Obowiązek informacyjny jednym z najważniejszych wymagań RODO (Część 1)

  |   Bezpieczeństwo danych w HR

Do tej pory, na ogłoszeniu o pracę widniała standardowa formuła o konieczności dołączenia do CV zgody na przetwarzanie danych osobowych.

Obecnie kandydat aplikujący na ofertę pracy powinien znaleźć sześć informacji:

  • Kto jest Administratorem,
  • Zakres przetwarzania danych osobowych,
  • Prawa przysługujące kandydatowi,
  • Okres przechowywania danych osobowych,
  • Podstawa prawna,
  • Sposób na wycofanie zgody.

Warto również zaznaczyć dwie rzeczy. W formule tej można zawrzeć inne informacje, które są ważne z punktu widzenia firmy prowadzącej dany proces rekrutacji. Dodatkowo obowiązek informacyjny może zawierać wiele celów przetwarzania, które mogą być wymienione w punktach, pod informacją o Administratorze.

W jaki sposób można informować kandydatów?

Jako zespół tworzący nowoczesny system wspierający rekrutację, na co dzień mamy przyjemność współpracować z wieloma klientami. Część z nich radzi sobie z tym zagadnieniem, korzystając z wymienionych niżej sposobów:

    1. Treść informacyjna zawarta w e-mail.
      Tego typu wiadomości należy zawsze archiwizować. Dodatkowo dobrym rozwiązaniem będzie posiadanie raportu z odebrania przez kandydata e-maila.
      Minusy takiego rozwiązania? Należy pamiętać o wysyłce – co w nawale pracy wcale nie jest takie oczywiste. Trudno jest również trzymać wszystkie e-maile oraz odpowiedzi od kandydatów w jednym miejscu (na dowód rozliczalności).
    2. Treść obowiązku informacyjnego zawarta w formularzu aplikacyjnym.
      Jest to najwygodniejsza opcja – wiele programów do zarządzania rekrutacjami daje możliwość automatyzacji tego procesu.
      Kandydat już na etapie aplikowania jest informowany o tym, kto przetwarza jego dane. Nie ma więc ryzyka, że wiadomość do niego nie dotrze.
    3. Treść przygotowana w formie pisemnej.
      Zdarzają się sytuacje, że kandydat przynosi swoje CV do siedziby naszej organizacji. W takim przypadku również trzeba zadbać o wypełnienie obowiązku informacyjnego. Możemy zrobić to ustnie, jednak w przyszłości może być trudno to udowodnić.
      Dlatego dla naszego własnego bezpieczeństwa, lepszym rozwiązaniem będzie przygotowanie treść obowiązku na piśmie. Wraz z przyjmowaniem CV od kandydata należy wręczyć mu dokument, poprosić o zapoznanie się z nim, a następnie o podpis.

W praktyce obowiązek informacyjny może być przekazany w formie:

  • pełnego jednolitego tekstu,
  • oknie pop-up,
  • zwijany z widoczną częścią treści,
  • może również zostać skrócony do informacji o administratorze wraz z podaniem reszty informacji w odnośniku (do np. Polityki Prywatności).

Kiedy powinien nastąpić moment informowania kandydata?

Aplikujący powinien zostać poinformowany przed trafieniem do naszej bazy kandydatów, czyli przed wykonaniem czynności przetwarzania danych osobowych.

Z tego powodu wysyłanie do kandydatów e-maila po aplikacji, może zostać uznane za naruszenie RODO.

Dlatego zdecydowanie lepszym rozwiązaniem jest spełnienie obowiązku informacyjnego w formularzu aplikacyjnym.

Rozliczalność i obowiązek informacyjny

Należy pamiętać, że podstawowym wymogiem RODO w rekrutacji jest rozliczalność. Oznacza to, że jesteśmy zobligowani do udowodnienia każdej czynności wykonanej na danych osobowych kandydata.

Dużą uwagę przywiązuje się do spełnienia obowiązku informacyjnego. W informacji do kandydata musi więc być zawarta wzmianka, jeśli chcemy przetwarzać dane dłużej niż przez okres retencji.

Czy jest to w ogóle możliwe? Jak najbardziej tak – część przepisów prawa definiuje okresy przechowywania danych na poczet ochrony przed ewentualnymi roszczeniami. Dzięki temu zmienia się cel przetwarzania danych z rekrutacji na rozliczalność, a co za tym idzie – wydłuża się czas przetwarzania danych. Pamiętając o tym, stosujemy się do zasad ochrony danych w rekrutacji.

Obowiązek informacyjny dla kilku spółek

Korzystanie z jednej bazy kandydatów przez kilka spółek może powodować problemy. Pomocą dla rekrutera będą jednak dwa opisane poniżej sposoby:

  1. Administratorem może być Grupa – wówczas w obowiązku musi zostać podana informacja, że dane są przekazywane „spółkom Grupy”. Dodatkowo musi zostać zawarta umowa o powierzeniu danych spółkom.
  2. Grupa i spółki mogą być współadministratorami – wówczas wszystkie muszą zostać wymienione w obowiązku informacyjnym.

ATS nieocenioną pomocą w rekrutacji po RODO

Zachowanie obowiązku informacyjnego to jeden z podstawowych, a przy tym najważniejszych, zaleceń RODO w rekrutacji. Każdorazowo projektując proces rekrutacji musimy pamiętać o jego spełnieniu.

Nieocenioną pomocą są systemy wspierające rekrutację, które pozwolą na automatyzację niektórych procesów, a co za tym idzie na dużą oszczędność czasu.

Część 2 Anonimizacja a pseudoanonimizacja danych osobowych
Część 3 Zgody w RODO – jak wygląda praktyka po 25 maja?


Chcesz dowiedzieć się, jak system HRlink wspiera prowadzenie rekrutacji zgodnie z RODO?

Zostaw swój kontakt — nasz konsultant oddzwoni w ciągu 24 godzin.

Darmowa konsultacja

Autor:
Alina Michałek Expert HR