Background check a RODO. Czy weryfikacja kandydata w Polsce jest w ogóle legalna?

Background check a RODO. Czy weryfikacja kandydata w Polsce jest w ogóle legalna?

Korporacje uwielbiają amerykańskie procedury. Jednym z najpopularniejszych importów w działach HR jest tzw. Background Check, czyli pogłębiona weryfikacja przeszłości kandydata do pracy. Biznes wychodzi z założenia, że skoro dajemy człowiekowi dostęp do firmowych systemów, musimy prześwietlić jego dyplomy, byłych pracodawców i kartę karną. Aby to zalegalizować, HR podsuwa kandydatowi formularz z checkboxem: „Wyrażam zgodę na weryfikację”. Z perspektywy Inspektora Ochrony Danych to nie jest proces. To proceduralne samobójstwo.

Wielu menedżerów żyje w przekonaniu, że magiczne słowo "zgoda" rozwiązuje każdy problem z RODO. Zobaczmy, dlaczego w procesie rekrutacji to największy błąd poznawczy, a masowe prześwietlanie kandydatów to prosta droga do nałożenia administracyjnej kary finansowej.

Złudzenie dobrowolnej zgody

Prawo pracy opiera się na fundamencie nierówności stron. Pracodawca jest stroną silniejszą, a kandydat – słabszą. Europejska i polska linia orzecznicza jasno wskazuje, że zgoda w relacji pracodawca-pracownik (lub kandydat) rzadko bywa dobrowolna.

Dlaczego? Bo kandydat wie, że jeśli nie zaznaczy okienka „zgadzam się na Background Check”, system odrzuci jego CV. Wyraża zgodę nie dlatego, że chce, ale dlatego, że musi, by dostać pracę. Zgoda wymuszona to zgoda nieważna. Jeśli oprzesz na niej proces masowej weryfikacji kandydatów, twój fundament prawny rozsypie się przy pierwszej kontroli.

Co na to UODO? Chłodny prysznic z oficjalnego poradnika

Urząd Ochrony Danych Osobowych wydał w 2018 roku oficjalny „Poradnik dla pracodawców”. Choć rynek z niecierpliwością czeka na jego aktualizację i nową interpretację przepisów, to na ten moment dokument ten stanowi twardą ramę brzegową tego, co legalne. A stanowisko Urzędu jest w kwestii inwigilacji kandydatów bezlitosne:

  1. Weryfikacja referencji (Byli pracodawcy): UODO wprost wskazuje, że dzwonienie do byłego szefa kandydata bez wyraźnego zainicjowania tego przez samego rekrutowanego jest niedopuszczalne. Źródłem informacji o przebiegu pracy powinien być wyłącznie kandydat.

  2. Weryfikacja dyplomów (Uczelnie): Chcesz zadzwonić na uniwersytet, by upewnić się, że kandydat faktycznie obronił magistra? Poradnik ucina to krótko: polskie prawo nie przewiduje takiego uprawnienia. Nawet jeśli poprosisz kandydata o zgodę na taki telefon, UODO uważa to za naruszenie jego praw i wolności. Jeżeli masz podejrzenie, że dyplom jest sfałszowany – zgłaszasz to do prokuratury (art. 270 Kodeksu Karnego), a nie bawisz się w prywatnego detektywa.

  3. Zaświadczenie o niekaralności: Możesz o nie prosić tylko wtedy, gdy pozwala ci na to bezpośredni przepis prawa (np. ustawa o usługach detektywistycznych, sektor finansowy, Karta Nauczyciela czy od niedawna "Lex Kamilek"). Nie możesz zbierać danych o niekaralności "na wszelki wypadek" ani podpierać się ogólnikowym wymogiem "nieposzlakowanej opinii".

  4. Biały wywiad (OSINT) w social mediach: Profilowanie kandydata na podstawie jego prywatnych wpisów w ogólnodostępnych źródłach jest uznane za działanie o negatywnym wpływie na proces, które potencjalnie łamie przepisy.

Mój punkt widzenia: Prezes to nie stażysta

Z punktu widzenia twardej analityki i zarządzania ryzykiem, stanowisko Urzędu jest w wielu miejscach niezwykle hermetyczne. Osobiście widzę mocne podstawy do tego, aby pogłębiony Background Check był w Polsce stosowany. Ale musi tu działać żelazna logika i zasada proporcjonalności.

Jeśli zatrudniasz dyrektora finansowego (CFO), Głównego Księgowego, członka Zarządu lub osobę, która będzie miała dostęp do infrastruktury krytycznej i milionowych budżetów – weryfikacja jej przeszłości biznesowej i referencji jest dla mnie w pełni uzasadniona. Ryzyko, jakie taka osoba wnosi do organizacji, jest tak gigantyczne, że pracodawca ma tu twardy, uzasadniony interes prawny (art. 6 ust. 1 lit. f RODO), by sprawdzić, kogo wpuszcza do serwerowni.

Masowy Background Check to błąd architektury

Problem pojawia się wtedy, gdy korporacje próbują z Background Checku zrobić standardowy proces dla każdego stanowiska w firmie.

Uruchamianie zewnętrznych agencji i procedur inwigilacyjnych wobec kandydata na stanowisko junior developera, asystentki czy pracownika biura obsługi klienta to gigantyczny przerost formy nad treścią. Przetwarzasz nadmiarowe dane osobowe (łamiąc zasadę minimalizacji z art. 5 RODO), opierasz to na wadliwej prawnie zgodzie i wystawiasz organizację na ryzyko administracyjnej kary.

Podobna logika proporcjonalności dotyczy skanowania dokumentów – pracodawcy często zbierają kopie prawa jazdy zamiast poprzestać na wglądzie. Sprawdź czy skanowanie prawa jazdy pracownika jest legalne.

Podsumowanie

Weryfikacja pracownika to proces wysokiego ryzyka. Zastosowana wobec kluczowych stanowisk seniorskich – obroni się logiką biznesową i zarządzaniem ryzykiem. Zastosowana masowo jako wymóg "z automatu" dla każdego rekrutowanego – uderzy w ścianę w postaci Urzędu Ochrony Danych Osobowych.

Jeśli weryfikujesz kandydatów lub pracowników i chcesz wiedzieć gdzie dokładnie leży granica między legalnym monitoringiem a inwigilacją – sprawdź też monitoring GPS w służbowym aucie. Te same zasady proporcjonalności i minimalizacji obowiązują w obu przypadkach.

Obecnie wszyscy czekamy na aktualizację wytycznych UODO dla pracodawców, która być może dostosuje urzędniczą optykę do współczesnych realiów rynku pracy. Dopóki jednak to nie nastąpi, radzę wyłączyć "tryb szeryfa" w procesach rekrutacyjnych i przestać udawać, że zgoda kandydata załatwia sprawę.

Artykuły stanowią "wydłużoną wersję" najpopularniejszych treści tworzonych przeze mnie w innych serwisach social media. Artykuł oraz grafika główna powstały przy wsparciu AI.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.