Od 25 maja 2018 roku obowiązuje nas RODO, czyli Rozporządzenie o Ochronie Danych Osobowych wprowadzone w całej unii europejskiej.
Jako osoby rekrutujące mamy dostęp do wielu danych osobowych naszych kandydatów, od imienia i nazwiska, po datę urodzenia, miejsce zamieszkania, telefon i mail kontaktowy aż po cały życiorys. W praktyce mamy dostęp do bardzo dużej liczby danych wrażliwych, a więc musimy je odpowiednio zabezpieczyć.
Co w praktyce znaczy RODO w rekrutacji?
#1 Obowiązek informacyjny
W każdym ogłoszeniu i w każdym formularzu aplikacyjnym powinniśmy zadbać o tzw. klauzule informacyjne, w których zapisujemy:
- Dane administratora – nazwę (naszej) firmy oraz jej dane kontaktowe,
- Informację w jakim celu będziemy te dane przetwarzać – przeprowadzenie procesu rekrutacji
- Informację kto jest odbiorcą pozyskiwanych danych – kto poza administratorem będzie miał dostęp do danych (np. dostawca usług informatycznych)
- Czas przetwarzania danych kandydata
- Informację o możliwości cofnięcia wyrażonej zgody oraz wniesienia skargi
- Informację o możliwości dostępu do swoich danych, ich korekty lub usunięcia
Kto jest administratorem danych i kto to jest procesor?
Administratorem danych jest firma czy osoba, która na swoje potrzeby dane te zbiera i ustala w jakim celu oraz w jaki sposób będzie je przetwarzać. Jest wtedy właścicielem tych danych i może je wykorzystywać zgodnie z celem.
Procesorem danych jest firma/osoba współpracująca z Administratorem, np. dostawca systemu rekrutacyjnego, który na potrzeby procesu w firmie dane przetwarza, ale nie jest ich właścicielem i nie może ich używać do swoich celów.
Co ważne, zarówno Administrator jak i Procesor odpowiadają za bezpieczeństwo przetwarzanych danych przed GIODO, a Procesor dodatkowo również przed Administratorem. Jednak tylko Administrator ma obowiązek informacyjny przed kandydatem.
#2 Pozyskiwanie odpowiednich zgód
Zgodnie z kodeksem pracy na etapie rekrutacji od kandydatów możemy wymagać podstawowych danych tj. imię i nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe i przebieg zatrudnienia. Te dane opisane są prawnie, dlatego do ich przetwarzania nie jest potrzebna oddzielna zgoda, są one obowiązkowe, jeśli są równocześnie uzasadnione potrzebą rekrutacyjną. Jeśli nie mamy takiego uzasadnienia, np. na poszukiwanym przez nas stanowisku wykształcenie nie ma znaczenia, to do przetwarzania tych danych potrzebna jest już nam odrębna zgoda kandydata.
Wszelkie dane dobrowolne a więc takie, które nie są ujęte w kodeksie pracy oraz nie wymagamy ich na etapie ogłoszenia, muszą być potwierdzone zgodą kandydata. Tutaj zatem musimy przygotować nasze formularze, aby znalazł się tam checkbox do potwierdzenia (dane wrażliwe) lub informacja, że przesyłając swoją aplikację kandydat wyraża zgodę na przetwarzanie dodatkowych, niewymaganych danych.
Co ciekawe, jeżeli dane są obowiązkowe i wynikają z przepisów prawa pracy, to kandydat, który tych danych nam nie podał może zostać wykluczony z całego procesu rekrutacyjnego bez narażania się na dyskryminację.
Z drugiej strony, jeżeli kandydat przesyła nam dobrowolnie niewymagane przez nas dane, to nie mogą być one podstawą podjęcia decyzji o zakwalifikowaniu lub nie do dalszego etapu procesu rekrutacyjnego.
O dane dobrowolne nie możemy również prosić kandydata, nawet informując go, że są one nieobowiązkowe. Każdorazowo kandydat musi je przesłać z własnej inicjatywy i wyrazić na nie zgodę, abyśmy mieli podstawę je przetwarzać.
Istnieje również możliwość pozyskiwania obowiązkowych danych spoza kodeksu pracy, pod warunkiem, że możemy to uzasadnić pod kątem stanowiska pracy. Ważne jest, aby cel był realny i nie do podważenia. W tym wypadku nie jest wymagana zgoda, ale kandydat ma prawo odmówić przesłania nam tych danych. Mamy jednak tutaj swój przywilej, ponieważ jeżeli kandydat nie udostępni tych danych, możemy wykluczyć go z całego procesu rekrutacyjnego. Dobrym przykładem jest tutaj zaświadczenie o niekaralności w zawodach, które tego wymagają.
#3 Prawa kandydatów
Każdy kandydat mam prawo wglądu w swoje dane, które pod jego nazwiskiem przetwarzamy, a nawet może zażądać ich kopii. Taka kopia obejmuje wtedy wszystkie dane, które przetwarzamy, również nasze notatki. Jedynym wyjątkiem, kiedy możemy nie udostępnić wszystkich danych dotyczących danej osoby są sytuacje, kiedy naraża to inne obszary firmy, np. Tajemnica przedsiębiorstwa czy tajemnica korespondencji.
Kandydat ma prawo dokonać zmian w swoich danych lub je usunąć i dobrze, aby było to równie proste jak podanie tych danych. Systemy rekrutacyjne najczęściej posiadają już taką opcję, aby w wiadomościach wysyłanych do kandydatów umieścić link z dostępem do edycji swoich informacji lub też do ich usunięcia.
W przepisach RODO ciekawym prawem kandydata stała się także możliwość przeniesienia danych, co oznacza, że kandydat może nas poprosić o przeniesienie swoich danych do innego pracodawcy a u nas je na przykład usunąć. W takiej sytuacji mamy obowiązek spełnić żądanie kandydata.
Co ważne, jeżeli kandydat wycofa swoją zgodę na przetwarzanie danych, to nie możemy ich dalej wykorzystywać do celów rekrutacyjnych, ale możemy je jeszcze pozostawić w celu ewentualnych roszczeń. Istotne jest wtedy, aby zachować tyle niezbędne informacje.
#4 Czas przetwarzania
Z założenia przetwarzanie danych osobowych powinno ustąpić w momencie ustania celu, czyli jeśli zbieraliśmy dane od kandydatów na potrzeby danej rekrutacji, a ona właśnie się zakończyła, to w tym momencie również ustał nasz cel pozyskiwania danych, a więc zakończył się również okres, kiedy te dane mogliśmy przetwarzać.
Ze względu jednak, że proces rekrutacyjny jest bardziej złożony, możemy dalej przechowywać dane, ponieważ mogą służyć do zabezpieczenia innych celów, na przykład związanych z roszczeniem. Okres przechowywania danych należy skonsultować i ustalić z osobą odpowiedzialną w firmie za ochronę danych osobowych lub z prawnikiem.
W kolejnym artykule, który opublikuję w kolejnym tygodniu, dowiesz się jak przestrzegać prawa RODO w najczęściej spotykanych sytuacjach w pracy Rekruterki, czyli:
- zgoda na przyszłe rekrutacje,
- system poleceń
- CV wysłane na maila
- Aplikowanie „do bazy” kandydatów przez stronę kariery