Francuski organ nadzorczy (CNIL) opublikował projekt wytycznych dotyczących przetwarzania danych osobowych w ramach procesów rekrutacji. Wytyczne zostały przygotowane w formie odpowiedzi na pytania w sprawie przetwarzania danych kandydatów do pracy. Pytania te odnoszą się do 19 zakresów tematycznych, m.in. statusu administratora danych przetwarzanych w toku rekrutacji, podstawy prawnej przetwarzania danych kandydatów, obowiązku informacyjnego wobec kandydatów do pracy, okresu przechowywania danych, używania narzędzi służących do oceny osobowości kandydata, zbierania danych o kandydacie, które są publicznie dostępne w Internecie, używania narzędzi do zautomatyzowanej oceny lub selekcji kandydatów.

Aktualnie prowadzone są konsultacje publiczne dotyczące projektu wytycznych – potrwają one do połowy listopada 2021 r. Spodziewanym terminem publikacji ostatecznej wersji wytycznych jest luty 2022 r.

Poniżej przedstawiamy zawarte w wytycznych stanowiska CNIL co do kilku wybranych zagadnień.

Administratorzy i podmioty przetwarzające w procesie rekrutacyjnym

CNIL zwraca uwagę, że w procesie rekrutacji mogą brać udział bezpośrednio lub pośrednio różne podmioty, w tym pracodawcy, agencje rekrutacyjne, platformy internetowe, agencje pracy tymczasowej, usługodawcy outsourcingowi procesu rekrutacji.

Organ szczegółowo tłumaczy w wytycznych, na podstawie jakich kryteriów należy przypisać poszczególnym podmiotom rolę administratora, współadministratora lub podmiotu przetwarzającego.

CNIL podaje następujące przykłady podmiotów będących administratorami danych kandydatów do pracy:

  • pracodawca;
  • agencja rekrutacyjna zbierająca dane w celu utworzenia bazy danych kandydatów, z której korzysta w ramach klasycznej działalności pośrednictwa pracy (tzw. headhuntera).

Przykładami podmiotów przetwarzających dane w ramach rekrutacji są:

  • usługodawca świadczący całość lub część procesu rekrutacji w imieniu klienta (pracodawcy), który zleca całość lub część tego procesu;
  • zewnętrzny usługodawca, któremu administrator powierza zaprojektowanie i hosting swojej strony internetowej i który na zlecenie administratora danych tworzy na stronie funkcjonalność związaną z rekrutacją pracowników (np. pozwalającą na wysyłanie CV);
  • podmiot specjalizujący się w organizowaniu testów, o ile rodzaj i zasady przeprowadzania testu są ustalone przez pracodawcę, a uzyskane wyniki są przekazywane pracodawcy.

Przeprowadzanie DPIA

Francuski regulator przedstawił kilka przykładów sytuacji, w których ze względu na wysokie ryzyko naruszenia praw lub wolności osób fizycznych konieczne jest przeprowadzenie oceny skutków dla ochrony danych:

  • przetwarzanie danych z sieci społecznościowych i publicznie dostępnych baz danych w celu wyszukania potencjalnych kandydatów na stanowiska kierownicze i skontaktowania się z najlepszymi kandydatami;
  • wykorzystanie algorytmu predykcyjnego umożliwiającego znalezienie w bazie ofert pracy propozycji, które są odpowiednie dla umiejętności wskazanych w CV kandydata;
  • testowanie kandydatów do pracy za pomocą gier – np. gier logicznych, odgrywania ról (smart/serious/business games) – w celu określenia osobowości kandydata lub pomiaru jego umiejętności zawodowych.

Dokonywanie oceny osobowości kandydata do pracy

CNIL zwrócił uwagę, że rekrutujący korzystają z różnego rodzaju narzędzi oceny osobowości kandydata, np. zaklasyfikowania kandydatów do konkretnego „typu osobowości” czy też pomiaru ich wybranych umiejętności, takich jak odporność na stres, kreatywność, praca w zespole itp. W metodach tych chodzi o określenie zachowania kandydata (umiejętności interpersonalnych), a niekoniecznie tego, co wie lub co potrafi zrobić.

Zdaniem francuskiego organu stosowanie tego typu narzędzi – a w konsekwencji zbieranie danych dotyczących osobowości czy szczególnych umiejętności kandydata – może być w pewnych sytuacjach uzasadnione.

Jeśli chodzi o podstawę prawną takiego przetwarzania danych, zdaniem CNIL zgoda ani niezbędność danych do zawarcia umowy nie byłyby właściwymi przesłankami w tym przypadku. Odpowiednią podstawą prawną może być prawnie uzasadniony interes administratora, oczywiście pod warunkiem że jest on nadrzędny wobec praw, wolności i interesów kandydata do pracy.

W związku z tym bardzo ważne jest wykazanie, że dane uzyskane lub wygenerowane za pomocą zastosowanych metod oceny osobowości są rzeczywiście niezbędne i istotne w procesie rekrutacji. Innymi słowy, zastosowanie takich narzędzi jest konieczne do tego, aby ocenić umiejętności zawodowe kandydata i jego zdolność do wykonywania pracy na konkretnym stanowisku.

Ponadto CNIL rekomenduje przeprowadzenie DPIA, aby zidentyfikować i zminimalizować ryzyko naruszenia praw i interesów kandydatów do pracy. Konieczne jest także przejrzyste informowanie kandydatów do pracy o stosowanych metodach oceny osobowości.

Zbieranie danych publicznie dostępnych w Internecie

CNIL podkreślił, że zbieranie danych osobowych kandydatów, które są publicznie dostępne w Internecie, stanowi „przetwarzanie danych”, a zatem konieczne jest spełnienie wszystkich wymogów prawnych z tym związanych. Rekrutujący musi m.in. określić cel przetwarzania danych, zapewnić adekwatność i minimalizację gromadzonych danych, ustalić podstawę prawną przetwarzania, a także spełnić obowiązek informacyjny wobec kandydatów do pracy.

CNIL wskazał, że dane osobowe zbierane z publicznie dostępnych źródeł – podobnie jak inne dane kandydata do pracy – mogą być wykorzystywane przez rekrutujących wyłącznie do oceny umiejętności zawodowych kandydata oraz jego zdolności (predyspozycji) do wykonywania pracy na konkretnym stanowisku (wynika to z francuskiego kodeksu pracy).

Francuski organ podał też przykłady sytuacji, w których zbieranie publicznie dostępnych online danych o kandydatach jest dopuszczalne:

  • Gdy zbieranie danych z publicznie dostępnych źródeł online następuje z inicjatywy rekrutującego i ma na celu uzupełnienie lub ocenę spójności informacji dostarczonych przez kandydata, np. rekrutujący zbiera informacje ogólnie dostępne o kilku kandydatach, których wybrał do ostatniego etapu rekrutacji. Z uwagi na dużą ilość danych dostępnych w Internecie rekrutujący musi uważnie wybierać dane, które przegląda, i brać pod uwagę tylko te, które są adekwatne oraz ściśle związane z działalnością zawodową kandydatów, jak np. ich profile w serwisie społecznościowym dla profesjonalistów.
  • Gdy kandydat z własnej inicjatywy zwrócił uwagę rekrutującego na określone treści online w celu uzupełnienia lub zilustrowania pewnych umiejętności lub informacji przekazanych rekrutującemu, np. kandydat na stanowisko grafika przekazuje w ramach podania link do bloga, na którym publikuje swoje obrazy/grafiki. Tego rodzaju treści mogą być uznane za wyraźnie związane z działalnością zawodową kandydata i konieczne do oceny jego umiejętności.