Czarne listy – w świetle uodo oraz RODO

W mediach można coraz częściej usłyszeć o praktyce części firm rekrutacyjnych polegającej na tworzeniu tzw. „czarnych list”. Czarne listy to zbiory danych zawierające informację o osobach, które z jakiegoś powodu nie „podobają się” firmom rekrutacyjnym. Tego typu działania są niezgodne z ustawą o ochronie danych osobowych i w przyszłości z RODO. Niezgodności tej praktyki z przepisami prawa jest kilka, a do najistotniejszych można zaliczyć:

  1. Osoby, które dane są na takich czarnych listach umieszczone nie są o tym informowane.
  2. Brak podstawy prawnej na tworzenia czarnych list tj. nie są pozyskiwane zgody na przetwarzanie danych osobowych.
  3. Udostępnianie czarnych list innym podmiotom bez pozyskiwania właściwych zgód na przekazywanie danych osobowych.
  4. Niezarejestrowanie zbioru danych w GIODO.

W jaki sposób można trafić na czarną listę?

Jedną z możliwości trafienia na taką listę jest proces weryfikacji kandydata na różnego rodzaju portalach społecznościowych, gdzie zamieszczane są przecież wpisy, zdjęcia oraz można prześledzić z kim dana osoba utrzymuje znajomości. Innym sposobem, aby trafić na taką czarną listę jest rozmowa kwalifikacyjna z rekruterem. W trakcie rozmowy mogą zostać pozyskane informacje, które z jednej strony dyskwalifikują pracownika a z drugiej są pozyskiwane nielegalnie (informację o poglądach, stanie zdrowia czy wyznaniu).

Czarne listy a wymogi wynikające z RODO i nie tylko…

Tworzenie czarnych list narusza w szczególności dwie zasady z RODO tj. zasadę celowości oraz adekwatności. Zasada celowości polega na przetwarzaniu danych osobowych w jasno określonym celu, czyli jeżeli kandydat do pracy wysyła CV aplikując na wybrane stanowisko, to te dane nie mogą być wykorzystane do utworzenia czarnej listy lub baz danych marketingowych (chyba, że administrator uzyska zgodę na tego typu działanie).

Zasada adekwatności, wymusza by podczas zbierania danych osobowych w procesie rekrutacji, pozyskiwać tylko te dane od kandydatów, które są niezbędne do realizacji tego celu (słowo niezbędne nie jest tożsame np. ze słowem przydatne). Dlatego należy zwrócić uwagę na przepisy prawa, które regulują jakie informacje pracodawca ma prawo pozyskiwać od kandydata czy już pracownika (przygotowując jego teczkę osobową).

Dzięki zachowaniu tych dwóch zasad administrator danych zmniejszy ryzyko kontroli GIODO czy Państwowej Inspekcji Pracy (która może mieć podejrzenia o dyskryminowanie kandydatów do pracy podczas rekrutacji, jeżeli pracodawca będzie zadawać niedozwolone pytania, a szczególnie gdy będą one dotyczyły danych wrażliwych jak np. wyznanie).

Żywot czarnych list w przyszłości …

Wejście w życie RODO efektywniej zamknie furtki dla podmiotów, które łamią prawo lub obecnie poruszają się na jego granicy (działając na niekorzyść obywateli) i w odróżnieniu od przepisów obowiązujących obecnie, będzie umożliwiało surowsze karanie za przewinienia czy niedostosowanie się do prawa. RODO, które zacznie obowiązywać w przyszłym roku będzie na pewno efektywniejszym narzędziem dla organów kontrolujących i pilnujących przestrzegania prawa w zakresie ochrony danych osobowych. Aby lista niechcianych pracowników była legalna wymagana jest dobrowolnie wyrażona zgoda na przetwarzanie danych osobowych. Jednocześnie warto pamiętać, że prosząc o wyrażenie takiej zgodę informujemy o tym, że takie listy tworzymy, co może mieć negatywny wpływ na wizerunek firmy jako podmiotu, który dość „agresywnie” podchodzi do standardów przetwarzania danych osobowych.