W dzisiejszych czasach wielu pracodawców woli prowadzić rekrutację przy pomocy zewnętrznych agencji rekrutacyjnych niż samodzielnie poszukiwać kandydatów. Część pracodawców decyduje się również na skorzystanie z bardziej „miękkich” usług, takich jak doradztwo w zakresie kształtowania procesów rekrutacyjnych, ocena trendów rynkowych, ale także pomoc przy wyborze konkretnego kandydata. Na co powinien zwrócić pracodawca zawierając umowę z agencją rekrutacyjną? Jak prawidłowo ukształtować wzajemne stosunki, aby nie narazić się na zarzut naruszenia danych osobowych?
W przypadku zlecenia przez pracodawcę prowadzenia rekrutacji przez agencję rekrutacyjną agencja ta może występować w dwojakiej roli, a wszystko zależy od tego, w jaki sposób strony umowy ułożą swoje wzajemne stosunki. Jeżeli agencja działa w ten sposób, że wyszukuje kandydatów wyłącznie na rzecz danego pracodawcy, ściśle według jego wytycznych to możemy mieć do czynienia z sytuacją, w której agencja występuje jako podmiot przetwarzający w stosunku do administratora. Oznacza to, że to administrator decyduje o tym, w jaki sposób i w jakich celach przetwarzane są dane osobowe, a agencja działa wyłącznie na polecenie administratora.
Inną sytuacją będzie, gdy agencja działa na rzecz wielu klientów, posiada swoją własną „bazę” kandydatów, z którymi kontaktuje się w przypadkach, gdy ma dla tych osób odpowiednią propozycję pracy. W takim wypadku agencja rekrutacyjna oraz pracodawcy działają jako odmienni, niezależni od siebie administratorzy danych osobowych. Oznacza to, że każdy z administratorów samodzielnie ustala cele i sposoby przetwarzania danych osobowych. Początkowo administratorem danych osobowych będzie wówczas agencja, a po ich udostępnieniu pracodawcy – administratorem będzie pracodawca. Obydwie sytuacje wymagają nieco odmiennego podejścia, jeśli chodzi o wzajemne zabezpieczenie interesów stron tak zawieranej umowy.
Aby sprawdzić, czy agencja rzeczywiście będzie działać jako podmiot przetwarzający, a administratorem będzie pracodawca, konieczne będzie przeanalizowanie tego, w jaki sposób podmioty te zamierzają ze sobą współpracować. Kluczowe znaczenie ma tutaj określenie, czym jest administrator oraz w jakiej relacji pozostaje w stosunku do podmiotu przetwarzającego.
Administrator danych osobowych jest podmiotem, który podejmuje decyzje odnośnie celów i sposobów przetwarzania danych osobowych, a zatem decyduje dlaczego i w jakim celu będą przetwarzane dane osobowe[1]. Musimy zatem sprawdzić, czy to pracodawca będzie w tym wypadku podejmował kluczowe decyzje, co obejmuje przykładowo wskazanie jakich kandydatów chce poszukiwać, w jaki sposób i jak należy przeprowadzić proces rekrutacji. Co istotne, administrator nie musi decydować o wszystkim, może pozostawić podmiotowi przetwarzającemu część mniej istotnych decyzji. Wobec powyższego fakt, że agencja rekrutacyjna będzie w pewnym zakresie również podejmować pewne decyzje dotyczące sposobu przetwarzania nie będzie powodował, że stanie się ona niezależnym administratorem. Te decyzje będą miały bardziej charakter techniczny i będą polegały na wdrożeniu decyzji pracodawcy, który w dalszym ciągu pozostanie administratorem.
Podmiot przetwarzający charakteryzuje się natomiast tym, że działa w imieniu administratora. Warunkiem uznania, że mamy do czynienia z podmiotem przetwarzającym jest jego odrębność od administratora- musi to być zatem odrębna jednostka (np. firma)[2]. Przetwarzanie danych osobowych w imieniu administratora musi odbywać się na podstawie ważnego instrumentu prawnego (najczęściej umowy albo regulaminu – ogólnego wzorca umów) i wyłącznie na udokumentowane polecenie administratora. Podmiot przetwarzający nie może wykraczać poza polecenia, które otrzymuje, choć oczywiście posiada pewien zakres swobody w zakresie wyboru środków, które umożliwiają mu wypełnienie poleceń administratora. I tak agencja, działająca jako podmiot przetwarzający, jest podmiotem, który profesjonalnie zajmuje się rekrutacją, posiada własne „know-how” w zakresie tego, jak najlepiej taką rekrutację prowadzić i z jakich środków w tym zakresie korzystać. Z takiego zresztą powodu pracodawcy korzystają z agencji rekrutacyjnych – nic więc dziwnego, że pozostawiają im w pewnym zakresie swobodę i liczą na skorzystanie z ich profesjonalnej wiedzy w tym zakresie.
Administrator i podmiot przetwarzający regulują prawa i obowiązki związane z powierzeniem przetwarzania danych osobowych na podstawie umowy powierzenia przetwarzania lub innego instrumentu prawnego. W praktyce najczęściej spotykana jest umowa albo regulamin (np. regulamin świadczenia usług na stronie internetowej). Przepisy RODO zawierają obowiązkowe elementy, które powinny znaleźć się w umowie powierzenia przetwarzania danych osobowych. Administrator powinien także zweryfikować, czy podmiot przetwarzający daje gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odbyło się zgodnie z RODO. W związku z powyższym, nie jest wystarczające, aby podpisać umowę przetwarzania danych osobowych, bez faktycznego sprawdzenia, czy podmiot przetwarzający zapewnia działania w zgodzie z RODO. Nie jest również dopuszczalne powierzenia przetwarzania danych bez odpowiedniej umowy lub innego instrumentu – takie działanie stanowi poważne naruszenie Rozporządzenia.
O tym, jak ważne jest odpowiednie powierzenie przetwarzania danych osobowych, świadczą decyzje, które w tym zakresie wydają organy nadzorcze. Przykładowo, w Decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 16 sierpnia 2022 r, DKN.5131.29.2022[3] organ nałożył karę pieniężną na Sułkowicki Ośrodek Kultury za powierzenie przetwarzania danych osobowych bez zawarcia pisemnej umowy powierzenia, przy czym zakres powierzonych danych związany był z prowadzeniem usług księgowo-kadrowych. Administrator nie przeprowadził także weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych by przetwarzanie spełniało wymogi rozporządzenia RODO i chroniło prawa osób, których dane dotyczą. Opisywana sprawa jest o tyle ciekawa, że Ośrodek nie posiadał żadnej dokumentacji odnośnie współpracy z firmą księgową, nie poczynił z nią żadnych ustaleń odnośnie współpracy w formie, którą dałoby się odtworzyć. Firma księgowa przechowywała tymczasem ważne firmowe dokumenty, w tym dotyczące odprowadzania składek ZUS. Doszło tutaj do sytuacji, w której podmiot przetwarzający nie odpowiadał na wezwania administratora do zwrotu przetwarzanych danych, co w konsekwencji doprowadziło do ich faktycznej utraty.
Powyższy stan faktyczny pokazuje, że brak umowy powierzenia może mieć realne skutki, takie jak naruszenie danych osobowych w postaci utraty tych danych. Umowa wyznacza nam bowiem szkielet wzajemnych obowiązków i praw oraz stanowi zabezpieczenie powierzanych danych osobowych.
Umowa powierzenia powinna zawierać następujące elementy:
– postanowienia dotyczące korzystania z podmiotu podprzetwarzającego (zgoda ogólna, szczegółowa, brak zgody);
– przedmiot i czas trwania przetwarzania;
– charakter i cel przetwarzania;
– rodzaj danych osobowych;
– kategorie osób, których dane dotyczą;
– obowiązek przetwarzania danych wyłącznie na udokumentowane polecenie administratora;
– zapewnienie, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
– wdrożenie przez podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych;
– obowiązek pomocy wywiązania się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz z obowiązków określonych w art. 32–36;
– postanowienia dot. zwrotu lub usunięcia danych osobowych;
– udostępnienie informacji, umożliwienie prowadzenia audytów i inspekcji.
Należy jednak podkreślić, że w umowie powierzenia nie chodzi o to, aby bez zastanowienia skopiować przepisy ustawy, ale o to, aby faktycznie uregulować jak powinno wyglądać przetwarzanie danych osobowych. Jeżeli natomiast chodzi o weryfikację stosowanych przez podmiot przetwarzający zabezpieczeń, to w tym zakresie częstą praktyką jest przesyłanie podmiotom przetwarzającym ankiet ze szczegółowymi pytaniami dotyczącymi stosowanych zabezpieczeń. Wydaje się, że taka ankieta będzie wystarczającym instrumentem do weryfikacji takich informacji.
W każdym przypadku, gdy przetwarzane są dane osobowe należy wypełnić obowiązek informacyjny wynikający z art. 13 lub 14 RODO. W przypadku, gdy agencja rekrutacyjna działa jako podmiot przetwarzający to podmiotem odpowiedzialnym za realizacje tego obowiązku będzie pracodawca, który zleca prowadzenie działań agencji rekrutacyjnej. W takim wypadku osobom, które biorą udział w rekrutacji należy przedstawić klauzulę informacyjną pracodawcy. W klauzuli powinna także znaleźć się informacja o odbiorcach danych, a zatem także o agencji, z usług której korzysta pracodawca.
Zanim przejdę do omówienia udostępnienia danych osobowych chciałabym omówić dopuszczalność prowadzenia tzw. rekrutacji ukrytych. Rekrutacje takie polegają na tym, że pracodawca, chcąc zachować anonimowość, nie ujawnia w czasie rekrutacji swojej tożsamości, dodaje ogłoszenie anonimowe. Takie działanie nie jest jednak dopuszczalne zgodnie z RODO, albowiem kandydat nie może wówczas uzyskać informacji o przetwarzaniu danych osobowych, która jest wymagana przez art. 13 RODO. Jednym z elementów takiej informacji są przecież dane administratora – jego nazwa, adres, dane kontaktowe itp. Prowadzenie rekrutacji ukrytej wyklucza udzielenie takich informacji, a to powoduje, że rekrutacji takiej nie da prowadzić się zgodnie z RODO.
Rozwiązaniem „problemu” rekrutacji ukrytych jest działalność agencji rekrutacyjnych. Korzystanie z usług takich agencji zaleca zresztą UODO w Poradniku dotyczącym zatrudnienia z 2018 r., gdzie wskazuje, że takie rozwiązanie pozwala na zachowanie anonimowości przez pracodawcę na wstępnym etapie rekrutacji. Wygląda to w ten sposób, że pracodawca zwraca się do agencji i agencja w jego imieniu poszukuje kandydatów. W tym modelu agencja rekrutacyjna działa jako administrator danych osobowych i to ona ustala cele i sposoby przetwarzania danych osobowych. Należy zwrócić uwagę, że agencje działają często na rzecz wielu pracodawców i posiadają własne bazy kandydatów, którzy przesyłają do nich cv. Nie ma tutaj wątpliwości, że administratorem danych osobowych kandydatów, którzy zwracają się do agencji będą właśnie agencje, a nie pracodawcy. W takim wypadku, po przeprowadzeniu wstępnego etapu rekrutacji, agencja będzie udostępniała dane osobowe kandydatów bezpośrednio pracodawcom. Należy przy tym pamiętać, że na takie udostępnienie danych osobowych należy pozyskać zgodę kandydata, przy czym zgoda powinna zostać udzielona w momencie, gdy kandydat będzie poinformowany o tym, do jakiego pracodawcy trafią jego dane. Tylko wówczas zgoda zostanie udzielona świadomie. Do czasu udzielenia zgody agencja może przekazywać pracodawcy wyłącznie dane zanonimizowane, wykluczające identyfikację kandydata.
W niniejszym dodatku temat zgody poruszyliśmy wiele razy, jednak również w niniejszym artykule musimy przypomnieć, że na gruncie RODO zgoda niekoniecznie musi być wyraźnym oświadczeniem. Zgoda może także przybrać formę okazania woli, tj. takiego zachowania, z którego jasno wynika, że kandydat zgadza się na dane działanie. Uważam wobec tego, że możliwe jest pozyskiwanie zgód kandydatów na udostępnienie danych w sposób mniej sformalizowany, tj. poprzez odpowiednie ukształtowanie procesu rekrutacyjnego. W praktyce po zakończeniu wstępnego etapu rekrutacji agencja mogłaby kontaktować się z kandydatem telefonicznie i informować o przebiegu rekrutacji, a także wskazywać, do jakiego pracodawcy trafią dane osobowe i czy kandydat zgadza się na przekazanie. Następnie, taką ustną zgodę, dla potrzeb realizacji zasady rozliczalności, należałoby potwierdzić w wiadomości e-mail do kandydata, przesyłając podsumowanie rozmowy oraz informacji dotyczących procesu rekrutacyjnego.
Oczywiście sytuacja jest bardziej przejrzysta w przypadku, gdy rekrutacje nie dotyczą anonimowych pracodawców. W niektórych przypadkach pracodawca korzysta z usług agencji rekrutacyjnych, ale nazwa pracodawcy jest od razu widoczna w ogłoszeniu o pracę. W takim wypadku nie ulega wątpliwości, że samo przesłanie przez kandydata zgłoszenia na taką ofertę oznacza, że wyraża on zgodę na udostępnienie jego danych osobowych pracodawcy, którego dotyczy oferta.
Jeżeli agencja rekrutacyjna działa w charakterze administratora danych osobowych to koniecznym jest rozważenie, na jakiej podstawie agencja będzie przetwarzała dane osobowe. W przypadku agencji nie możemy powołać się na realizację obowiązku prawnego (art. 6 ust. 1 lit. c RODO), który dotyczy pracodawców w zakresie danych, których mogą żądać od kandydatów. Agencja nie będzie także podmiotem, z którym kandydat będzie podpisywał umowę o pracę lub współpracę, a zatem powoływanie się na przesłankę z art. 6 ust. 1 lit. b RODO również będzie faktycznie wykluczone. W związku z powyższym, w przypadku agencji najbardziej poprawną podstawę wydaje się zbieranie zgody kandydata na udział w rekrutacji. Należy przy tym także zwrócić uwagę na rozdzielenie zgody na bieżącą rekrutację od zgody na rekrutacje przyszłe – kandydat powinien bowiem mieć faktyczną możliwość dokonania wyboru w tym zakresie.
Jeżeli agencja działa w charakterze administratora danych osobowych (co w praktyce jest sytuacją częstszą), to powinna także pamiętać o przygotowaniu informacji o przetwarzaniu danych osobowych, wynikającej z art. 13 RODO. Poza wskazaną wyżej informacją w zakresie podstawy przetwarzania danych należy pamiętać m.in. o poinformowaniu o celu przetwarzania danych, danych administratora, odbiorcach danych, a także o ewentualnym międzynarodowym przekazywaniu danych osobowych i innych elementach wynikających z przepisów. W przypadku agencji rekrutacyjnych szczególnie istotne będzie zwrócenie uwagi, czy mamy do czynienia z międzynarodowym transferem danych osobowych, co może być częstą sytuacją w przypadku prowadzenia rekrutacji na rzecz podmiotów zagranicznych albo na rzecz firm, które mają podmioty powiązane w krajach trzecich. Agencja powinna zawsze zadbać o to, aby ustalić, czy współpraca z danym pracodawcą może wiązać się z międzynarodowym przekazywaniem danych i wówczas odpowiednio taki transfer zabezpieczyć.
Jednym z aspektów działalności agencji rekrutacyjnej są działania marketingowe. W praktyce niektóre aspekty dotyczące przyszłych rekrutacji oraz działań marketingowych mogą się pokrywać. Z tego względu należy ostrożnie podchodzić przykładowo do przesyłania kandydatowi propozycji ogłoszeń, na które mógłby zaaplikować – w mojej opinii takie działania będą działaniami marketingowymi. Jeżeli ktoś wyraził zgodę na udział w przyszłych rekrutacjach, to znaczy, że chciałby być brany pod uwagę, o ile odpowiednia rekrutacja będzie prowadzona. Z tego względu uważam, że przesyłanie innych komunikatów wymaga odrębnej zgody na przesyłanie informacji o charakterze marketingowym.
Zdaniem Autora:
Rekrutacja poprzez agencje rekrutacyjne jest bardzo popularna wśród pracodawców. Pozwala ona na skorzystanie z profesjonalnej wiedzy specjalistów ds. rekrutacji, którzy wiedzą na co zwracać uwagę przy wyborze kandydatów i jakie cechy będą istotne dla pracodawcy. Niestety w dalszym ciągu prawidłowe ukształtowanie wzajemnych stosunków w zakresie danych osobowych na linii pracodawca-agencja nie jest jasne i zdarzają się w tym zakresie błędy. Tylko dokładne przeanalizowanie zaplanowanych działań i formy współpracy pozwoli przyjąć odpowiednie środki, które zapewnią bezpieczeństwo danych osobowych i uchronią organizację przed naruszeniami.
Artykuł ukazał się w publikacji „Poradnik prenumeratora. 5 lat z RODO – przewodnik” wydanej przez „Rzeczpospolitą” w dniu 21.06.2023 r.
Interesujesz się zagadnieniami związanymi z RODO? Przeczytaj koniecznie o sztucznej inteligencji jako narzędziu marketingowym tutaj, o prowadzeniu działań marketingowych z perspektywy przepisów ochrony danych osobowych tutaj, o profilowaniu zgodnym z RODO tutaj, jak prawidłowo stosować cookies tutaj, o kontroli trzeźwości w kontekście ochrony danych tutaj, o inspektorze ochrony danych i jego roli w firmie tutaj, kontroli pracy zdalnej tutaj stosunkach pomiędzy agencją rekrutacyjną a pracodawcą podczas procesu rekrutacji tutaj.
[1] Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO, dostęp: https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_pl.pdf
[2] Tamże, s. 3.
[3] Dostęp: https://www.uodo.gov.pl/decyzje/DKN.5131.29.2022
