RODO to nie tylko biurokratyczny skrót. W praktyce decyduje o tym, jakie dane można wpisać do CV, o co pracodawca może zapytać podczas rekrutacji, kiedy wolno sięgać po zgodę i jakie prawa ma kandydat albo pracownik wobec swoich danych. Jeśli ktoś pyta, co to jest rodo, najkrótsza odpowiedź brzmi: to zestaw zasad, które mają ograniczać nadmiarowe zbieranie informacji i dawać ludziom realną kontrolę nad ich danymi.
W kontekście pracy temat jest szczególnie ważny, bo tu łatwo o nadmiarowe pytania, kopie dokumentów „na wszelki wypadek” albo zbyt szerokie klauzule zgód. Poniżej wyjaśniam to prosto, ale bez uproszczeń, z perspektywy rekrutacji, zatrudnienia i codziennych obowiązków pracodawcy.
Najważniejsze zasady RODO w rekrutacji i zatrudnieniu
- Pracodawca może żądać tylko takich danych, na które pozwala prawo pracy albo inna podstawa prawna.
- W CV kandydat nie musi podawać wszystkiego, a zdjęcie czy inne dodatkowe informacje nie są obowiązkowe.
- Zgoda na dane dodatkowe działa tylko wtedy, gdy jest naprawdę dobrowolna, konkretna i świadoma.
- Pracownik i kandydat mają prawo wiedzieć, kto przetwarza dane, po co i jak długo je przechowuje.
- Monitoring, ewidencja czasu pracy, poczta służbowa i dokumentacja kadrowa też podlegają zasadom RODO.
- Najwięcej problemów powstaje wtedy, gdy firmy zbierają dane „na zapas” albo nie porządkują retencji.
Czym jest RODO i dlaczego prawo pracy tak często się do niego odwołuje
RODO, czyli ogólne rozporządzenie o ochronie danych, porządkuje sposób zbierania, przechowywania i wykorzystywania danych osobowych. W praktyce oznacza to, że każda firma, urząd czy agencja rekrutacyjna musi wiedzieć, po co zbiera dane, na jakiej podstawie i jak długo może je trzymać. W miejscu pracy to szczególnie ważne, bo dane pojawiają się już na etapie ogłoszenia, CV, rozmowy kwalifikacyjnej, badań wstępnych i późniejszej dokumentacji kadrowej.Najprościej myśleć o RODO jak o filtrze, który odcina wszystko, co zbędne. Jeśli informacja nie jest potrzebna do rekrutacji albo do zatrudnienia, nie powinna trafiać do akt tylko dlatego, że „może kiedyś się przyda”. Z mojego punktu widzenia właśnie ten nawyk zbierania danych „na zapas” jest w firmach najczęstszym źródłem problemów. To prowadzi nas do pytania, jakie dane rzeczywiście wolno pobierać od kandydata i później od pracownika.
Jakie dane można zbierać od kandydata do pracy
W rekrutacji nie ma pełnej dowolności. UODO przypomina, że pracodawca może żądać od osoby ubiegającej się o zatrudnienie tylko danych przewidzianych w przepisach. To znaczy, że katalog informacji jest ograniczony, a nie otwarty. Na etapie naboru najważniejsze są dane identyfikacyjne, kontaktowe oraz te, które pomagają ocenić kwalifikacje do konkretnego stanowiska.
| Etap | Co zwykle można przetwarzać | Czego nie wolno wymagać bez osobnej podstawy |
|---|---|---|
| Podstawowa rekrutacja | Imię i nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia | Zdjęcie, stan cywilny, imiona rodziców, szerokie dane o życiu prywatnym, opinie z poprzedniej firmy zdobywane „na własną rękę” |
| Dodatkowe wymagania stanowiska | Informacje wymagane przez odrębne przepisy, np. niekaralność w zawodach, gdzie prawo tego wymaga | Pytania niezwiązane z pracą albo zbyt szerokie pytania „profilujące” kandydata |
| Dane wrażliwe | Tylko wtedy, gdy pozwala na to przepis prawa lub kandydat wyraził wyraźną zgodę w określonym celu | Swobodne zbieranie informacji o zdrowiu, przekonaniach, poglądach czy sytuacji rodzinnej |
Ważne są też dwie praktyczne rzeczy. Po pierwsze, referencje od kandydata nie dają automatycznie prawa do dzwonienia po szczegóły do poprzedniego pracodawcy. Po drugie, jeśli kandydat sam z własnej inicjatywy doda zdjęcie albo inne dane dodatkowe, pracodawca może je przetwarzać tylko wtedy, gdy istnieje do tego właściwa podstawa, najczęściej zgoda na ten konkretny zakres. W rekrutacji zdrowa zasada brzmi prosto: bierz tyle, ile realnie potrzebujesz, i nic więcej. Skoro to już jasne, przejdźmy do praw osoby, której dane dotyczą, bo to druga strona tej samej układanki.
Jakie prawa ma kandydat i pracownik wobec swoich danych
RODO nie chroni tylko „w teorii”. Daje konkretne prawa, z których kandydat i pracownik mogą korzystać wobec pracodawcy albo agencji rekrutacyjnej. UODO wskazuje, że osoba, której dane dotyczą, ma prawo wiedzieć, kto przetwarza jej dane, na jakiej podstawie i w jakim celu. Ma też prawo do informacji o czasie przechowywania danych oraz o kontakcie do inspektora ochrony danych, jeśli został wyznaczony.
- Prawo dostępu - można zapytać, jakie dane firma posiada i skąd je ma.
- Prawo sprostowania - można poprawić błędny numer telefonu, adres albo literówkę w nazwisku.
- Prawo usunięcia - działa wtedy, gdy nie ma już podstawy do dalszego przetwarzania.
- Prawo ograniczenia przetwarzania - przydatne, gdy sporna jest prawidłowość danych albo ich cel.
- Prawo sprzeciwu - ważne zwłaszcza przy przetwarzaniu opartym na uzasadnionym interesie.
- Prawo wycofania zgody - jeśli dane były przetwarzane na podstawie zgody, można ją odwołać.
Warto jednak pamiętać o ograniczeniach. Nie każde żądanie usunięcia danych zadziała natychmiast, bo czasem firma musi je zachować z powodu przepisów o dokumentacji pracowniczej, rozliczeniach albo archiwizacji. Czyli RODO daje prawa, ale nie znosi innych obowiązków prawnych. Tego typu równowaga jest zresztą sednem całego systemu i właśnie dlatego pracodawca musi dobrze ustawić swoje procesy.
Co pracodawca musi zrobić, żeby działać zgodnie z RODO
W praktyce zgodność z RODO nie polega na jednym formularzu zgody. To raczej zestaw codziennych działań, które powinny być w firmie uporządkowane. Najpierw trzeba ustalić podstawę prawną przetwarzania. Potem określić zakres danych, dostęp do nich, czas przechowywania i sposób ich zabezpieczenia. Dopiero na końcu można mówić o wygodzie procesu.
- Przejrzysta informacja - kandydat powinien wiedzieć, kto jest administratorem danych, jaki jest cel przetwarzania i jakie ma prawa.
- Minimalizacja danych - zbiera się tylko to, co jest potrzebne na danym etapie.
- Właściwa podstawa prawna - inne podstawy stosuje się dla obowiązku prawnego, inne dla rekrutacji, a inne dla zgody na dane dodatkowe.
- Bezpieczeństwo - dostęp do CV, umów i akt osobowych powinien być ograniczony do osób, które naprawdę muszą je widzieć.
- Retencja - dane nie powinny być przechowywane dłużej, niż to konieczne do celu, dla którego je zebrano.
- Porządek w zgodach - osobne zgody tylko tam, gdzie są faktycznie potrzebne, a nie jako uniwersalny załącznik do wszystkiego.
Do tego dochodzą obszary, które w pracy często budzą wątpliwości: monitoring wizyjny, rejestracja czasu pracy, kontrola służbowej poczty czy korzystanie z narzędzi online. Tu również trzeba pamiętać o celu, proporcjonalności i granicach prywatności. Jeśli firma tego nie ustawi, bardzo łatwo o błąd, który później kosztuje więcej niż porządne wdrożenie na starcie.
Najczęstsze błędy w rekrutacji i w aktach osobowych
Najwięcej naruszeń nie wynika z „wielkich afer”, tylko z codziennych skrótów myślowych. Z jednej strony ktoś chce przyspieszyć rekrutację, z drugiej strony ktoś inny wrzuca do CV za dużo informacji, bo uważa, że tak wypada. Efekt bywa podobny: dane są przetwarzane szerzej, niż powinny.
| Błąd | Dlaczego to problem | Lepsze rozwiązanie |
|---|---|---|
| Żądanie nadmiarowych danych w formularzu rekrutacyjnym | Łamie zasadę minimalizacji i może zniechęcać kandydatów | Zostawić tylko pola potrzebne do oceny dopasowania do stanowiska |
| Kopiowanie dowodu osobistego bez wyraźnej podstawy | To często więcej danych, niż jest potrzebne do samej rekrutacji | Zweryfikować tożsamość tylko w zakresie koniecznym, bez zbędnego kopiowania |
| Kontaktowanie się z poprzednim pracodawcą bez zgody kandydata | Referencje nie oznaczają zgody na szerokie dopytywanie o szczegóły | Opierać się na informacjach przekazanych przez kandydata albo uzyskać wyraźną zgodę |
| Przechowywanie CV „na wszelki wypadek” po zakończonej rekrutacji | Brak celu oznacza brak podstawy do dalszego trzymania danych | Usunąć dane albo uzyskać odrębną zgodę na przyszłe nabory |
| Zbieranie zgód w jednym, ogólnym formularzu | Taka zgoda bywa nieprecyzyjna i trudna do obrony | Rozdzielić zgody na konkretne cele, np. udział w przyszłych rekrutacjach |
W praktyce najgroźniejsze jest nie to, że firma popełni jeden techniczny błąd, tylko że zrobi z niego standard pracy. Jeśli proces rekrutacyjny ma zbyt szerokie formularze, a dane pracowników są przechowywane bez zasad, trudno potem tłumaczyć to przypadkiem. Właśnie dlatego lepiej od razu ustawić prostą, czytelną procedurę niż później gasić pożar. To prowadzi do ostatniej, bardziej praktycznej warstwy: jak porządkować dane, zanim staną się problemem.
Jak porządkować dane, zanim staną się problemem w rekrutacji
Jeśli mam wskazać jedną rzecz, która naprawdę ułatwia życie po obu stronach procesu, to jest nią minimalizm informacyjny. Kandydat powinien podawać tylko to, co pomaga w ocenie jego dopasowania do roli. Pracodawca powinien zbierać tylko to, co jest potrzebne, i od razu wiedzieć, kiedy dane trzeba usunąć, a kiedy można je zachować dłużej.
- W CV zostaw dane kontaktowe i informacje zawodowe, które mają znaczenie dla stanowiska.
- Nie wpisuj danych prywatnych tylko dlatego, że „tak się robi”.
- Jeśli pracodawca pyta o coś ponad standard, poproś o podstawę i cel.
- Po stronie firmy trzymaj jedną, jasną klauzulę informacyjną zamiast kilku rozproszonych komunikatów.
- Ustal, kto ma dostęp do dokumentów i kiedy dane są usuwane.
- Oddziel proces rekrutacji od późniejszej dokumentacji pracowniczej, bo to nie są te same zbiory danych.
Tak rozumiane RODO nie jest przeszkodą w rekrutacji, tylko mechanizmem porządkującym. Gdy dane są zbierane rozsądnie, kandydat czuje się bezpieczniej, a pracodawca ma mniej ryzyk i mniej chaosu w dokumentach. I wtedy odpowiedź na pytanie, co to jest rodo, przestaje być definicją z podręcznika: to po prostu codzienna praktyka uczciwego i zgodnego z prawem obchodzenia się z danymi w pracy.
