Podczas procesu rekrutacji dochodzi do przetwarzania danych osobowych kandydatów do pracy zawartych w CV i listach motywacyjnych. Należy pamiętać, że po zakończeniu procesu rekrutacji osoby, które stworzyły robocze kopie tych dokumentów zobowiązane są je zniszczyć. Aby proces rekrutacyjny odbywał się zgodnie z RODO należy przestrzegać zasad przetwarzania danych osobowych zapisanych w art. 5 – w szczególności ograniczenia przechowywania, poufności i integralności oraz rozliczalności.
CZY PRACODAWCA MOŻE PRZECHOWYWAĆ CV PO ZAKOŃCZENIU PROCESU REKRUTACJI
W styczniu 2019 r. Ministerstwo Cyfryzacji podczas przeprowadzonej konferencji zaprezentowało objaśnienia wydane na podstawie tzw. „Konstytucji Biznesu”. Poruszono m.in. kwestię przechowywania CV przez pracodawcę po zakończeniu procesu rekrutacji. Ministerstwo Cyfryzacji stoi na stanowisku, że „przedsiębiorcy mogą zachowywać CV po zakończonej rekrutacji na wypadek ochrony przed przyszłymi ewentualnymi roszczeniami ze strony kandydatów, którzy nie zostali wybrani”. Jednak przepisy kodeksu pracy ani wydane na jego podstawie akty wykonawcze nie precyzują długości czasu przechowywania CV.
Ze stanowiskiem przyjętym przez Ministerstwo Cyfryzacji nie zgodził się Prezes UODO. W wydanym poradniku organ nadzorczy stwierdził, że „Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą”.
Do czyich zalecań należy się więc stosować? Poniekąd oba stanowiska mają sens. Dlaczego? Ponieważ zazwyczaj w proces rekrutacji zaangażowanych jest kilka osób z różnych komórek organizacyjnych, przechowują one CV w wielu egzemplarzach, w postaci plików zapisanych na komputerze lub wydruków. Tymczasem jeden (główny) egzemplarz może, a nawet powinien być przechowywany przez pracodawcę na wypadek roszczeń, o których wspomina Ministerstwo Cyfryzacji. Wobec pozostałych egzemplarzy należy stosować zalecenia Prezesa UODO i trwale usunąć je niezwłocznie po zakończeniu procesu rekrutacji. A najlepiej w ogóle nie tworzyć dodatkowych kopii, o czym więcej napisano poniżej z perspektywy bezpieczeństwa i rozliczalności.
Zasada ograniczenia przechowywania została określona w art. 5 ust. 1 lit. e RODO. Zgodnie z tą zasadą dane zbierane przez pracodawców podczas procesu rekrutacji muszą być „przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”. Prawodawca unijny, ani polski ustawodawca nie sprecyzowali konkretnego czasu przechowywania danych, pozostawiając swobodę oceny administratorowi. Pracodawca w tym przypadku ma dwa cele – przeprowadzenie rekrutacji oraz obrona przed roszczeniami, które mogą wystąpić w związku z rekrutacją. Zatem w tym drugim celu, gdy dane nie są już potrzebne dla realizacji pierwszego, jeden egzemplarz dokumentacji każdego z kandydatów może być przechowywany maksymalnie przez 3 lata.
NIE TYLKO BEZPIECZNE PRZECHOWYWANIE, ALE TEŻ UDOSTĘPNIANIE
Kolejna zasada z wymienionych na wstępie nakazuje zadbać o poufność i integralność danych. Zgodnie z nią „Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”. Przejawia się ona nie tylko w bezpiecznym przechowywaniu CV, ale także w jego udostępnianiu zgodnie z zasadą wiedzy koniecznej.
Nie zawsze proces rekrutacji prowadzi tylko jedna osoba. Zazwyczaj powoływany jest zespół odpowiedzialny za przeprowadzenie rekrutacji na konkretne stanowisko. Wówczas dokumenty kandydatów do pracy zwykle są rozsyłane pomiędzy osoby zaangażowane w ten proces. Najczęściej sporządza się w tym celu kopie dokumentów, które dodatkowo są drukowane. Jeśli osoby zaangażowane w proces rekrutacji wykonają jakiekolwiek robocze kopie, będą musiały zadbać o ich poufność i pamiętać o ich usunięciu po zakończeniu procesu.
Jeżeli przechowywanie i udostępnianie CV odbywa się w sposób niezgodny z regulacjami przyjętymi w organizacji lub gdy dojdzie do naruszenia ochrony danych osobowych, to konsekwencje ponosi w pierwszej kolejności administrator, czyli cała organizacja. Na przykład organ nadzorczy (czyli Prezes UODO) może nałożyć administracyjną karę pieniężną. Negatywne skutki (np. w postaci kary dyscyplinarnej lub wytoczenia powództwa cywilnego) mogą ponieść także pracownicy, którzy nie stosują się do obowiązujących w organizacji regulacji. Aby uniknąć tych konsekwencji na różnych poziomach warto zrezygnować z kopiowania CV. Dobrym rozwiązaniem jest umieszczenie dokumentu na wspólnym dysku, np. dysku sieciowym lub w środowisku chmurowym (np. MS Sharepoint / Teams) i udostępnienie linku do niego zaangażowanym w proces osobom.
Drukowanie CV lub wysyłanie kopii elektronicznych może doprowadzić do tego, że dokument dostanie się w niepowołane ręce. Rozsyłając link do dokumentu zamiast jego kopii, można tego uniknąć. Jeżeli link trafi do osoby spoza organizacji, to nie będzie ona mogła go otworzyć, ponieważ nie ma dostępu do żadnych plików umieszczonych w zasobach organizacji.
PAMIĘTAJ O ROZLICZALNOŚCI
W trakcie procesu rekrutacji nie wolno zapomnieć o zasadzie rozliczalności określonej w art. 5 ust. 2. Zgodnie z tą zasadą „Administrator jest odpowiedzialny za przestrzeganie przepisów (…) i musi być w stanie wykazać ich przestrzeganie”. Wykazanie rozliczalności staje się problematyczne w sytuacji przechowywania dokumentów w postaci wielu roboczych kopii w wersji papierowej. Pracodawca mógłby wykazać rozliczalność np. poprzez sporządzenie protokołu usunięcia CV, lecz bardzo trudno jest kontrolować wszystkie wytworzone kopie elektroniczne i papierowe. Znaczenie łatwiej jest udowodnić, że zamiast kopii pliku wysyłany był tylko link, a kopie nie były tworzone (w tym poprzez wydrukowanie). Wystarczy włączyć opcję „Blokuj pobieranie” w pliku umieszczonym w środowisku chmurowym, dzięki czemu osoby, którym zostanie od udostępniony nie będą widziały opcji pobierania, drukowania lub kopiowania pliku. Warto mieć to na uwadze i (jeśli jest taka możliwość) ograniczyć rozpowszechnianie CV kandydatów do pracy.