PROBLEM
W naszej firmie często prowadzimy rekrutacje pracowników. Po ich zakończeniu zostają nam CV osób biorących udział w rekrutacji. Czy powinniśmy zniszczyć nadesłane CV, czy istnieje możliwość wykorzystania otrzymanych aplikacji w innych tego typu procesach?
RADA
Po zakończeniu rekrutacji dane kandydata zawarte w przesłanych dokumentach aplikacyjnych - co do zasady - powinny zostać usunięte. Dodatkowo należy to zrobić w taki sposób, by nie było możliwe odtworzenie usuwanych danych.
UZASADNIENIE
Potencjalny pracodawca, pozyskując dane osobowe kandydatów do pracy, staje się ich administratorem zobowiązanym do przestrzegania ustawy o ochronie danych osobowych. Zgodnie z jej przepisami dane osobowe mogą być przetwarzane tylko dla oznaczonych i zgodnych z prawem celów i nie mogą być poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami. Administrator danych osobowych jest też zobowiązany do zapewnienia, aby dane były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, jednak nie dłużej, niż jest to niezbędne do osiągnięcia celu przetwarzania.
Zatem jeśli przyszły pracodawca zbierał dane osób poszukujących zatrudnienia jedynie na potrzeby konkretnego naboru, to nie może ich wykorzystać do innych celów, np. na potrzeby kolejnych rekrutacji, które będzie prowadził w przyszłości. Tym samym jeżeli cel rekrutacyjny ustał, a dana osoba nie została przyjęta do pracy, pracodawca powinien - co do zasady - usunąć lub zniszczyć dane zawarte w przesłanych przez nią dokumentach aplikacyjnych. Wyjątkiem mogą być sytuacje określone w przepisach szczególnych, zezwalających np. na przechowywanie niektórych wniosków aplikacyjnych w konkretnych przypadkach. Ma to np. miejsce przy naborze pracowników samorządowych. Ustawa określająca zasady ich naboru umożliwia bowiem, by w sytuacji, gdy w ciągu 3 miesięcy od nawiązania stosunku pracy z osobą wyłonioną w drodze naboru istnieje konieczność ponownego obsadzenia tego samego stanowiska, wyboru nowego pracownika dokonać spośród pięciu najlepszych kandydatów wyłonionych w czasie rekrutacji. Zatem żeby to było możliwe, złożone przez nich dokumenty muszą być przez owe 3 miesiące przechowywane.
W pozostałych przypadkach, jeśli pracodawca chciałby pozostawić przesłane dokumenty i dane, by je wykorzystywać w innych celach, jak chociażby w kolejnych naborach pracowników czy do przesyłania informacji marketingowych, musiałby wcześniej poinformować osoby, od których te dane pozyskał, o zakładanych celach, w jakich zamierza te dane przechowywać. Ponadto na wykorzystanie danych w każdym z tych celów musiałby uzyskać zgodę osób, które złożyły CV. Przy czym trzeba pamiętać, że taka zgoda może być w każdym czasie odwołana. Wówczas administrator danych osobowych traci prawo do dalszego przetwarzania danych i powinien je zniszczyć w sposób uniemożliwiający ich odtworzenie.
Warto dodać, że podobnie będzie po wejściu w życie unijnego ogólnego rozporządzenia o ochronie danych (RODO), które zacznie obowiązywać w Polsce od 25 maja 2018 r. Nowe przepisy również kładą nacisk na przetwarzanie danych osobowych w konkretnych celach i ich usuwanie, gdy stały się już zbędne dla tych celów. Zgodnie z RODO dane osobowe muszą m.in. być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Muszą też być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Dodatkowo RODO stanowi, co jest nowością, że podczas pozyskiwania danych osobowych bezpośrednio od osoby, której one dotyczą, administrator podaje jej m.in. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu.
Jeśli zaś chodzi o niszczenie dokumentów rekrutacyjnych zawierających dane osobowe, to warto zaznaczyć, że ponieważ niszczenie to jest jedną z form przetwarzania danych osobowych, powinno się odbywać z poszanowaniem wszelkich zasad wynikających z przepisów o ochronie danych osobowych. Nie ma przy tym znaczenia, czy chodzi o niszczenie takich danych zawartych w dokumentach papierowych czy na nośnikach informatycznych. Przepisy prawa nie wskazują konkretnego sposobu niszczenia (pozbywania się) zgromadzonych danych osobowych. Najistotniejsze, by wybrana metoda uniemożliwiała ponowne ich odtworzenie.
Administrator danych może sam zniszczyć dokumenty zawierające dane osobowe, może też zlecić ich niszczenie podmiotowi zewnętrznemu. Gdy zdecyduje się zlecić zniszczenie dokumentów innemu podmiotowi, musi zawrzeć z nim umowę tzw. powierzania przetwarzania danych. Należy w niej określić m.in. zakres operacji na danych osobowych i cel przetwarzania tych danych, tak by zagwarantować prawidłowe zabezpieczenie danych osobowych przekazanych do zniszczenia i faktyczną realizację tego celu.
Podstawa prawna:
art. 26, art. 31 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych - j.t. Dz.U. z 2016 r. poz. 922
art. 5 ust. 1 lit. b i lit. e, art. 13 ust. 2 lit. a, art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) - Dz.U. UE. L. z 2016 r. Nr 119, str. 1
Edyta Bielak-Jomaa,
Generalny Inspektor Ochrony Danych Osobowych