Zgoda na przetwarzanie danych osobowych – co powinna zawierać i kiedy uzyskanie jej jest konieczne?

Zgoda na przetwarzanie danych osobowych – podstawa prawna

Najważniejsze informacje dotyczące zasad gromadzenia oraz przetwarzania danych można znaleźć w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Treść aktu prawnego można znaleźć na ogólnodostępnej na stronie Dziennik Urzędowy Unii Europejskiej.

Na początku warto wyjaśnić, czym są dane osobowe w rozumieniu RODO? Według definicji umieszczonej w art. 4 pkt 1 pojęcie to obejmuje wszystkie informacje pozwalające na pośrednie lub bezpośrednie zidentyfikowanie osoby fizycznej. Mowa tu o identyfikatorach takich jak: imię i nazwisko, numer identyfikacyjny (na przykład PESEL), dane o lokalizacji, identyfikator internetowy, jeden lub kilka znaków szczególnych określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Wśród przykładów można wyróżnić adres zamieszkania, numer telefonu, numer dowodu osobistego, adres IP czy nawet informacje o stanie zdrowia.

W niektórych sytuacjach firmy oraz instytucje, które gromadzą wyżej wymienione informacje, są zobowiązane do uzyskania zgody na przetwarzanie danych. Według art. 4 pkt 11 zgoda na przetwarzanie danych osobowych musi być wyrażona dobrowolnie, świadomie, w sposób konkretny i jednoznaczny. Może mieć dwie  formy. Pierwsza z nich to oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych, z kolei druga to działanie wskazująca wyraźne przyzwolenie na takie działanie. Oznacza to, że z treści zgody powinno jasno wynikać,  kto uzyska dostęp do tych informacji, jakie uprawnienia jej przysługują  oraz w jakim celu zostaną wykorzystane.

Zgoda na przetwarzanie danych osobowych – kiedy jest konieczna?

Zgoda na przetwarzanie danych osobowych pracownika nie jest obowiązkowa w każdej sytuacji. Pracodawca może zostać zwolniony z tego obowiązku, jeżeli kandydat do pracy wypełni wcześniej kwestionariusz osobowy. Takie działanie uznawane jest za działanie wyraźnie potwierdzające przyzwolenie na gromadzenie oraz przetwarzanie informacji identyfikujących osobę fizyczną. Odbywa się to na podstawie regulacji zawartych w ustawie z dnia 26 czerwca 1974 roku Kodeks pracy (Dz. U. 1974 Nr 24 poz. 141), gdzie uwzględnione zostały dane osobowe, których pracodawca ma prawo zażądać. Wśród nich oprócz danych osobowych przekazywanych w drodze rekrutacji znajdują się również: numer PESEL, imiona i nazwiska oraz daty urodzenia jego dzieci (jeśli jest to konieczne w celu skorzystania z dodatkowych świadczeń oraz uprawnień), a także innych informacji wymaganych na podstawie odrębnych przepisów. Podstawą do takiego działania jest również art. 6 pkt 1c RODO dotyczący przetwarzania danych niezbędnych do wywiązania się przez administratora z ciążących na nim obowiązków. Jednak kiedy pracodawca wymaga dodatkowych informacji wykraczających poza zakres dopuszczony przez regulacje prawne, wówczas konieczna będzie dodatkowa zgoda na przetwarzanie danych. Powinny znaleźć się w niej następujące elementy:

  1. cel przetwarzania danych osobowych,
  2. zakres informacji, które będą przetwarzane,
  3. dane pozwalające na identyfikację podmiotu odpowiedzialnego za gromadzenie oraz przetwarzanie informacji objętych RODO,
  4. a także pouczenie o przysługującym prawie do wycofania zgody.

Ponadto zgoda na przetwarzanie danych osobowych pracownika w formie pisemnej powinna być wyrażona prostym i zrozumiałym językiem.

Oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych – co powinno zawierać?

Rozporządzenie RODO dotyczy pracodawców, pracowników, rekruterów, a także kandydatów na dane stanowisko. W procesie rekrutacji przedsiębiorcy wymagają zazwyczaj przesłania dokumentów rekrutacyjnych. Wśród nich znajduje się przede wszystkim CV zawierające takie informacje jak: imię i nazwisko, numer telefonu, adres e–mail, wykształcenie, umiejętności i doświadczenie zawodowe. Nie ulega wątpliwości, że firma wchodząca w posiadanie takiego dokumentu w rozumieniu RODO otrzymuje dostęp do danych osobowych, które następnie gromadzi i przetwarza. Dlatego też konieczne okazuje się uwzględnienie w CV krótkiego oświadczenia pełniącego funkcję zgody. Klauzula o ochronie danych osobowych może mieć dowolną treść. Jednak musi z niej jasno wynikać, komu i w jakim celu kandydat udostępnia informacje na swój temat. Bez takiego zapisu pracodawca nie może wykorzystać danych znajdujących się w dokumencie w celu nawiązania kontaktu.

Co powinna zawierać klauzula o ochronie danych osobowych?

Istnieją dwie możliwości. Pierwsza z nich to zgoda na wykorzystanie informacji zawartych w CV podczas konkretnej rekrutacji. W takim przypadku może być sformułowana w następujący sposób: “Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy) w celu prowadzenia rekrutacji na aplikowane przeze mnie stanowisko.” Z kolei drugie rozwiązanie daje pracodawcy szansę na archiwizację dokumentu oraz przetwarzanie danych na potrzeby przyszłych naborów. W takiej sytuacji do powyższej formuły należy dopisać informacje: “Wyrażam również zgodę na przetwarzanie moich danych osobowych w celu prowadzenia przyszłych rekrutacji przez wyżej wskazaną firmę”. Taka klauzula gwarantuje bezpieczeństwo zarówno kandydatowi, jak i pracodawcy.

Zamowterminal - Poradniki

Skontaktujemy się z Tobą jak najszybciej

Klikając w przycisk „Zamów rozmowę” oświadczam, że zapoznałem się z polityką prywatności i informacją o Administratorze danych

Chcę porozmawiać z Doradcą

Chcę porozmawiać z Doradcą - Modal

Chcę poznać ofertę

Chcę poznać ofertę