Co rekruter musi tak naprawdę wiedzieć o RODO?

  |   Bezpieczeństwo danych w HR

25 maja 2018 roku weszły w życie wytyczne RODO, które na dobre zmieniły działalność wielu firm. Nadal wiele organizacji nie stosuje prawidłowej polityki ochrony danych osobowych. Głównym problemem jest brak wiedzy jak praktycznie wdrożyć rozporządzenie w życie oraz jak przełożyć prawne terminy na rzeczywistość biznesową. Zmiany te dotyczą oczywiście wielu obszarów – my jednak skupimy się na wyglądzie rekrutacji po RODO.

Administrator a Procesor Danych Osobowych

Na wstępie należy wyjaśnić dwa ważne pojęcia – Administrator oraz Procesor Danych Osobowych.

  1. Administrator to podmiot przetwarzający dane na poczet własnego celu (czyli w naszym przypadku – przeprowadzenia procesu rekrutacji).
  2. Procesor przetwarza dane powierzone mu przez Administratora. Mówiąc prościej – Administratorem najczęściej będzie firma poszukująca pracownika, natomiast Procesorem dostawca systemu wspierającego rekrutację albo agencja. Oba podmioty przetwarzają jednak dane osobowe, a co za tym idzie – muszą stosować się do zaleceń RODO.

Zadbaj o kwestie formalne

Aby RODO w rekrutacji było stosowane zgodnie z prawem, trzeba zacząć od rzeczy fundamentalnej, czyli od przeanalizowania obecnej sytuacji w Twojej organizacji (audyt). 

Należy zastanowić się, kto ma dostęp do danych osobowych. Pracownicy Ci powinni otrzymać odpowiednie upoważnienie oraz muszą zostać odpowiednio przeszkoleni.
Jeśli Twoja firma współpracuje z zewnętrznymi podmiotami – agencja, korzysta z outsourcingu, programu ATS w rekrutacji, albo prowadzi projekty dla wielu spółek w grupie, musisz zadbać również, by została podpisana umowa o powierzeniu przetwarzania danych osobowych.

Obowiązek informacyjny

Jednym z bezwzględnych wymagań RODO jest obowiązek informacyjny. Do tej pory publikując ofertę pracy, dodawaliśmy informację o konieczności dołączenia do CV zgody na przetwarzanie danych osobowych.
Obecnie na każdym ogłoszeniu kandydat musi znaleźć sześć informacji:

  • Kto jest Administratorem (najczęściej będą to dane firmy, która prowadzi rekrutację),
  • Zakres przetwarzania danych osobowych,
  • Prawa przysługujące kandydatowi,
  • Okres przechowywania danych osobowych,
  • Podstawa prawna,
  • Sposób na wycofanie zgody.

Warto również zaznaczyć, że w formule tej można zawrzeć również inne, dodatkowe informacje, ważne z punktu widzenia naszej organizacji.

Zgoda na przetwarzanie danych osobowych

Kolejnym obowiązkiem wynikającym z wprowadzenia RODO w rekrutacji jest konieczność uzyskania zgody na przetwarzanie danych. Zgoda taka musi być:

  • Dobrowolna – kandydat musi samodzielnie wyrazić zgodę. Nie można więc stosować (jak to było do tej pory) automatycznego zaznaczenia udzielenia zgody w systemie HR.
  • Świadoma – osoba udzielająca zgody musi wiedzieć komu, po co i w jakim zakresie pozwala przetwarzać swoje dane.
  • Odrębna – w zgodzie na udział w obecnej rekrutacji, nie może się zawierać zezwolenie na udział w kolejnych procesach.
  • Konkretna – musi być wskazany cel wykorzystania danych osobowych.
  • Zrozumiała – napisana prostym językiem, zrozumiała dla kandydata.
  • Nie nadmiarowa – nie można wymagać danych, które nie są konieczne w procesie rekrutacyjnym (np. numeru PESEL, stanu cywilnego).

Pamiętajmy również, że danych osobowych nie możemy przetwarzać w nieskończoność. Mówimy w tym przypadku o okresie retencji zgody. Najczęściej występujący okres to pół roku do 3 lat. Po upływie tego terminu należy usunąć dane osobowe z bazy kandydatów. Można również skorzysta z procesu anonimizacji kandydatów, czyli usunięcia danych z pozostawieniem wpisu statystycznego.

Obowiązki Administratora Danych Osobowych

To na Administratorze Danych Osobowych spoczywa odpowiedzialność oraz obowiązek udowodnienia, że działa zgodnie z wytycznymi RODO.

Administrator musi potrafić udowodnić, że dane były przetwarzane w oparciu o należyte zgody, kandydat był zawsze poinformowany, kto przetwarza jego dane, oraz że dane osobowe były usuwane w odpowiednim czasie lub na prośbę samego kandydata.

Administrator musi również pamiętać, że kandydat ma prawa wynikające z RODO, których należy przestrzegać. Są to:

  • Prawo do informacji o sposobie przetwarzania danych
  • Prawo do dostępu do danych
  • Prawo do sprostowania danych
  • Prawo do bycia zapomnianym (usunięcia danych z bazy kandydatów)
  • Prawo do ograniczenia przetwarzania danych
  • Prawo do przeniesienia danych
  • Prawo do sprzeciwu wobec przetwarzania danych

Jak sprawić, by rekrutacja była zgodna z RODO?

Obraz rekrutacji po RODO nie jest wcale taki straszny, jak go malują. Należy jednak dobrze orientować się we wprowadzonych zmianach. Pomocą dla rekrutera mogą być trzy pytania, zadane przy każdorazowym przetwarzaniu danych osobowych:

  • Czy mam zgodę na przetwarzanie tych danych?
  • Czy mogę udowodnić, że dokonałem/łam takiej czynności na danych?
  • Czy poinformowałem/am kandydata, że przetwarzam dane?

Jeśli na wszystkie pytania odpowiedź będzie twierdząca, możemy śmiało założyć, że dopilnowaliśmy procesów zapewniających ochronę danych osobowych w rekrutacji.

Autor:
Zespół HRlink