Jak nie formułować zgód

Jak nie formułować zgód na przetwarzanie danych osobowych w procesie rekrutacji pracowników.

Choć od przyjęcia do stosowania RODO minęło już kilkanaście miesięcy, w klauzulach stosowanych na potrzeby rekrutacji wciąż powielane są te same błędy. Poniżej przytoczono i omówiono przypadki błędnych klauzul wraz ze wskazaniem konkretnych błędów oraz ich omówieniem.

Na wstępnie należy zaznaczyć, że traktowanie zgody na przetwarzanie danych osobowych jako zabezpieczenia „na wszelki wypadek” to błąd, który może kosztować konkretne pieniądze – przekonała się o tym firma doradcza z Grecji, na która organ nadzorczy nałożył 150 tysięcy euro (ok. 0.3 % rocznego obrotu – LINK)  właśnie za „podstawianie” pracownikom do podpisu klauzuli zgody w sytuacji, gdy właściwa była inna podstawa prawna (niezbędność do wykonania umowy, uzasadniony interes oraz realizacja obowiązków wynikających z przepisów prawa).

Przykład 1:

Spółka zamieszcza w serwisie internetowym ogłoszenie o naborze, które zakończone jest fragmentem:

„Prosimy o dopisanie na swojej ofercie następującej klauzuli: Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w mojej ofercie pracy dla potrzeb niezbędnych do realizacji wszystkich procesów rekrutacji realizowanych przez ABC sS. z o.o.(zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z ogólnym rozporządzeniem o ochronie danych 679/16 (RODO)”

Na czym polega błąd?

Zgoda na przetwarzanie danych osobowych, w rozumieniu wytycznych WP 259 jest zawsze dobrowolna i odwoływalna – może być wyrażona wyłącznie jako „dodatek” –  a gdy od podania danych uzależniamy np. udział w procedurze rekrutacyjnej to ze swej istoty wyklucza to dobrowolność – w omawianym przypadku pracodawca, poprzez zamieszczenie w ogłoszeniu komunikatu skierowanego do wszystkich przesądza, że podstawą prawną do przetwarzania danych wszystkich osób rekrutowanych jest zgoda – nie ma więc elementu dobrowolności, skoro przekazanie danych jest warunkiem udziału.

Rzeczywista podstawa prawna to niezbędność do podjęcia działań przed zawarciem umowy, a właściwie niezbędność do przeprowadzenia rekrutacji (art. 6 ust. lit. b RODO) w zakresie określonym przez art. 22[1] kodeksu pracy – co słusznie podkreśla także Prezes UODO w wytycznych na stronie 10.

Inaczej mówiąc – błąd w tym przypadku polega na nieprawidłowym przyjęciu podstawy prawnej. Co więcej, w zależności od sytuacji taki zapis można również poczytać za wymuszenie zgody na zachowanie danych na cele przyszłych rekrutacji – gdyby jednak pracodawca w oparciu o taką klauzulę budował bazę przyszłych kandydatów – naraziłby się na zarzut przetwarzania danych bez podstawy prawnej, ponieważ tak skonstruowana zgoda będzie bezwzględnie nieważna (ponieważ nie zapewniono realnej dobrowolności jej wyrażenia).

Przykład 2:

„Prosimy o dodatnie klauzuli: Wyrażam zgodę na przetwarzanie moich danych osobowych oraz mojego wizerunku zawartych w odpowiedzi na ofertę pracy przez ABC. Sp. z o.o. dla potrzeb procesu rekrutacji oraz przyszłych rekrutacji zgodnie z art. 6 ust. 1 lit. a RODO.

W tym przypadku stosuje się nie tylko błędną podstawę prawną co do danych, które w zakresie art. 22[1] kodeksu pracy co do zasady przekazuje się w CV, ale także wymusza podanie informacji nadmiarowej –  w  postaci wizerunku.

Nieprawidłowość polega  na skierowaniu komunikatu do wszystkich osób rekrutowanych – klauzulę można byłby uznać za prawidłową, gdy jej zastosowanie związane było z jasnym wskazaniem dobrowolności – tak, by z komunikatu przy ogłoszeniu jasno wynikało, że zamieszczenie zdjęcia w CV jest dobrowolne, a nie obowiązkowe. Należy też pamiętać, że samo zamieszczenie informacji nadmiarowej, np. w postaci zdjęcia w CV można poczytać za zgodę wyrażaną poprzez samo zamieszczenie (tzw. „clear affirmative act”, o którym mowa w motywie 32 preambuły do RODO):

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych (…) Może to polegać na (…) innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.”

 – warunkiem stosowalności takiego liberalnego podejścia brak wątpliwości co do tożsamości administratora danych oraz samego kontekstu, z którego powinno wynikać, że nie ma wątpliwości co do woli osoby zamieszczającej zdjęcie (lub  inne dodatkowe informacje ujęte w CV).

W przykładzie 2 należałoby usunąć tak sformułowaną klauzulę zgody na rzecz klauzuli informacyjnej, która jasno wskazywała by, że jeżeli kandydat chce zamieścić jakiekolwiek dodatkowe informacje, których pracodawca nie potrzebuje do przeprowadzenia rekrutacji – może to uczynić dobrowolnie, a podstawą prawną będzie w stosunku do tych danych dodatkowych właśnie zgoda, którą w każdym momencie można odwołać.

Przykład 3:

„Prosimy o dopisanie następującej klauzuli: Zgodnie z art. 6 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE L 119 z dnia 4 maja 2016 r.)), wyrażam zgodę na przetwarzanie danych osobowych zawartych w mojej ofercie pracy a także na formularzu rekrutacyjnym, lub przez wskazanie konkretnych danych, które będą przetwarzane, np. w postaci imienia, nazwiska, adresu zamieszkania, itd.) w celu udziału w procesie rekrutacji przez ABC Sp z o.o.

Zasypywanie odbiorcy komunikatu precyzyjnymi (choć zupełnie zbędnymi) informacjami z dziennika urzędowego UE w żadnym stopniu nie przyczynia się do zmniejszenia ryzyka prawnego pracodawcy, który taką formułę stosuje – wręcz przeciwnie, w świetle wytycznych WP 260 dotyczących transparentności całkiem prawdopodobne jest narażenie się na zarzut braku przejrzystości, poprzez użycie niepotrzebnie formalnego języka.

Nie jest to jednak największy błąd jaki popełniono w tej klauzuli – podobnie jak w przykładzie 1, błędnie zakwalifikowano tu podstawę prawną (zgoda, zamiast niezbędności do realizacji umowy/przeprowadzenia procesu rekrutacji), a dodatkowo „wrzucono do jednego worka” te kategorie informacji, do których faktycznie można stosować zgodę: „lub poprzez wskazanie konkretnych danych” oraz te, które są obowiązkowe do podania (imię, nazwisko, dane na CV dotyczące kwalifikacji i doświadczenia zawodowego).

Dodatkowo – jeżeli pracodawca wykorzystuje formularz elektroniczny do zbierania danych do rekrutacji – kwestię zgody można rozwiązać jeszcze prościej, np. poprzez oznaczenie pól dobrowolnych „gwiazdką” (lub odwrotnie). O ile oczywiście w czytelny sposób wykonano obowiązek informacyjny w którym wytłumaczono jakie dane trzeba podać, a jakie można.

Dodaj komentarz