Wyłudzanie danych osobowych metodą „na rekrutację”

Rz: Na ile pracownicy są świadomi tego, jakich danych osobowych pracodawca ma prawo od nich wymagać?

Ostatnia fala oszustw przy wyłudzaniu danych osobowych metodą „na rekrutację" dowodzi, że nie jest z tym najlepiej. Wielu kandydatów bezrefleksyjnie ujawnia zbyt dużo informacji o sobie po to, aby dostać pracę. Oszukani odpowiedzieli na zwykłe ogłoszenie o pracę, a następnie mieli wypełnić kwestionariusz z kompletem danych. O ile na tym etapie mogła jeszcze nie zapalić się czerwona lampka, to bezwzględnie powinna przy dziwnym żądaniu potencjalnego pracodawcy o dokonanie przelewu symbolicznej złotówki z konta kandydata na wskazany rachunek niby-pracodawcy. Ani pracodawca, ani agencja zatrudnienia czy inny podmiot prowadzący rekrutację nie mają prawa pobierać żadnych opłat od kandydatów. Niekiedy więc niefrasobliwie podany zestaw informacji, a nawet kserokopia dowodu osobistego, posłużą oszustom do zaciągnięcia pożyczek na konto takiej osoby.

Pracodawcy mogą jednak potrzebować różnych danych w zależności od rodzaju pracy i stanowiska. Jak należy się bronić przed nadmiernymi ich żądaniami?

To nie pracodawcy decydują o tym, ale przepisy. Oprócz kodeksu pracy oraz rozporządzenia ministra pracy i polityki socjalnej w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika jest także ustawa o ochronie danych osobowych. Zakres danych, jakich pracodawca może wymagać od kandydatów do pracy, a potem pracowników, określa art. 221 k.p. Podania dodatkowych informacji firma może się domagać tylko wtedy, gdy obowiązek ich ujawnienia wynika z odrębnych przepisów (np. zaświadczenie o niekaralności, specjalistyczne uprawnienia). Na tej podstawowej liście nie ma np. zdjęcia, referencji, wyników testów czy innych informacji często wymaganych od kandydatów. Dane osobowe pracodawca gromadzi stopniowo, kiedy są niezbędne przy formalnościach związanych z zatrudnieniem i dalszych etapach zatrudnienia (PESEL).

Czy pracownik może się obawiać negatywnych konsekwencji, np. zwolnienia, jeśli nie poda wymaganych danych?

To zależy od tego, o jakie dane chodzi. Jeśli szef domaga się tych wykraczających poza przepisy, odmowa ich ujawnienia nie może powodować żadnych konsekwencji dla pracownika. Gdy natomiast bezpodstawnie odmawia on podania danych mimo ustawowego wymogu (np. niezbędnych do zgłoszenia do ZUS czy rozliczenia PIT), musi się liczyć z rozstaniem, bo nie wykonuje ciążącego na nim obowiązku.

Mówimy ogólnie o uprawnieniach pracodawcy, ale przy naborze i zatrudnieniu informacje te przekazuje się specjalistom ds. rekrutacji, pracownikom działu kadr, różnym przełożonym. Czy każda z tych osób ma prawo dostępu do danych osobowych, które są poufne?

To ważna kwestia, która w wielu firmach nie jest prawidłowo uregulowana. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby mające upoważnienie nadane przez administratora danych, czyli pracodawcę. Ten, kto ma taki dostęp, powinien posiadać imienne pisemne upoważnienie pracodawcy określające dozwolony zakres przetwarzania (np. CV kandydatów, akta osobowe, lista płac itp.). To odrębny dokument, nie można go wywodzić tylko z umowy o pracę czy z zakresu obowiązków (dotyczy to szczególnie pracowników działu kadr). Pracodawca jako administrator prowadzi także ewidencję osób upoważnionych do przetwarzania danych z ich nazwiskami i zakresem dostępu.

Często od uczestników prowadzonych szkoleń dowiaduję się, że wielu pracodawców nie zdaje sobie sprawy, że każdy kierownik działu, który uczestniczy w rekrutacji, ma dostęp do akt osobowych i listy płac podległych pracowników, powinien mieć pisemnie określony zakres dostępu do danych osobowych bezpośrednich podwładnych.

Jak pracownik może wykorzystać takie niedopatrzenie?

Może zarzucić pracodawcy naruszenie przepisów o ochronie danych, jeśli informacje o nim znają osoby nieuprawnione. Chodzi o wszelkie czynności kadrowe, np. wręczenie pracownikowi kary porządkowej czy wypowiedzenia. Często w spotkaniu poświęconym tym sprawom oprócz członka zarządu czy dyrektora personalnego uczestniczy bezpośredni przełożony pracownika lub inna osoba z firmy. Interpretacja generalnego inspektora ochrony danych osobowych jest jednoznaczna – świadkami wręczenia tych dokumentów powinni być tylko pracownicy mający upoważnienie pracodawcy do przetwarzania danych osobowych.