Współpraca z headhunterami

W obecnych czasach praktycznie każdy z podmiotów działających na rynku korzysta z wyspecjalizowanych firm trudniących się rekrutacją. Headhunterzy posiadają niezbędne „know-how” i sprawdzoną metodologię do znalezienia odpowiedniego kandydata do pracy. Powstaje jednak pytanie, jak ten proces wygląda z punktu widzenia ustawy o ochronie danych osobowych.

Pierwszą kwestią jest ustalenie, który z podmiotów (zlecający czy headhunter) jest administratorem danych w procesie rekrutacji. Zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych, administrator danych jest podmiot, który decyduje o celach i środkach przetwarzania. W omawianym stanie faktycznym to zlecający decyduje o środkach (czyli ile pieniędzy przeznaczy na projekt rekrutacyjny) oraz o celach (czyli, że poszukuje np. księgowych, a nie spawaczy). Wiemy więc kto jest administratorem danych, a kto podmiotem, któremu zlecono przetwarzanie (headhunter). Teraz pozostaje odpowiedzieć na pytanie, jakie konsekwencje ma ww. rozkład ról w procesie przetwarzania danych osobowych.

Po pierwsze, administrator danych powinien podpisać umowę powierzenia przetwarzania danych z headhunterem. Umowa powierzenia powinna określać przynajmniej zakres i cel przetwarzanych danych oraz powinna być zawarta w formie pisemnej. Do umowy powierzenia warto oczywiście dodać dodatkowo inne postanowienia, które będą w większym zakresie chronić interes danej strony umowy. Przykładowo, w interesie zlecającego (administratora danych) jest zastrzeżenie prawa do kontroli sposobu przetwarzania danych osobowych przez headhuntera, czy np. zastrzeżenie kar umownych na wypadek wycieku danych osobowych z winy headhuntera.

Dodatkowo, headhunter powinien zostać zobowiązany umownie do spełnienia obowiązku informacyjnego z art. 24 ust. 1 ustawy o ochronie danych osobowych z uwagi na okoliczność, iż zlecający nie będzie miał technicznej możliwości spełnienia takiego obowiązku. Zlecający nie może zastrzec sobie anonimowości w procesie rekrutacji. Należy podkreślić, iż w razie wystąpienia jakiegoś incydentu związanego z naruszeniem zasad ochrony danych osobowych np. udostępnienia danych osobie nieupoważnionej, odpowiada zarówno administrator danych jak i procesor. W internecie można znaleźć liczne przypadki gdy dokumenty zawierające dane osobowe zostały wyrzucone na śmietnik lub gdy były dostępne online dla każdej osoby. Niektóre z tych spraw skończyły się w prokuraturze np. wyciek danych z Pekao.

Sytuacja komplikuje się jednak w sytuacji, gdy headhunter pozyskuje dane osobowe potencjalnych pracowników również dla siebie („Przykład nr 6: łowcy głów” – Opinia Grupy Roboczej art. 29 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”) – czyli chce je wciągnąć do administrowanej przez siebie bazy danych. Tego typu sytuacja ma miejsce np. w sytuacji jeżeli headhunter ma własny portal przeznaczony dla osób szukających pracy. Osoba rejestrując się na takim portalu podaje swoje dane, których administratorem danych staje się headhunter. Headhunter przekazuje następnie dane osób, które spełniają określone kryteria do potencjalnego pracodawcy. Wspomniane przekazanie danych należy uznać za ich udostępnienie. Na skutek udostępniania, administratorem danych staje się podmiot, któremu udostępniono dane osobowe, a więc firma poszukująca pracownika (zlecający).

W takiej sytuacji, co do zasady, nie należy podpisywać umowy powierzenia przetwarzania z headhunterem. Należy jednak pamiętać o konieczności spełniania obowiązku informacyjnego z art. 25 ust. 1 ustawy o ochronie danych osobowych względem osób, których dane osobowe zostały udostępnione. Konieczność spełnienia obowiązku informacyjnego z art. 25 ust 1 ustawy o ochronie danych osobowych wynika z okoliczności, że dane zostały udostępnione na rzecz zlecającego przez headhuntera a więc nie zostały zebrane bezpośrednio od osób, których dane dotyczą. Należy podkreślić, iż jeżeli headhunter wysyła wyłącznie tzw. „blind CV” to nie udostępnia danych osobowych i wobec takich kandydatów do pracy nie należy spełniać obowiązku informacyjnego o którym mowa powyżej.

Przesłanką legalizującą przetwarzanie danych jest w opisywanej sytuacji art. 23 ust 1 pkt 1, 3 i 5 ustawy o ochronie danych osobowych zarówno w przypadku huadhuntera jak i potencjalnego pracodawcy.

Jeżeli dane pomiędzy headhunterem a zlecającym są przesyłane siecią publiczną to taki przepływ powinien być zabezpieczony za pomocą kryptograficznych środków ochrony (jeżeli CV i listy motywacyjne są przesyłane jako załącznik e-maila to taki załącznik powinien być zahasłowany).

Obowiązek informacyjny w procesie rekrutacji

Z art. 24 ustawy z 29 sierpnia 1997 r.  o ochronie danych osobowych (Dz. U.  z 2002 r. nr 101 poz. 926 z późń. zm., zwanej dalej „Ustawą” ) wynika, w razie zbierania danych osobowych, obowiązek poinformowania osoby, której dane dotyczą o:

  • adresie, siedzibie i pełnej nazwie administratora danych,
  • celach przetwarzania danych osobowych,
  • komu dane będą udostępnianie (informacja o odbiorcach danych),
  • prawie dostępu do treści przekazanych danych oraz ich poprawiania,
  • dobrowolności lub obowiązku podania danych, jeżeli obowiązek wynika z przepisów prawa oraz o jego podstawie prawnej.

W związku z tym pojawia się kilka wątpliwości jak w praktyce stosować wskazany przepis ustawy i jak dopełnić prawidłowo obowiązku informacyjnego. Warto w tym miejscu wspomnieć, że niedopełnienie obowiązku informacyjnego przez administratora danych zagrożone jest karą grzywny, ograniczenia wolności lub pozbawienia wolności do roku (art. 54 Ustawy). Odpowiedzialność za niedopełnienie obowiązku poinformowania osoby, której dane dotyczą o którym mowa w art. 24 ustawy ponoszą osoby, które prowadzą sprawy i reprezentują dany podmiot. W przypadku Spółek prawa handlowego będzie to co do zasady Zarząd.

Pierwszym zagadnieniem jest kwestia tego w jakiej formie należy przekazać ww. informacje. Ustawa niestety nie odpowie nam na to pytanie. Ważne jest to, aby osoba, która przekazuje swoje dane osobowe miała możliwość zapoznania się z treścią obowiązku. W związku z powyższym obowiązku, informacyjnego można dopełnić zarówno poprzez:

  • ustne przekazanie informacji,
  • w formie pisemnej, 
  • jak i w każdej innej formie.

Osoba podająca swoje dane osobowe nie musi również się podpisywać czy potwierdzać[1] zapoznania się z obowiązkiem informacyjnym. Ważne, żeby osoba, która przekazuje nam swoje dane osobowe miała możliwość zapoznać się z informacjami wymaganymi przez art. 24 ustawy.

Kolejną kwestią jest to, kiedy należy te informacje przekazać. Ustawa wskazuje, że należy tego uczynić „w momencie zbierania danych”. Nie będzie problemu, w sytuacji, w której ktoś nam osobiście przyniesie do siedziby pracodawcy CV lub inne dokumenty. Gorzej jest w przypadku kiedy ktoś przesyła nam pocztą tradycyjną lub elektroniczną swoją aplikację (a więc nie bezpośrednio). W takim wypadku najlepiej zamieścić taki obowiązek informacyjny na ogłoszeniu o pracę, bądź na formularzu na którym zbieramy dane (jeżeli z takowego korzystamy). W innym wypadku spóźnilibyśmy się z możliwością dopełnienia obowiązku informacyjnego, bo de facto moglibyśmy go dopełnić już po zebraniu danych osobowych.

Kolejnym zagadnieniem jest to, kto jest zobowiązany do dopełnienia obowiązku informacyjnego. Co do zasady jest to podmiot, który ma być pracodawcą. Jeżeli w naszym imieniu rekrutacja przeprowadzana jest przez agencję wyspecjalizowaną do tego typu czynności, to nie zwalnia tego potencjalnego pracodawcy od obowiązku wymienionego w art. 24 ustawy. Administratorem danych jest stosownie do art. 7 pkt. 4 Ustawy podmiot, który decyduje o celach i środkach przetwarzania danych osobowych”. Agencja rekrutacyjna działa na nasze zlecenie, ale nie przetwarzana danych w swoich celach. Jeżeli natomiast chciałaby to zrobić (a więc chciałaby przy okazji budować własną bazę danych kandydatów), powinna m.in. mieć podstawę do tego typu czynności (art. 23 Ustawy) i dopełnić obowiązku informacyjnego (art. 24 lub 25 Ustawy).

Ustawa w ustępie 2 art. 24 przewiduje możliwość wyłączenia stosowania wspomnianego obowiązku. Z punktu widzenia potencjalnego pracodawcy możliwe jest to w odniesieniu do niektórych informacji. Jeżeli w odniesieniu do adresu siedziby, nazwy, celu zbierania danych osoba, której dane są zbierane ta osoba posiada takie informacje, to i tak należy ją poinformować o pozostałych kwestiach wymienionych w art. 24 ustawy.

Poniżej przedstawiam wzór obowiązku informacyjnego jaki można umieścić na ogłoszeniu o pracę:

W związku z treścią art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.) informuję, iż administratorem danych osobowych zawartych w przekazanych przez Panią/Pana dokumentach aplikacyjnych jest  ………………………….. (wpisać pełną nazwę oraz adres siedziby administratora danych). Pani/Pana dane osobowe będą przetwarzane w celu przeprowadzenia procesu rekrutacyjnego oraz wybrania pracownika i zawarcia umowy o pracę. Dane osobowe nie będą udostępnianie innym podmiotom. Posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania. Zebrane dane osobowe zostały przez Panią/Pana podane dobrowolnie.


[1] Chociaż w jednym z orzeczeń sąd administracyjny wyraził pogląd przeciwny.

Podstawa przetwarzania danych osobowych przy rekrutacji

Na rynku panuje chaos jeżeli chodzi o rekrutację pracowników. Część pracodawców żąda, aby na CV znajdowała się zgoda na przetwarzania danych osobowych, część nie wspomina o tym słowem, czasami w ogóle nie wiemy do jakiej organizacji wysyłamy informacje o nas i co się z nimi dzieje. Najczęściej jednak spotykamy się z żądaniem zamieszczanie klauzuli odpowiadającej następującej treści:

„Wyrażam zgodę na przetwarzanie danych osobowych w celach rekrutacyjnych zgodnie z ustawą o ochronie danych osobowych”.

Czy powyższa praktyka jest prawidłowa i czy zgoda jest w ogóle potrzebna do tego, aby potencjalny pracodawca mógł przetwarzać dane osobowe? Z mojej praktyki wiem, że na każde pytanie związane z ustawą z 29 sierpnia 1997 r. o ochronie danych osobowym (Dz. U. z 2002 r. nr 101 poz. 926 z późń. zm., zwaną dalej „Ustawa” ) można odpowiedzieć „to zależy”. Tak będzie i tym razem.

To zależy od tego, w jakich celach te informacje mają być wykorzystane. Czy CV i inne dokumenty aplikacyjne zbierane są tylko w związku z przeprowadzeniem jednej rekrutacji na konkretne stanowisko, czy rekrutacja ma charakter ciągły i fluktuacja pracowników jest tak duża, że co chwila potrzeba nowych osób na podobne stanowiska, czy wreszcie pracodawca chce zachować CV i wykorzystać w przyszłych rekrutacjach.

Z punktu widzenia pracodawcy jako administratora naszych danych, ustawa nakłada na niego, obowiązek posiadania podstawy prawnej. W oparciu o art. 23 ustawy pracodawca może przetwarzać dane osobowe na podstawie przepisów prawa (art. 23 ust. 1 pkt. 2), zgody (art. 23 ust. 1 pkt. 1), umowy z osobą, której dane dotyczą (art. 23 ust. 1 pkt. 3) i usprawiedliwionego interesu administratora danych (art. 23 ust. 1 pkt. 5).

Przepisem prawa, który pozwala pracodawcy żądać danych w określonym zakresie jest art. 22¹ kodeksu pracy. Są to: imiona i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania, wykształcenie, przebieg dotychczasowego zatrudnienia. Dodatkowego zakresy danych pracodawca może żądać jeżeli ich obowiązek wynika z odrębnych przepisów prawa.

Kolejną przesłanką jest umowa z osobą, której dane dotyczą, a w zasadzie niezbędność do podjęcia działań przed zawarciem umowy, na żądanie osoby, której dane dotyczą. Tą umową, która ma być zawarta jest umowa o pracę, a zakresem danych są te przekazane przez nas w CV i innych dokumentach. Jednak ta podstawa pozwala przetwarzać dane kandydatów do pracy do momentu zakończenia rekrutacji, czyli wyłonienia pracownika i podpisania z nim umowy o pracę.

Jeżeli pracodawca chciałby skorzystać ze zgromadzonych CV w innych lub przyszłych procesach rekrutacyjnych, to powinien pozyskać zgodę od kandydatów do pracy. Jednakże zgoda którą cytowałem na początku jest nieprawidłowa z tego względu że nie wiadomo, komu jest dla kogo jest wyrażana i o jakie procesy rekrutacji się rozchodzi (obecne czy przyszłe). Zgodnie z definicją zgody (art. 7 pkt. 5 ustawy) ta nie może być domniemana ani dorozumiana z oświadczenia woli o innej treści. A ta używana w obrocie stwarza takie zagrożenie. Aby zatem zgoda była prawidłowa należy w niej określić podmiot dla którego jest wyrażana i rodzaj rekrutacji (zakres czynności). Proponujemy zatem, aby zgoda miała następujący kształt:

Wyrażam zgodę dla …………………..(należy wpisać nazwę podmiotu i adres siedziby) na przetwarzaniem przekazanych przeze mnie w CV i liście motywacyjnym danych osobowych w celach przyszłych procesów rekrutacji (włączenia CV do bazy danych kandydatów Spółki)”.

Ostatnią podstawą do przetwarzania danych osobowych jest usprawiedliwiony interes administratora danych i dotyczy sytuacji w której pracodawcy przekazane są przez kandydata do pracy dane, a dotyczące jego osoby, których zakres jest szerszy niż wymienione w przepisach prawa oraz które nie są niezbędne do podjęcia działań przez zawarciem umowy z osobą, której dane dotyczą, przy założeniu, że pracodawca wcześniej nie zbierał zgody na przetwarzanie danych osobowych. Odbywa się to np. dobrowolne umieszczenie zdjęcia na CV przez kandydata.

Kolejnym wymogiem ustawy jest dopełnienie obowiązku informacyjnego, ale o tym szerzej w następnym wpisie.