Testy psychologiczne w procesie rekrutacji a ochrona danych osobowych. Czy można je przeprowadzać?

Kwestia możliwości przeprowadzania w Polsce testów psychologicznych kandydatom na pracowników jest bardzo krytykowana. Podczas takich czynności może bowiem dojść do pozyskania danych osobowych szczególnej kategorii. Niektóre testy mogą ujawniać nie tylko informacje o cechach kandydatów pożądanych na danym stanowisku pracy – np. poprzez określenie typu osobowości kandydata, podejścia przez niego do stawianych mu wymogów i zadań, sposobu podejmowania decyzji i zarządzania, otwartości na rozwój i nowe pomysły, interakcji z ludźmi –  lecz także informacje stricte osobiste, do których pracodawca jednak nie powinien mieć dostępu. Testy osobowościowe mogą bowiem zdradzać informacje o stanie zdrowia kandydata, jego poglądach, życiu prywatnym, jak również inne informacje, których osoba poszukująca pracy zapewne nie chciałaby ujawnić nawet podczas standardowego postępowania rekrutacyjnego. Istnieje jednak grono pracodawców, które nie wyobraża sobie przyjmowania do pracy kandydatów na stanowiska kierownicze bez przeprowadzenia takich testów. Dzięki nim możliwe jest bowiem lepsze zrozumienie i przewidywanie ludzkich zachowań, określenie obszarów do potencjalnego ich rozwoju, a i niestety nawet wskazówki co do sposobu skutecznego wywierania wpływu na decyzje pracownika.

Testy osobowościowe przed dniem 25 maja 2018 r.?

Do czasu wejścia w życie Ogólnego rozporządzenia o ochronie danych osobowych (RODO)[1]  wielu pracodawców wykorzystywało testy osobowościowe w procesie rekrutacji, w szczególności, jak już zostało wspomniane, podczas rekrutacji na stanowiska kierownicze czy menadżerskie. Niemniej jednak już na gruncie uprzedniej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Główny Inspektor Ochrony Danych Osobowych, czyli organ do spraw ochrony danych osobowych w latach 1997–2018, wypowiadał się, że wykonywanie testów psychometrycznych kandydatów do pracy jest niedopuszczalne ze względu na związek z koniecznością badania stanu psychicznego danej osoby. W jednym ze swoich orzeczeń Wojewódzki Sąd Administracyjny badający sprawę związaną z przetwarzaniem danych osobowych kandydatów na pracowników, a pozyskanych przy pomocy testów psychometrycznych za ich wcześniejszą zgodą,  wskazał, że psychometria „jest działem psychologii zajmującym się zagadnieniami związanymi z pomiarem (ilościowym opisem) zjawisk i procesów psychologicznych”. Ze względu na to, że badane są cechy osobowości, predyspozycje i motywacje, nie można uznać, że są to dane zwykłe[2]. Ponadto w jednym ze swoich rocznych sprawozdań GIODO wskazał, że w wyniku przeprowadzonych w 2009 r. kontroli nakazał usunięcie i zaprzestanie zbierania danych osobowych obejmujących m.in. dane kandydatów do pracy pozyskane w wyniku przeprowadzenia za pomocą systemu informatycznego testów określających przydatność do wykonywania pracy.

Testy osobowościowe obecnie

Ani przepisy RODO, ani obecnie obowiązująca ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych[3] nie regulują wprost kwestii dopuszczalności stosowania testów osobowościowych w rekrutacji. W Ogólnym rozporządzeniu o ochronie danych wskazano, jakimi zasadami administratorzy danych powinni się kierować podczas przetwarzania wszelkich danych osobowych, w tym m.in. tych pozyskiwanych podczas rekrutacji. Chodzi o art. 5 RODO, w którym została zawarta:

• zasada zgodności z prawem, rzetelności i przejrzystości,
• zasada ograniczonego celu,
• zasada minimalizacji danych,
• zasada prawidłowości danych,
• zasada ograniczonego w czasie przechowywania danych,
• zasada integralności i poufności,
• zasada rozliczalności. 

Ponadto w RODO wskazano, kiedy można uznać przetwarzanie danych zwykłych za zgodne z prawem, poprzez enumeratywne wyliczenie podstaw do ich przetwarzania. Zostały one zawarte w art. 6 ust. 1. Zgodnie z tym przepisem przetwarzanie jest zgodne z prawem wtedy, gdy:

1. a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
2. b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
3. c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
4. d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
5. e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
6. f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

Natomiast w przepisie art. 9 ust. 1 RODO wprowadzono zakaz przetwarzania szczególnych kategorii danych osobowych, tj. danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia – rozumianego zarówno jako dane osobowe o zdrowiu fizycznym, jak i psychicznym osoby fizycznej, seksualności lub orientacji seksualnej tej osoby. Zakaz ten, zgodnie z art. 9 ust. 2 RODO, nie ma zastosowania m.in. wtedy, kiedy:

• osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić takiego zakazu (lit. a powyższego przepisu);
• przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą (lit. b powyższego przepisu);
• przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem określonych warunków i zabezpieczeń.

Ponadto przepisy RODO dają Państwom Członkowskim możliwość zawarcia w swoich przepisach bardziej szczegółowej regulacji zapewniającej ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów rekrutacji, wykonania umowy o pracę, w tym wykonania obowiązków określonych przepisami lub porozumieniami zbiorowymi, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy, ochrony własności pracodawcy lub klienta oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy. Przepisy te muszą obejmować odpowiednie i szczegółowe środki zapewniające osobie, której dane dotyczą, poszanowanie jej godności, prawnie uzasadnionych interesów i praw podstawowych, w szczególności pod względem przejrzystości przetwarzania, przekazywania danych osobowych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz systemów monitorujących w miejscu pracy (art. 88 ust. 1 i 2 RODO).

Rozwiązania obowiązujące w Polsce

Obecnie na podstawie Kodeksu pracy pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko;

2) datę urodzenia;

3) dane kontaktowe wskazane przez taką osobę;

4) wykształcenie;

5) kwalifikacje zawodowe;

6) przebieg dotychczasowego zatrudnienia.

Przy czym pracodawca żąda podania danych osobowych, o których mowa w pkt 4–6, tylko wtedy, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku (art. 22(1) § 1 i 2 Kodeks pracy). Zatem tylko co do powyższych danych pracodawca ma podstawę prawną wynikającą z obowiązku prawnego na nim ciążącego do ich przetwarzania.

W tym miejscu pojawia się pytanie, czy nie można uznać, że dane pozyskane podczas testu osobowościowego – np. kandydata na kierownicze stanowisko – dotyczą właśnie jego kwalifikacji zawodowych? Patrząc jednak na dotychczasowe rozumienie dokumentów potwierdzających kwalifikacje zawodowe, to są nimi różnego rodzaju dyplomy, świadectwa, zaświadczenia lub inne dokumenty uprawniające do wykonywania danego zawodu (np. zawodu regulowanego przepisami prawa, zawodu lekarza, nauczyciela, radcy prawnego, osoby obsługujące i konserwujące urządzenia techniczne podlegające dozorowi technicznemu), a tym samym byłoby nieuprawnione rozszerzanie tej kategorii danych osobowych również na kwalifikacje wynikające z testu osobowościowego.

Kolejne pytanie jakie się nasuwa, jest takie, czy nie można byłoby skorzystać z podstawy prawnej wynikającej z art. 6 ust. 1 lit. f  RODO, a mianowicie, że przetwarzanie takich danych jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Należy jednak pamiętać, iż ta podstawa przetwarzania nie dotyczy sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych. Zalecany w tym przypadku swoisty test proporcjonalności, którego musi dokonać administrator, czyli w tym wypadku potencjalny pracodawca, w zakresie wyważenia dwóch dóbr chronionych prawem, tj. jego prawnie uzasadnionego interesu lub strony trzeciej z jednej strony i interesów, podstawowych praw oraz wolności podmiotu danych z drugiej. Niestety naszym zdaniem test ten wypada negatywnie w zakresie danych pozyskiwanych podczas rekrutacji pracowniczej przy pomocy testów psychometrycznych. Z jednej stronie mamy bowiem interes pracodawcy, który dla dobra zakładu pracy chce zatrudniać pracowników z najszerszym zakresem cech pożądanych na danym stanowisku pracy i chce mieć pewność słusznego wyboru danej osoby na pracownika. Z drugiej zaś strony mamy interes kandydata na pracownika oraz jego wymagające ochrony prawa i wolności w tym prawo do prywatności i intymności, wolności choćby w sferze poglądów i przekonań, czy tajemnicy w zakresie udzielania informacji o swoim stanie zdrowia. 

A może zgoda na przetwarzanie danych?

Polski ustawodawca dopuścił możliwość przetwarzania innych danych osobowych za zgodą kandydata, lecz pod pewnymi warunkami. Zgodnie bowiem z przepisem art. 22(1a) Kodeksu pracy zgoda osoby ubiegającej się o zatrudnienie może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione wyżej, z wyjątkiem danych osobowych dotyczących wyroków skazujących i naruszeń prawa. I już by się wydawało, że mając na względzie wyłącznie językową wykładnię powyższego przepisu, jeśli pracodawca uzyska taką zgodę od kandydata, to będzie mógł przeprowadzić testy osobowości, gdyż wyjątkiem od przetwarzania danych kandydata za jego zgodą są wyłącznie wspomniane dane dotyczące wyroków skazujących i naruszeń prawa. Tym bardziej że przetwarzanie na podstawie zgody, o którym mowa w  art.  22(1a) § 1 Kodeksu pracy, dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie.

Przedwczesną radość studzi jednak kolejny przepis zawarty w Kodeksie pracy, a mianowicie  art. 22(1b) § 1, z którego wynika, iż zgoda osoby ubiegającej się o zatrudnienie może stanowić podstawę przetwarzania przez pracodawcę danych osobowych szczególnej kategorii, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie. Przyjmuje się, że przetwarzanie przez pracodawcę danych o zdrowiu jest dopuszczalne tylko wtedy, gdy jest to niezbędne do wypełniania obowiązku nałożonego na niego przepisami prawa. Dlatego też przedstawienie pracodawcy dokumentów potwierdzających dane osobowe o stanie zdrowia osoby niepełnosprawnej jest obecnie dobrowolne[4].

Przy tym brak zgody lub jej wycofanie, nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie, a także nie może powodować wobec niej jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia. Powyższe dotyczy zarówno zgody na przetwarzanie zwykłych danych osobowych, jak również danych osobowych szczególnej kategorii poprzez odpowiednie odwołanie do art. 22(1a) § 2 Kodeksu pracy znajdujące się w art. 22(1b) § 1 tegoż Kodeksu. Taka regulacja kwestii wyrażania zgody w polskim prawie pracy ma zabezpieczyć kandydatów na pracowników przed nadużyciami ze strony pracodawców, którzy są silniejszą stroną stosunku pracy. Tym bardziej że zgoda osoby, której dane dotyczą, powinna być udzielona dobrowolnie. A tę dobrowolność zgodnie z art. 7 ust. 4 RODO ocenia się pod względem tego, czy między innymi od jej wyrażenia nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, w szczególności jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Zatem nawet jeśli uznać, że podczas takiego testu osobowościowego byłyby przetwarzane wyłącznie dane zwykłe, to w przypadku braku zgody kandydata na przeprowadzenie testu osobowościowego, pracodawca nie ma prawa odrzucić jego kandydatury z tego powodu. Naruszałoby to i tak wątpliwą dobrowolność zgody na przetwarzanie danych w stosunkach pracowniczych.

Stanowisko Prezesa Urzędu Ochrony Danych Osobowych

Prezes Urzędu Ochrony Danych Osobowych nie wypowiedział się jeszcze bezpośrednio w zakresie stosowania przez pracodawców testów osobowościowych. Wskazówką w tej kwestii może być jednak treść poradnika UODO dotyczącego ochrony danych osobowych w miejscu pracy[5]. Na pytanie: czy pracodawca może przetwarzać szczególne kategorie danych osoby ubiegającej się o pracę, w odpowiedzi wskazano m.in. kwestię związaną z postępowaniem kwalifikacyjnym kandydata do służby w Policji. Zgodnie bowiem z art. 25 ust. 2 ustawy z dnia 6 kwietnia 1990 r. o Policji[6], przyjęcie kandydata do służby w Policji następuje po przeprowadzeniu postępowania kwalifikacyjnego mającego na celu ustalenie, czy kandydat spełnia warunki przyjęcia do służby w Policji oraz określenie jego predyspozycji do pełnienia tej służby. Postępowanie kwalifikacyjne, z zastrzeżeniem ust. 3 tegoż przepisu, składa się z następujących etapów:

• złożenie podania o przyjęcie do służby, kwestionariusza osobowego kandydata do służby, a także dokumentów stwierdzających wymagane wykształcenie i kwalifikacje zawodowe oraz zawierających dane o uprzednim zatrudnieniu;
• test wiedzy;
• test sprawności fizycznej;
• test psychologiczny;
• przeprowadzenie rozmowy kwalifikacyjnej;
• ustalenie zdolności fizycznej i psychicznej do służby w Policji;
• sprawdzenie w ewidencjach, rejestrach i kartotekach prawdziwości danych zawartych w kwestionariuszu osobowym kandydata do służby;
• przeprowadzenie postępowania sprawdzającego określonego w przepisach o ochronie informacji niejawnych.

Zatem zawarta w Poradniku dla pracodawców odpowiedź Prezesa UODO może sugerować postrzeganie testów psychologicznych jako zawierających szczególne kategorie danych. Z analizy tego przepisu wynika wręcz, że test psychologiczny czy ustalenie zdolności psychicznej do służby w Policji to etapy obowiązkowe, co więcej niemieszczące się w kwalifikacjach zawodowych. Powyższe w konsekwencji może prowadzić nawet do stanowiska, że w przypadku testów osobowościowych powinna być stosowana taka zasada, jak przy pozyskiwaniu przez pracodawców informacji od kandydata o jego karalności, zatem jeśli przepisy prawa nie przewidują takiego obowiązku, to pracodawcy nie powinni przetwarzać takich danych nawet za zgodą kandydata na pracownika.

O czym trzeba pamiętać?

Podsumowując powyższe rozważania, rekomendowalibyśmy pracodawcom daleko idącą ostrożność w stosowaniu testów osobowościowych w ramach procesu rekrutacyjnego, gdyż to na nich jako administratorach danych ciąży ryzyko związane z naruszeniem zasad ochrony danych osobowych. Przede wszystkim pracodawcy powinni uzyskać zgodę od kandydata na przeprowadzenie takiego testu. Powinna być ona dobrowolna, konkretna i jednoznaczna oraz wyrażona świadomie, gdyż to te elementy będą badane podczas ewentualnych kontroli legalności przetwarzania danych osobowych przez PUODO. Zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii związanych z zatrudnieniem, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Kandydaci powinni być poinformowani o celach takich testów, zakresie danych, które zostaną na ich podstawie pozyskane, osób, które będą miały wgląd w wyniki i o tym, że są one zobowiązane do zachowania ich w tajemnicy oraz posiadają stosowne upoważnienie do przetwarzania takich danych, a co najważniejsze o możliwości odmowy udzielania zgody na udział w takim teście, jak również o uprawnieniu na jej wycofanie, które musi być równie łatwe jak jej wyrażenie. Testy osobowościowe kandydatów na pracowników powinny być przeprowadzane w sposób profesjonalny przez certyfikowanych psychologów, którzy są zobowiązani do zachowania tajemnicy zawodowej oraz powinny w swoim zakresie badać wyłącznie konkretną predyspozycję i to w taki sposób, by nie doszło podczas ich przeprowadzania do pozyskania danych szczególnej kategorii. Nasuwa się więc twierdzenie, że przeprowadzenie testów psychologicznych w taki sposób, by nie narazić się na zarzut nielegalnego przetwarzania danych osobowych, jest obecnie bardzo trudne. 

Agnieszka Bieniek

autorka jest radcą prawnym; specjalizuje się w prawie pracy i ubezpieczeń społecznych, jak również w prawie ochrony danych osobowych; reprezentuje klientów w sporach sądowych, negocjacjach ze związkami zawodowymi wspomaga ich w bieżącej działalności oraz przeprowadza szkolenia w wymienionych obszarach; od 2012 r. jest związana z Kancelarią Ostrowski i Wspólnicy Sp. k. z siedzibą w Toruniu

Przeczytaj więcej takich artykułów w strefie wiedzy PARP

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE. L Nr 119, str. 1).

[2] Wyrok WSA z siedzibą w Warszawie z dnia 18 grudnia 2008 r. II SA/Wa 1131/08, Legalis 261564.

[3] Dz.U. z 2019 r. poz. 1781.

[4] Art. 2b ust. 2 ustawy z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych (Dz.U. z 2020 r. poz. 426 ze zm.).

[5] Ochrona danych osobowych w miejscu pracy Poradnik dla pracodawców, https://www.uodo.gov.pl/pl/383/545.

[6] Dz. U. z 2020 r. poz. 360 ze zm.