
Rekrutacja to kluczowy proces w każdej firmie, a coraz częściej przedsiębiorcy decydują się na współpracę z agencjami rekrutacyjnymi, które pomagają znaleźć odpowiednich kandydatów. Wybór takiej współpracy wiąże się jednak z koniecznością przestrzegania przepisów dotyczących ochrony danych osobowych, zawartych w RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679). Jakie modele współpracy można przyjąć, aby być zgodnym z przepisami? Przyjrzyjmy się trzem najpopularniejszym scenariuszom.
Kluczowe pytania przed wyborem modelu współpracy
Zanim pracodawca zdecyduje, na jakim modelu współpracy opierać relację z agencją rekrutacyjną, musi odpowiedzieć na kilka kluczowych pytań:
- Czy dane osobowe kandydatów będą pochodzić z zasobów agencji rekrutacyjnej?
- Czy agencja będzie prowadzić rekrutację w swoim imieniu, czy w imieniu pracodawcy?
- Czy agencja ma swoje własne bazy danych, z których może czerpać kandydatów?
Zapoznaj się z naszą ofertą wdrożenia RODO
Odpowiedzi na te pytania pomagają określić, kto w procesie rekrutacji będzie administratorem danych, a kto podmiotem przetwarzającym, co wpływa na obowiązki informacyjne i dokumentację wymaganą przez RODO.
OPCJA 1: Agencja jako administrator danych osobowych
W tym modelu agencja rekrutacyjna działa jako administrator danych osobowych kandydatów, co oznacza, że to ona decyduje o celach i sposobach przetwarzania danych. Agencja może pozyskiwać kandydatów z własnych baz danych lub aktywnie wyszukiwać ich, np. poprzez zamieszczanie ogłoszeń w imieniu własnym. Kandydaci aplikują bezpośrednio do agencji, a ich dane są wykorzystywane nie tylko w jednej konkretnej rekrutacji, ale także mogą być przechowywane i używane przy innych procesach dla różnych klientów.
Przeczytaj także: Chat GPT kontra ochrona danych osobowych
Obowiązki agencji jako administratora danych:
- Przeprowadzenie pierwszego etapu rekrutacji – zebranie i selekcjonowanie CV kandydatów.
- Zapewnienie zgodności z obowiązkami informacyjnymi wynikającymi z RODO, czyli informowanie kandydatów o przetwarzaniu ich danych.
- Udostępnienie danych kandydatów klientowi, który po otrzymaniu dokumentów staje się nowym administratorem danych, co wiąże się z jego obowiązkiem informacyjnym na podstawie art. 14 RODO.
OPCJA 2: Agencja jako podmiot przetwarzający (procesor)
W tym przypadku agencja rekrutacyjna działa na zlecenie pracodawcy (klienta) i w jego imieniu prowadzi proces rekrutacji. Agencja zamieszcza ogłoszenia, kontaktuje się z kandydatami, ale nie korzysta z własnych baz danych – wszystkie działania są wykonywane na rzecz i w imieniu klienta, który pozostaje administratorem danych osobowych.
Kluczowe obowiązki:
- Pracodawca musi zawrzeć z agencją umowę powierzenia przetwarzania danych, w której dokładnie określone zostaną cele i sposoby przetwarzania danych kandydatów.
- Agencja przetwarza dane tylko w zakresie wyznaczonym przez pracodawcę i nie może wykorzystać ich do innych celów.
- Po zakończeniu procesu rekrutacyjnego agencja jest zobowiązana do usunięcia danych kandydatów zgodnie z umową.
Przeczytaj także: Moje dane wyciekły. Co zrobić z naruszeniem ochrony danych?
OPCJA 3: Model mieszany – administrator i procesor jednocześnie
Ten model łączy elementy obu poprzednich. Agencja rekrutacyjna działa zarówno jako administrator danych (kiedy korzysta z własnych baz kandydatów), jak i procesor, wyszukując nowych kandydatów na zlecenie klienta. W efekcie mamy do czynienia z dwoma różnymi sytuacjami, które wiążą się z odmiennymi obowiązkami informacyjnymi.
Jak to działa w praktyce?
- Kiedy agencja korzysta z własnych baz danych, przekazuje dokumenty aplikacyjne klientowi, który po ich otrzymaniu staje się nowym administratorem danych, zobowiązanym do spełnienia obowiązku informacyjnego wynikającego z art. 14 RODO.
- W przypadku poszukiwania kandydatów w imieniu klienta, agencja powinna zadbać o obowiązek informacyjny w jego imieniu zgodnie z art. 13 RODO.

Wnioski
Każdy z trzech przedstawionych modeli współpracy z agencją rekrutacyjną wymaga indywidualnego podejścia do kwestii ochrony danych osobowych. Wybór odpowiedniego modelu zależy od tego, jak szeroką kontrolę nad procesem chce zachować pracodawca i jakich zasobów agencji będzie korzystać. Kluczowe jest przestrzeganie obowiązków wynikających z RODO, zarówno przez agencję, jak i przez pracodawcę, aby uniknąć potencjalnych kar i problemów prawnych.
| Redakcja BPPZ