Rekrutacje ukryte mogą być przykrywką do wyłudzania danych, a nawet mimowolnego udziału w przestępstwie. Eksperci w niektórych przypadkach mają też wątpliwości co do ich zgodności z prawem.

Wyłudzenia danych są dziś na porządku dziennym. Łatwą metodą ich pozyskania przez przestępców jest zamieszczenie oferty pracy. Media często informują o takich sprawach, w których oszuści przy okazji rekrutacji proszą o podanie nie tylko takich informacji jak wykształcenie czy przebieg dotychczasowego zatrudnienia, lecz także np. numerów PESEL, dowodu osobistego czy rachunku bankowego.

Idealną sposobnością do wyłudzenia danych mogą być rekrutacje ukryte, czyli takie, w których pracodawcy na początku nie ujawniają swoich danych. Potwierdza to generalny inspektor ochrony danych osobowych i przestrzega przed korzystaniem z usług nieznanych podmiotów, a w szczególności przed udostępnianiem w sposób nieprzemyślany szerokiego zakresu informacji o sobie. Wskazuje przy tym, że wprawdzie osoba, której dane dotyczą, może z własnej woli przekazać w CV więcej informacji o sobie, ale pracodawca nie ma prawa żądać od kandydata do pracy przekazania w procesie rekrutacji informacji w zakresie szerszym, niż wskazuje na to art. 221 ustawy z 26 czerwca 1974 r. – Kodeks pracy (t.j. Dz.U. z 2016 r. poz. 1666; dalej: k.p.). W ogłoszeniu można zatem wymagać podania wyłącznie takich danych, jak: imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania (adres do korespondencji), wykształcenie i przebieg dotychczasowego zatrudnienia.

GIODO radzi więc, by przy udostępnianiu danych potencjalnym pracodawcom zachować szczególną ostrożność.

– Zamieszczanie ogłoszeń o rekrutacji jedynie w celu zdobycia danych osobowych osób ubiegających się o pracę, a nie ich zatrudnienia, to wyjątkowo perfidny sposób wyłudzania danych. Osoby zainteresowane znalezieniem pracy są bowiem w stanie udostępnić bardzo wiele informacji o sobie, pomijając związane z tym zagrożenia, chociażby takie jak kradzież tożsamości. Tymczasem podmioty dysponujące kompletem dotyczących nas informacji mogą się podszyć pod nas, zaciągając w naszym imieniu chociażby kredyt w banku – mówi dr Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych.

Dodaje, że przy udostępnianiu danych należy być ostrożnym i zwracać uwagę m.in. na to, czy prowadzący rekrutację potencjalny pracodawca podaje swoją nazwę i adres, tak by można było sprawdzić jego wiarygodność oraz – w razie potrzeby – wyegzekwować przysługujące nam prawa.

– Warto też przeanalizować, jakich danych się od nas żąda, pamiętając, że ich zakres określa art. 221 k.p., i żadnych dodatkowych informacji wykraczających poza określony w nim katalog nie musimy udostępniać – przypomina.

GIODO radzi ponadto, by przed przesłaniem swojej aplikacji bardzo dokładnie zapoznać się z treścią oferty pracy, a w sytuacjach gdy pracodawca np. w niejasny sposób opisuje rodzaj swojej działalności lub oferuje natychmiastowe zatrudnienie, nawet bez telefonicznej rozmowy kwalifikacyjnej, nie przesyłać informacji o sobie. Przestrzega również, by w przesyłanych na potrzeby rekrutacji dokumentach nie umieszczać numerów kart kredytowych, kont bankowych czy numerów dokumentów tożsamości. Niebezpieczne może być również dokonywanie przelewu weryfikacyjnego, może on bowiem posłużyć do zaciągnięcia w naszym imieniu zobowiązań finansowych.

Opinia GIODO

Obecna opinia GIODO zdaje się być niespójna z wcześniejszym jego stanowiskiem. W komunikacie z 28 lipca 2011 r. opublikowanym na stronie internetowej GIODO wskazano bowiem, że praktyka przetwarzania przez firmy rekrutacyjne danych osobowych kandydatów do pracy pozyskiwanych na podstawie ogłoszeń zamieszczanych w prasie, w których potencjalny pracodawca zlecający firmie rekrutacyjnej przeprowadzenie postępowania rekrutacyjnego zastrzega sobie anonimowość, jest niezgodna z ustawą o ochronie danych osobowych. GIODO uznał przy tym, że w ten sposób nie jest spełniony obowiązek informacyjny wobec osób, których dane są gromadzone. Osoba ubiegająca się o zatrudnienie nie uzyskuje bowiem wówczas informacji o podmiocie, któremu dane będą udostępnione, pomimo że firma rekrutacyjna takimi informacjami dysponuje.

Dwa modele

Eksperci mają wątpliwości co do legalności rekrutacji ukrytych i obecnego stanowiska GIODO w tym zakresie. Wskazują przy tym, że zgodność z prawem procesów rekrutacyjnych zależy od przyjętego modelu zbierania danych.

– Problem z rekrutacjami ukrytymi dotyczy zwłaszcza momentu, w którym obowiązek informacyjny powinien być spełniony. Należy uznać je za dopuszczalne w takim modelu, gdy firma rekrutacyjna sama jest administratorem danych osobowych, tworzy własną bazę takich danych, które gromadzi na potrzeby ewentualnych przyszłych rekrutacji. Wówczas bowiem obowiązek informacyjny może być spełniony po pozyskaniu danych przez rekrutującego pracodawcę. Oczywiście w takiej sytuacji podmiot rekrutujący musi dysponować odpowiednią podstawą prawną, np. zgodą na udostępnienie tych danych pracodawcy – zauważa Mirosław Gumularz, radca prawny, specjalista ds. ochrony danych osobowych i prawa nowych technologii.

Wskazuje przy tym, że wątpliwości pojawiają się wtedy, gdy agencja HR nie ma statusu administratora danych osobowych, a przetwarza je na zlecenie pracodawcy jako tzw. procesor, na podstawie umowy powierzenia danych.

– Ich administratorem jest wtedy wyłącznie pracodawca, który rękami agencji HR gromadzi dane osobowe na potrzeby rekrutacji, bezpośrednio od osób, których te dane dotyczą. W tym modelu obowiązek poinformowania kandydata m.in. o nazwie i adresie podmiotu, który przetwarza dane, powinien być spełniony w momencie ich pozyskania, co w większości przypadków wymusza ujawnienie się przez pracodawcę, zanim do tego dojdzie. Chodzi o to, aby osoba dzieląca się swoimi danymi osobowymi, np. w CV, miała świadomość tego, kto i w jakim celu te dane będzie przetwarzał. A to oznacza, że informacja przesłana już po pozyskaniu danych – nawet bezpośrednio po tym – mogłaby zostać uznana za spóźnioną. Oczywiście w tym przypadku należy ocenić także faktyczne możliwości spełnienia obowiązku informacyjnego w momencie pozyskania danych osobowych – zaznacza Mirosław Gumularz.

Co ciekawe, o tym właśnie modelu mówi w swoim stanowisku GIODO, choć nie wskazuje jednocześnie na wątpliwości co do jego legalności.

Zwraca na to uwagę Grzegorz Leśniewski, adwokat, menedżer w kancelarii Olesiński i Wspólnicy. Jak wskazuje, w sprawie rozpatrywanej przez GIODO firma rekrutacyjna formalnie działała zgodnie z prawem – dlatego też umorzono postępowanie. Nieprawidłowo działa natomiast pracodawca.

– W modelu, gdzie od początku pracodawcy są administratorem danych osobowych i powierzają dane do przetwarzania agencji rekrutacyjnej, złożenie CV przez kandydata w ramach portalu czy aplikacji firmy rekrutacyjnej jest równoważne z jego złożeniem bezpośrednio pracodawcy. Powinien on wówczas zrealizować obowiązek informacyjny zgodnie z art. 24 u.o.d.o., tj. z własnej inicjatywy i zasadniczo przed albo z chwilą gromadzenia danych (samodzielnie albo poprzez umowne zlecenie tego firmie rekrutacyjnej). W takim modelu w mojej ocenie rekrutacja ukryta jest niedopuszczalna – twierdzi Grzegorz Leśniewski.

Zaznacza przy tym, że można by również zastanowić się nad odpowiedzialnością firmy rekrutacyjnej biorącej udział w takim modelu za pomocnictwo w popełnieniu przestępstwa z art. 54 u.o.d.o. w postaci niedopełnienia obowiązku informacyjnego, jeżeli oba podmioty działają umyślnie. Agencja ta jako profesjonalista udostępnia bowiem narzędzie, które pozwala i w zamierzeniu ma na celu prowadzenie rekrutacji bez realizowania przez administratora jego obowiązków informacyjnych.

– Możliwe, że tutaj GIODO przeoczył, iż obowiązek informacyjny w opisanym w decyzji modelu powinien być realizowany uprzednio, tj. z chwilą zbierania danych, zgodnie z art. 24 u.o.d.o., a nie następczo, jak wynika z art. 25 u.o.d.o. – wskazuje.

Katarzyna Witkowska, prawnik w kancelarii Lubasz i Wspólnicy, dodaje, że w analizowanym przypadku, jeżeli sam proces zbierania danych został zlecony podmiotowi zewnętrznemu, administrator powinien zadbać o to, by obowiązek informacyjny został zrealizowany w jego imieniu. Tak jak administrator może powierzyć innemu podmiotowi dokonywanie pewnych operacji przetwarzania, tak samo może zobowiązać taki podmiot do wykonywania w jego imieniu określonych obowiązków – wszystko zależy od ustaleń poczynionych między stronami.

– Choć przepisy nie wskazują czasu, w jakim ten obowiązek powinien być wykonany, należy pamiętać, że powinien być to etap zbierania danych, a katalog przekazywanych informacji ma np. ułatwić osobie, której dane dotyczą, podjęcie decyzji, czy w ogóle wyraża zgodę na przetwarzanie jej danych przez konkretny podmiot. O wyrażeniu świadomej zgody nie można mówić, jeżeli nie wiadomo, komu ta zgoda jest udzielana – wskazuje.

Mecenas Leśniewski wyjaśnia, że prawidłowym modelem dla prowadzenia rekrutacji ukrytych będzie więc sytuacja, w której w uproszczeniu:

  • administratorem danych osobowych jest firma rekrutacyjna i realizuje obowiązki informacyjne we własnym imieniu, w tym wskazuje znanych jej lub przewidywanych odbiorców danych albo ich kategorie,
  • firma rekrutacyjna odbiera zgodę kandydata na przekazanie w przyszłości danych kandydata nieoznaczonemu pracodawcy, dbając aby zgoda taka była skuteczna i możliwie precyzyjna,
  • po przekazaniu danych pracodawcy pracodawca staje się niezależnym administratorem danych osobowych i realizuje obowiązek informacyjny zgodnie z art. 25 u.o.d.o.

Również Katarzyna Witkowska przyznaje, że w tym modelu, w którym to firma rekrutująca działa jako administrator danych i zbiera dane dla siebie, a następnie zgodnie ze zgłaszanym zapotrzebowaniem udostępnia je pracodawcom, są większe możliwości działania zgodnie z prawem.

– Na etapie zbierania danych podmiot rekrutujący powinien oczywiście spełnić obowiązek informacyjny i wskazać, że do udostępnienia będzie dochodzić, przekazując także informację o konkretnych odbiorcach lub o możliwie wąsko i precyzyjnie zakreślonej kategorii odbiorców. Warto dodać, że w takim przypadku na pracodawcy, który dane otrzymał, też ciążyć będzie obowiązek informacyjny, ale ten określony w art. 25 ustawy o ochronie danych osobowych – zaznacza.

W praktyce

Nietrudno dostrzec, że model zbierania danych, w którym portal internetowy działa wyłącznie jako pośrednik, a administratorem danych pozostaje wyłącznie pracodawca, jest typowy m.in. dla popularnych portali z darmowymi ogłoszeniami lokalnymi i wielu serwisów typowo rekruterskich. Wśród zamieszczanych na nich ogłoszeń o pracę aż roi się od rekrutacji ukrytych. W wielu przypadkach kandydaci aplikujący na takie ogłoszenia nigdy nie dowiadują się, kto był za nie odpowiedzialny. Utyskiwania na taki stan rzeczy można spotkać często w wypowiedziach na forach internetowych. W drugim modelu, w którym to agencja HR jest administratorem danych osobowych, rekrutacja ukryta jest co do zasady dopuszczalna. W tym przypadku kandydat z reguły od początku zna dane administratora, czyli firmy rekrutacyjnej. Dopiero zaś po przekazaniu aplikacji kandydata zainteresowanemu pracodawcy ten ostatni musi spełnić swój własny obowiązek poinformowania aplikującego m.in. o swojej nazwie i adresie. W tym przypadku również mogą się pojawić niezgodne z prawem zaniechania po stronie firm.

– Ze spełnianiem obowiązku informacyjnego przez pracodawców w terminie – niezależnie od modelu gromadzenia danych – bywa różnie. I choć niejednokrotnie portale internetowe, na których zamieszczane są ogłoszenia o pracę, przypominają o nim pracodawcom, to jednak zdarza się, że niektórzy nie ujawniają się w ogóle lub przekazują informacje po terminie. Warto przy tym zaznaczyć, że pośrednicząca w procesie rekrutacji agencja HR nie może wówczas narzucać pracodawcy spełnienia tego obowiązku – nie jest ona bowiem administratorem tych danych – podkreśla Mirosław Gumularz.

Grzegorz Leśniewski zaznacza ponadto, że czasem ustalenie tego, czy w danym modelu firma rekrutacyjna ma status administratora danych, czy też nie, może być trudne. Zależy to bowiem od tego, czy faktycznie decyduje ona o celu zbierania danych i środkach służących do ich przetwarzania. Może to być kwestionowane m.in. wtedy, gdy daną aplikację pozyskuje wyłącznie w celu przekazania jednemu pracodawcy.