Testy psychologiczne – czy to dane szczególne w rozumieniu RODO?
Proces rekrutacji jest jednym z pierwszych etapów styku pracodawcy z danymi osobowymi kandydatów, a jego specyfika generuje szereg wyzwań związanych z RODO. Oprócz standardowego gromadzenia informacji z CV czy formularzy aplikacyjnych, coraz częściej stosowane są dodatkowe narzędzia, takie jak testy psychologiczne. Ich celem jest lepsze dopasowanie kandydata do profilu stanowiska oraz ocena cech charakteru, osobowości i skłonności do określonych zachowań. Kluczowe pytanie dotyczy zatem tego, czy wyniki takich testów stanowią dane szczególnej kategorii, a w szczególności danych dotyczących zdrowia (fizycznego lub psychicznego).
RODO definiuje dane dotyczące zdrowia jako dane osobowe o zdrowiu fizycznym lub psychicznym ujawniające informacje o stanie zdrowia. W praktyce oznacza to, że pracodawca powinien ocenić, co dokładnie bada test. Test ogólny, analizujący osobowość czy predyspozycje psychiczne, może zostać potraktowany jako badanie stanu zdrowia psychicznego. Z kolei test weryfikujący wyłącznie określoną kompetencję niezbędną do pracy, bez ingerencji w sferę ogólnego zdrowia psychicznego, niekoniecznie musi prowadzić do przetwarzania danych szczególnej kategorii.
Ważny fragment
Kodeks pracy wskazuje, że zgoda kandydata może stanowić podstawę przetwarzania szczególnych kategorii danych, ale wyłącznie, gdy przekazanie tych danych następuje z inicjatywy kandydata.
Jak wskazuje Urząd Ochrony Danych Osobowych, dane tego rodzaju powinny zostać niezwłocznie usunięte, jeśli kandydat nie wyrazi odrębnej zgody, a pracodawca nie posiada innej podstawy prawnej. Natomiast brak takiej zgody lub jej wycofanie nie może prowadzić do negatywnych konsekwencji dla kandydata.
Zaleca się daleko idącą ostrożność w stosowaniu testów psychologicznych w procesach rekrutacyjnych. Dobrowolność zgody kandydata może być bowiem w praktyce kwestionowana ze względu na dominującą pozycję pracodawcy. Dodatkowo, przetwarzanie tak wrażliwych danych często pozostaje w sprzeczności z zasadą minimalizacji, zgodnie z którą pracodawca powinien ograniczać się wyłącznie do danych niezbędnych do realizacji celu rekrutacji, a trudno uzasadnić potrzebę danych o zdrowiu psychicznym na potrzeby rekrutacji.
Weryfikacja kandydatów, czyli „background screening” – czy to zgodne z RODO?
Coraz więcej pracodawców sięga po dodatkowe metody weryfikacji kandydatów, wychodząc poza standardowy zestaw dokumentów aplikacyjnych. Praktyka tzw. background screeningu, czyli sprawdzania informacji o kandydacie w różnych źródłach, może wydawać się kusząca z perspektywy bezpieczeństwa i ograniczenia ryzyka błędnej rekrutacji. Jednak w świetle przepisów RODO i stanowiska organów nadzorczych zakres takiej weryfikacji jest mocno ograniczony i wymaga dużej ostrożności.
Pobieranie informacji o kandydatach z różnych źródeł napotyka liczne ograniczenia. Zgodnie ze stanowiskiem PUODO, źródłem informacji powinien być sam kandydat. Weryfikacja referencji od byłego pracodawcy jest dopuszczalna, ale wyłącznie za zgodą pracownika. Same referencje złożone przez kandydata nie są wystarczającą podstawą do kontaktu z byłym pracodawcą bez jego zgody.
Google news
Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google
Z kolei przetwarzanie danych o karalności jest dopuszczalne wyłącznie wtedy, gdy wynika to wprost z przepisów prawa np. w przypadku zawodów wymagających szczególnego poziomu zaufania publicznego czy pracy z dziećmi. Pracodawca nie może powołać się na prawnie uzasadniony interes, ponieważ sam fakt chęci zwiększenia bezpieczeństwa w procesie rekrutacji nie stanowi wystarczającej podstawy prawnej. Podobne ograniczenia dotyczą również weryfikacji wykształcenia. Choć z perspektywy pracodawcy naturalna wydaje się chęć potwierdzenia, czy kandydat faktycznie ukończył wskazaną uczelnię, to kontakt bezpośrednio z placówką edukacyjną nie znajduje oparcia w art. 22¹ Kodeksu pracy. Przepisy nie przewidują bowiem takiej formy weryfikacji, a więc jedynym źródłem informacji pozostaje sam kandydat i przedłożone przez niego dokumenty. Ponadto, wykorzystywanie informacji z mediów społecznościowych jest generalnie niedopuszczalne, z wyjątkiem branżowych portali społecznościowych typu LinkedIn, które służą celom stricte biznesowym i rekrutacyjnym.
Szeroko zakrojona weryfikacja kandydatów, jaką oferują wyspecjalizowane firmy zewnętrzne obejmująca m.in. analizę historii kredytowej, aktywności w Internecie czy wywiad środowiskowy, wiąże się z istotnym ryzykiem naruszenia przepisów o ochronie danych osobowych. Tak daleki zakres sprawdzania często wykracza poza cel rekrutacyjny i pozostaje w sprzeczności z zasadą ograniczenia celu oraz minimalizacji danych, które stanowią fundament RODO.
Co więcej, powoływanie się przez pracodawcę na zgodę kandydata w tego typu sytuacjach jest problematyczne. Nawet jeśli kandydat formalnie wyrazi zgodę na przetwarzanie danych w tak szerokim zakresie, trudno mówić o jej pełnej dobrowolności, ponieważ brak zgody mógłby bowiem prowadzić do negatywnych konsekwencji w procesie rekrutacyjnym. W praktyce oznacza to, że zgoda nie zawsze stanowi wystarczającą podstawę prawną do przeprowadzania pogłębionego background screeningu.
Rekrutacja prowadzona przez bota AI – zachowaj szczególną ostrożność
Coraz częściej w procesach rekrutacyjnych pojawiają się narzędzia oparte na sztucznej inteligencji – od chatbotów obsługujących wstępną komunikację z kandydatem po systemy analizujące CV i dokonujące wstępnej selekcji aplikacji. Ich stosowanie wiąże się jednak z koniecznością przestrzegania zarówno przepisów RODO, jak i AI Act, który klasyfikuje systemy wykorzystywane w rekrutacji jako rozwiązania wysokiego ryzyka. Oznacza to, że muszą one spełniać szereg wymogów, m.in. dokładności, przejrzystości, odpowiedzialności czy zapewnienia bezpieczeństwa danych.
W przypadku chatbotów pełniących funkcję wyłącznie informacyjną (odpowiadanie na pytania, zbieranie podstawowych danych) ryzyko jest mniejsze, ale nadal muszą być zgodne z RODO i AI Act. Wymagane jest przestrzeganie zasady przejrzystości, czyli kandydat musi wiedzieć, że rozmawia z systemem AI, jakie dane są zbierane, w jakim celu oraz w oparciu o jakie algorytmy będą przetwarzane. Dodatkowo zgoda kandydata na przetwarzanie danych przez chatbota musi być świadoma, dobrowolna, wyraźna i możliwa do wycofania w każdej chwili.
Kluczowe znaczenie ma unikanie uprzedzeń i dyskryminacji. Systemy AI stosowane w rekrutacji powinny być regularnie testowane i audytowane, aby zapobiegać niepożądanym efektom, np. faworyzowaniu określonej płci, wieku czy grup etnicznych.
Ważny fragment
Zarówno AI Act, jak i RODO podkreślają, że człowiek musi mieć ostateczny głos w procesie decyzyjnym. Kandydat nie może podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu (art. 22 RODO).
Oznacza to, że nawet jeśli system AI odrzuci aplikację, pracownik działu HR powinien mieć możliwość jej ponownej, indywidualnej oceny, a kandydat ma prawo do wyjaśnienia decyzji podjętych przez AI, np. dlaczego aplikacja została odrzucona.
Nie mniej istotne jest zapewnienie bezpieczeństwa danych przetwarzanych przez system AI, co obejmuje m.in. odpowiednie zabezpieczenia techniczne, zasadę minimalizacji danych oraz ograniczony okres przechowywania.
Ponadto, jeżeli dane kandydatów mają być dodatkowo wykorzystywane do trenowania systemów AI, pracodawca powinien zachować szczególną ostrożność, ponieważ takie działanie musi być zgodne z pierwotnym celem zbierania danych i nie może prowadzić do ryzyka dyskryminacji. W przypadku przetwarzania danych szczególnych kategorii lub wysokiego ryzyka, niezbędne będzie przeprowadzenie Oceny Skutków dla Ochrony Danych (DPIA). Kandydaci zachowują przy tym wszystkie prawa wynikające z RODO, a w tym prawo dostępu, sprostowania, usunięcia danych, ograniczenia ich przetwarzania, przenoszenia czy sprzeciwu.
Rekrutacja w dobie RODO i nowych technologii wymaga od pracodawców wyjątkowej ostrożności i świadomości obowiązków prawnych. Z jednej strony narzędzia takie jak testy psychologiczne, background screening czy AI mogą pomóc w lepszym dopasowaniu kandydatów, z drugiej niosą ryzyko nadmiernej ingerencji w prywatność i naruszenia zasady minimalizacji danych. Kluczem pozostaje równowaga: stosowanie nowoczesnych metod selekcji tylko tam, gdzie jest to rzeczywiście uzasadnione, przy jednoczesnym poszanowaniu praw kandydatów. To nie tylko wymóg prawny, ale także element budowania zaufania i odpowiedzialnego wizerunku pracodawcy.
AUTORZY: Emilia Martynowicz-Mamajek, Associate oraz Krzysztof Jeromin, Junior Associate, Zespół Kancelarii Prawnej Grant Thornton
Czytaj więcej: