aby uzyskać 100% pewność, trzeba uzupełnić przepisy RODO o szczególne regulacje dotyczące pracodawców, które znajdziesz w Kodeksie pracy. Odpowiedni przepis znajdziesz już na początku tej ustawy – jest nim art. 22(1) § 1, którego treść przytaczam poniżej:

Art. 22(1)
§ 1. Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych 1) osobowych obejmujących:imię (imiona) i nazwisko;
2) datę urodzenia;
3) dane kontaktowe wskazane przez taką osobę;
4) wykształcenie;
5) kwalifikacje zawodowe;
6) przebieg dotychczasowego zatrudnienia.

Z powyższego przepisu wynika, że przetwarzanie danych osobowych kandydatów do pracy jest obowiązkiem ciążącym na Tobie z mocy prawa. Świadczy o tym stanowcze sformułowanie “żąda”, które po wejściu w życie RODO zastąpiło mniej zdecydowaną frazę “ma prawo żądać”. Oznacza to, że jeżeli masz do czynienia z kandydatem ubiegającym się o zatrudnienie, możesz przetwarzać jego dane bez potrzeby uzyskiwania zgody – zastosowanie znajduje bowiem inna, bardziej adekwatna podstawa. 

Co w sytuacji, gdy CV zawiera “nadprogramowe” dane osobowe?

Kiedy po odłożeniu Kodeksu pracy już ogrania Cię ulga, nagle dostrzegasz, że CV zawiera także dane, które nie mieszczą się w ustawowym katalogu, np. numer PESEL. Zanim jednak znowu zaczniesz się martwić, wróć do art. 6 RODO i poszukaj innej podstawy, która mogłaby mieć do nich zastosowanie. Jeżeli nie masz pewności co do swojego wyboru, spieszę z wyjaśnieniem, że w tym przypadku podstawą przetwarzania danych kandydata jest … zgoda!

“Zaraz, zaraz, przecież w przesłanym CV brakuje właśnie zgody!” – próbujesz oponować. To prawda, lecz brak umieszczenia pisemnej zgody w treści CV nie oznacza, że w ogóle nie została wyrażona. W myśl RODO, zgoda oznacza bowiem “dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”. 

W sytuacji wysłania przez kandydata CV na Twój adres mailowy można bez większego ryzyka przyjąć, że zgodził się na przetwarzanie przez Ciebie zawartych w nim danych osobowych. Jest to zgodne także z przepisami Kodeksu pracy, który w art. 22(1a) wyraźnie dopuszcza zgodę jako podstawę przetwarzania “nadprogramowych” danych osobowych, przekazanych z inicjatywy kandydata.

Co w sytuacji, gdy CV zawiera “dane wrażliwe”?

Przepis art. 9 RODO zawiera zamknięty katalog szczególnych kategorii danych osobowych (danych wrażliwych), do którego należą:

  1. dane ujawniające:
    • pochodzenie rasowe lub etniczne, 
    • poglądy polityczne, 
    • przekonania religijne lub światopoglądowe, 
    • przynależność do związków zawodowych,
  2. dane genetyczne,
  3. danych biometryczne,
  4. dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Jeżeli otrzymane przez Ciebie CV zawiera dane mieszczące się w powyższych kategoriach i nie zawiera wyraźnej zgody na ich przetwarzanie (samo wysłanie CV w takim przypadku nie jest wystarczające), powinieneś je niezwłocznie usunąć. Możesz ewentualnie dodatkowo poinformować kandydata o takim problemie.

Osobną kategorią szczególnych danych osobowych są dane dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa, których nie możesz przetwarzać nawet wówczas, gdy kandydat wyraźnie się na to zgodzi (konieczne jest istnienie przepisu szczególnego, np. ustawowego wymogu zatrudniania wyłącznie osób niekaranych).

Czy po niespodziewanym otrzymaniu CV muszę spełnić obowiązek informacyjny?

Jak zapewne wiesz, przepisy RODO nakładają na podmiot pobierający dane osobowe (administratora) obowiązek przekazania osobie, której dane dotyczą, informacji określonych w art. 13 tego aktu. Powinieneś zatem jak najszybciej wysłać je na adres mailowy, z którego nadeszło CV – wystarczające będzie posłużenie się w tym celu stosowaną przez Ciebie polityką prywatności, jeżeli obejmuje ona również ten zakres danych i cel (jeżeli jej nie posiadasz, powinieneś poważnie zastanowić się nad jej wprowadzeniem). 

Więcej o polityce prywatności i obowiązku informacyjnym możesz przeczytać tutaj: https://www.prawowmodzie.pl/polityka-prywatnosci-jako-obowiazek-informacyjny-z-rodo/

Jak długo mogę przechowywać otrzymane CV? 

W sytuacji “typowej”, czyli otrzymania CV w związku z prowadzoną rekrutacją, możesz przetwarzać zawarte w nim dane aż do jej zakończenia.

Twoja sytuacja jest jednak “nietypowa”, bowiem CV wpłynęło do Ciebie mimo braku rekrutacji – jeżeli nie ma w nim żadnych oświadczeń dotyczących okresu przetwarzania danych osobowych, możesz robić to jedynie przez czas niezbędny do podjęcia decyzji o zaproszeniu kandydata na rozmowę kwalifikacyjną bądź odmowie zatrudnienia. Choć nie da się w tym przypadku wyznaczyć konkretnego okresu, nie powinien on przekroczyć kilku dni – zazwyczaj bowiem od razu będziesz wiedział, czy możesz pozwolić sobie na zatrudnienie kogoś nowego i czy chcesz to zrobić. 

Możliwa jest także sytuacja, w której chcesz zachować CV kandydata z myślą o ewentualnym zatrudnieniu go w przyszłości. W takim przypadku, powinieneś skontaktować się z kandydatem i uzyskać od niego zgodę na przedłużenie okresu przetwarzania danych np. do 1 roku. Nie wydłużaj niepotrzebnie tych terminów, pól roku, czy rok to wystarczająco długi okres.

Podsumowanie

Mam nadzieję, że niniejszym artykułem przekonałem Cię, że zgoda na przetwarzanie danych osobowych nie jest koniecznym elementem CV. De facto potrzebna jest ona jedynie wtedy, gdy w przesłanym dokumencie znajdują się dane niewymienione w Kodeksie pracy lub “dane wrażliwe”, a także gdy kandydat chce, aby jego dane były przetwarzane przez czas dłuższy, niż jest to niezbędne.

Mimo to, praktyka umieszczania w życiorysach zgód obejmujących przetwarzanie “zwykłych” danych osobowych jest tak głęboko zakorzeniona, że prawdopodobnie będziesz miał z nimi do czynienia jeszcze przez wiele lat.

Jeżeli jednak otrzymasz CV bez tego elementu, to po pierwsze – nie będziesz już obawiał się przetwarzać zawartych w nich danych, a po drugie – poznasz, że najpewniej masz do czynienia z prawnie świadomym kandydatem.  

Artykuł powstał przy współpracy prawników kancelarii Snażyk Korol Mordaka.

Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem prawnikiem w kancelarii Snażyk Korol Mordaka sp.k. Pomagam przedsiębiorcom i freelancerom z branży kreatywnej, a w szczególności mody i newtech. Prowadzę wiele projektów edukacyjnych dla branży kreatywnej. Bezpłatnie dzielę się wiedzą na tym blogu i kilku innych (...) Możesz do mnie pisać na a.szczudlo@skmlegal.pl.

More Posts - Website - Twitter - Facebook - LinkedIn - YouTube - Instagram

Pin It on Pinterest

Skip to content