Osoby poszukujące pracy przekazują potencjalnym pracodawcom szereg informacji w celu przeprowadzenia procesu rekrutacyjnego. Zakres danych, których może żądać pracodawca na etapie rekrutacji, został określony w art. 221 § 1 kp.
Pracodawca na podstawie art. 221 § 1 kp na etapie rekrutacji może żądać następujących danych:
imię i nazwisko,
imiona rodziców,
data urodzenia,
miejsce zamieszkania,
wykształcenie,
dane o przebiegu dotychczasowego zatrudnienia oraz
dane wynikające z art. 221 § 4 kp.Pracodawcy, którzy jednocześnie na podstawie uodo są administratorami danych, mają obowiązek realizacji jej przepisów, w tym w zakresie:
realizacji obowiązków informacyjnych,
obowiązku zabezpieczenia danych oraz
prowadzenia odpowiedniej dokumentacji.Niekiedy pracodawcy przeprowadzają rekrutację ukrytą. Pod tym pojęciem kryje się proces rekrutacji, w którym potencjalni kandydaci nie są informowani, kto jest administratorem danych. Należy zatem przeanalizować, czy przetwarzanie danych osobowych w takich sytuacjach jest zgodne z przepisami o ochronie danych osobowych.
Dlaczego są prowadzone rekrutacje ukryte?
Administratorzy danych umieszczają ogłoszenia o pracę w prasie, serwisach społecznościowych lub serwisach ogłoszeniowych. Z treści tych ogłoszeń nie wynika, kto jest administratorem danych, ponieważ wykorzystywane są serwisy internetowe, które nie ujawniają danych administratora wystawiającego ogłoszenie. Wskazany adres e-mail, na który mają być przesyłane aplikacje, również nie umożliwia identyfikacji pracodawcy.
Prowadzenie rekrutacji w takiej formie może być realizowane z różnych przyczyn. Celem administratorów danych może być chęć budowy bazy potencjalnych kandydatów lub badanie rynku pod kątem dostępności i ogólnych kwalifikacji potencjalnych pracowników. Innym powodem jest chęć ukrycia informacji o prowadzonych rekrutacjach przed samymi pracownikami administratora danych z uwagi na możliwość przeprowadzenia zwolnień pracowniczych lub po to, aby ukryć podejmowane działania przed podmiotami konkurencyjnymi.
Należy pamiętać o tym, że dane osobowe kandydatów mogą być również zbierane w celach przestępczych, takich jak kradzież tożsamości, zapisywanie do płatnych usług oraz otwieranie kont bankowych na tzw. „słupa” do prania brudnych pieniędzy.
Rekrutacja ukryta bezpośrednia
Przez pojęcie rekrutacji ukrytej bezpośredniej należy rozumieć taki rodzaj rekrutacji, w której dane osobowe trafiają wyłącznie do docelowego administratora danych osobowych – bez pośrednictwa jakichkolwiek innych podmiotów, np. agencji rekrutacyjnych lub platform służących do przeprowadzania rekrutacji.
Administrator danych, zbierając dane bezpośrednio od osoby, której one dotyczą, musi zrealizować obowiązek informacyjny (art. 24 uodo). Obowiązek ten musi zostać spełniony przed rozpoczęciem przetwarzania danych osobowych kandydata, czyli w momencie poprzedzającym wysyłkę jego aplikacji na stanowisko pracy.
Dość często administratorzy danych próbują realizować obowiązek informacyjny w formie niżej przedstawionej klauzuli, która została przekopiowana z serwisu rekrutacyjnego: „Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji (zgodnie z Ustawą z dnia 29.08.1997 roku o Ochronie Danych Osobowych; tekst jednolity: Dz. U. 2016 r. poz. 922)”.
Zastosowanie takich zapisów jest niezgodne z przepisami uodo. Obowiązek informacyjny musi być zrealizowany w sposób kompletny, czyli administrator danych nie może pomijać poszczególnych wymogów informacyjnych z art. 24 ust. 1 uodo, w szczególności takich, jak cel przetwarzania lub pełna nazwa i adres siedziby administratora danych.
Przedstawiona klauzula informacyjna zawiera rażące braki formalne:
nie został wskazany administrator danych (art. 24 ust. 1 pkt 1 uodo);
brakuje informacji o celu przetwarzania danych oraz przewidywanych odbiorcach lub kategoriach odbiorców (art. 24 ust. 1 pkt 2 uodo);
nie ma informacji o prawie dostępu do treści swoich danych oraz ich poprawienia (art. 24 ust. 1 pkt 3 uodo);
brakuje informacji o dobrowolności podania danych (art. 24 ust. 1 pkt 4 uodo).Wyrażenie zgody na przetwarzanie danych przez osobę, której one dotyczą, nie jest tożsame ze spełnieniem obowiązku informacyjnego przez administratora danych. Na gruncie uodo to dwie zupełnie różne instytucje.
W takim przypadku dochodzi do naruszenia przepisów o ochronie danych osobowych na płaszczyźnie realizacji obowiązku informacyjnego oraz w sferze możliwości wykonywania przez podmiot danych swoich uprawnień w zakresie kontroli przetwarzania jej danych, o których mowa w art. 32 i n. uodo.Rekrutacja ukryta pośrednia
To taki typ rekrutacji, w której administrator danych wykorzystuje pośrednictwo innych podmiotów. W tym przypadku należy rozważyć dwie sytuacje prawne. Z pierwszą z nich mamy do czynienia, gdy pracodawca rekrutuje za pośrednictwem agencji rekrutacyjnej, która przeprowadza wstępną selekcję kandydatów i udostępnia ich dane osobowe administratorowi danych. W tym przypadku występuje dwóch administratorów danych, gdzie pierwszym z nich jest agencja rekrutacyjna, a drugim potencjalny pracodawca.
http://www.abi-expert.pl/wydania/lipiec-wrzesien-2017/art,1783,rekrutacje-ukryte.html