RODO – jak działać zgodnie z przepisami i uniknąć kary

  |   Bezpieczeństwo danych w HR

Proces wejścia w życie RODO spowodował wiele chaosu i paniki wśród mnogiej ilości firm. Obraz rekrutacji po RODO jawił się w czarnych barwach, a szczególnie niepokojąca była wieść o wysokich karach finansowych za nieprzestrzeganie zasad rozporządzenia. Z drugiej strony pojawiły się głosy – i tak nikt nie będzie tego wszystkiego sprawdzał i kontrolował – kary istnieją, tylko na papierze. Tymczasem mija już prawie rok od wprowadzenia RODO i właśnie jesteśmy świadkami przyznania pierwszej kary za naruszenie przepisów w Polsce.

Prawie milion złotych kary za działania niezgodne z RODO

Prezes Urzędu Ochrony Danych Osobowych ukarał spółkę, która nie dopełniła obowiązku informacyjnego dla ponad 6 milionów osób! Dodatkowo aż 12 tysięcy ludzi wniosło sprzeciw wobec przetwarzania danych przez rzeczoną spółkę. Na firmę została nałożona kara pieniężna w wysokości ponad 943 tysięcy złotych!

Mamy więc dowód na to, że kary za łamanie RODO są rzeczywistością, z którą musimy się zmierzyć. Mając to na uwadze, warto raz jeszcze pochylić się nad zasadami tego rozporządzenia, tak by upewnić się, że proces przetwarzania danych osobowych w naszej firmie przebiega prawidłowo.

RODO dotyczy wielu aspektów, my jednak skupimy się na kwestiach związanych z zarządzaniem rekrutacją.

Sprawdź, kto przetwarza dane osobowe

Na wstępie musimy pamiętać, że jedynie uprawnieni i odpowiednio przeszkoleni pracownicy mogą mieć dostęp do przetwarzania danych osobowych.

Sprawdź więc, kto w Twojej firmie ma styczność z danymi osobowymi, ogranicz dostęp dla osób niepożądanych, a pozostałym osobom nadaj odpowiednie upoważnienie oraz zorganizuj dla nich szkolenie z tego zakresu.

Co więcej, jeśli współpracujesz z podmiotami zewnętrznymi, którym przekazujesz dane osobowe kandydatów, musisz również zadbać, by została podpisana odpowiednia umowa pomiędzy wami zgodna z RODO.

Obowiązek informacyjny

Osoba, której dane przetwarzamy, od samego początku musi zostać poinformowana:

  • kto jest administratorem (najczęściej będzie to firma, która prowadzi dany proces rekrutacyjny),
  • o danych kontaktowych administratora,
  • gdy ma to zastosowanie, o danych kontaktowych inspektora ochrony danych osobowych,
  • o celu przetwarzania,
  • o odbiorcach danych osobowych,
  • o zakresie i okresie przetwarzania danych,
  • o prawach jej przysługujących,
  • o podstawie prawnej przetwarzania,
  • o sposobie wycofania zgody na przetwarzanie, jeśli na tej podstawie dochodzi do przetwarzania danych,
  • o uzasadnionym interesie administratora, jeśli na tej podstawie prawnej dochodzi do przetwarzania danych,
  • o tym, czy podanie danych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy, oraz czy osoba, której dane dotyczą jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
  • o zamiarze transgranicznego przetwarzania danych.

W klauzuli tej można również zawrzeć inne informacje, które są ważne z punktu widzenia naszej organizacji. Pracodawca ma obowiązek poinformować kandydata do pracy o tych okolicznościach w chwili pozyskiwania tych danych w sposób jasny, czytelny i łatwo dostępny dla kandydata.

Jeśli spółka sama prowadzi rekrutację (lub przez agencję, której to zleca), najbezpieczniej, jeśli spółka umieści klauzulę informacyjną już w ogłoszeniu. 

Jednakże w praktyce są też stosowane inne modele, np:

  • rekrutacja ukryta prowadzona przez agencję 
  • pozyskiwanie danych kandydatów z istniejącej już bazy, którą ma agencja, w

W powyższych przypadkach może dochodzić do udostępnienia danych i pracodawca może spełnić obowiązek informacyjny (wynikający z art. 14 RODO, a nie z art. 13 RODO) tuż po otrzymaniu danych kandydatów. W tych modelach dodatkowo trzeba opisać źródło pozyskania danych, czyli np. jako źródło opisać należy firmę rekrutacyjną, która udostępniła dane na podstawie zgody na udostępnienie pracodawcy, zebraną od kandydata. 

A co w przypadku korzystania z jednej bazy przez wiele spółek z jednej grupy kapitałowej oraz wzajemnego udostępniania kandydatów przez te spółki?

Sprawdźmy możliwe scenariusze:

  1. Możliwa jest sytuacja, w której spółki wspólnie ustalają cele i sposoby przetwarzania, a także wspólnie realizują obowiązki wynikające z przepisów i podejmują procesy przetwarzania, korzystając z jednej bazy kandydatów. Taki model może występować przy prowadzeniu bazy na przyszłe rekrutacje – raczej nie przy prowadzeniu aktualnych rekrutacji z uwagi na fakt, że każdy potencjalny pracodawca ma własny cel przetwarzania danych przy aktualnej rekrutacji na konkretne stanowisko w danej spółce.
  2. Możliwy jest też model udostępniania danych pomiędzy spółkami np. na podstawie wcześniejszej zgody kandydata na takie udostępnienie. Dotyczy to odrębnych administratorów, gdzie każda spółka przetwarza dane w innym celu i we własnym zakresie.
  3. Może być też tak, że HR jest umieszczony w jednej ze spółek z grupy i inne spółki prowadzące rekrutacje zlecają tej spółce przeprowadzenie procesu rekrutacyjnego. Wtedy dochodzi do powierzenia przetwarzania danych osobowych spółce z HR i konieczne jest zawarcie umów powierzenia z tą spółką (która będzie pełniła funkcję podmiotu przetwarzającego).

Zgoda na przetwarzanie danych

Zgoda nie jest główną podstawą prawną przy rekrutacji. Dotychczasowa praktyka, zamieszczenia w liście motywacyjnym/CV zgody na przetwarzanie danych w celach rekrutacyjnych, została uznana za niewłaściwą. Jako podstawa przy rekrutacji, zgoda dotyczy danych opcjonalnych w CV typu hobby itp., oraz możliwości uwzględnienia CV kandydata w przyszłych rekrutacjach.

Podstawą prawną przetwarzania danych kandydata w rekrutacji jest:

  • przepis prawa tj. art. 22 (1) kodeksu pracy w zakresie formy zatrudnienia na umowę o pracę (art. 6 ust. 1 lit. c),
  • w zakresie zatrudnienia na umowie cywilnoprawnej podstawą prawną przetwarzania będzie dążenie do zawarcia umowy (art. 6 ust 1 lit. b).

Jeśli jednak będziemy korzystać z danych pozyskanych na podstawie zgody, powinniśmy pamiętać o tym, aby była ona:

  • dobrowolna – musi zostać udzielona samodzielnie (odpadają więc automatycznie zaznaczane formularze),
  • świadoma – kandydat musi wiedzieć komu, w jakim celu i zakresie udziela zgody,
  • odrębna – zgoda na udział w kolejnych procesach rekrutacyjnych nie może się zawierać w zgodzie na udział w obecnym procesie (najlepiej więc mieć dwie odrębne zgody),
  • konkretna – musi być jasno wskazany cel wykorzystania zebranych danych,
  • zrozumiała – zgoda musi być jasna i prosta,
  • nienadmiarowa – nie możemy wymagać od kandydata danych, które nie są nam potrzebne w procesie rekrutacyjnym (np. numer PESEL).

Retencja i proces anonimizacji

Danych osobowych nie możemy przetwarzać w nieskończoność – mówimy wówczas o okresie retencji danych.

Po upływie wskazanego w obowiązku informacyjnym terminu, dane osobowe musimy usunąć* lub poddać je anonimizacji. Jest to proces, który polega na usunięciu lub zamazaniu danych osobowych, tak by niemożliwe stało się zidentyfikowanie osoby, której dane posiadamy. Po tym działaniu pozostaje jedynie wpis statystyczny.

W poradniku RODO przygotowanym dla pracodawców przez Urząd Ochrony Danych Osobowych znajdziemy taki opis dotyczący okresu retencji:

„Okres przechowywania danych kandydata do pracy powinien być dostosowany do zasad przetwarzania danych i z góry określony przez administratora. Co do zasady pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie bądź odesłanie), z którym nie zdecydował się zawrzeć umowy o pracę, niezwłocznie po zakończeniu procesu rekrutacji, tj. podpisaniu umowy o pracę z nowozatrudnionym pracownikiem, chyba że ziściły się inne przesłanki uprawniające administratora do ich przetwarzania. Konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Wydłużenie okresu przechowywania danych zawartych w aplikacji powinno być zatem wyjątkiem od reguły niezwłocznego ich usuwania oraz powinno być szczególnie uzasadnione. ”

Obowiązek rozliczalności

Przetwarzając dane osobowe musimy pamiętać, iż ciąży na nas obowiązek rozliczalności. Oznacza to, że administrator musi być w stanie udowodnić, że dane osobowe kandydatów są przetwarzane w zgodzie z RODO.

Warto każdorazowo zadać sobie poniższe pytania, które pozwolą ograniczyć ryzyko naruszenia RODO i stanowią dużą pomoc dla rekrutera:

  • Czy jestem w stanie wykazać, że wobec kandydata został spełniony prawidłowo obowiązek informacyjny?
  • Czy uzyskałem zgodę, aby przetwarzać te dane, które nie są obligatoryjne lub zgodę na dalsze rekrutacje?
  • Czy w razie kontroli jestem w stanie udowodnić, że na danych dokonałem konkretnych czynności wynikających z odpowiedniej podstawy prawnej?
  • Czy dane są odpowiednio zabezpieczone przed dostępem osób trzecich i spełniam odpowiednie wymogi bezpieczeństwa?

Wniosek jest bardzo jednoznaczny. Na zgodność z RODO składa się wiele elementów, które muszą być analizowane w konkretnym przypadku. 

Chcesz dowiedzieć się, jak system HRlink dba o przestrzeganie przepisów dot. przetwarzania danych osobowych?

Zostaw swój kontakt — oddzwonimy do Ciebie!

Poproś o demo

Autor:
Alina Michałek Expert HR