RODO a dane kandydatów do pracy. 5 rzeczy, na które powinien zwrócić uwagę pracodawca!

Już tylko kilka miesięcy pozostało firmom na dostosowanie swoich struktur organizacyjnych i procedur do wymogów rozporządzenia wprowadzającego nowe prawo o ochronie danych osobowych (RODO). Eksperci eRecruiter zwracają uwagę, że dokument będzie miał istotny wpływ na działalność działów HR, a w szczególności na realizację procesów rekrutacyjnych. Obszary, których zmiany mogą dotyczyć to m.in.: dostęp do danych osobowych kandydatów, obowiązki informacyjne czy zarządzanie zgodami kandydatów.

„Nowe regulacje w zakresie ochrony danych osobowych mają być gwarancją dla obywateli państw członkowskich Unii Europejskiej, między innymi dla kandydatów do pracy, że ich dane będą bezpieczne i przetwarzane w oparciu o odpowiednie podstawy. By tak się stało również pracodawcy, w tym w szczególności przedstawiciele działów HR, IT i prawnych, muszą w ciągu najbliższych kilku miesięcy, które pozostały do wejścia w życie rozporządzenia, odpowiednio przygotować kadry, infrastrukturę oraz politykę firmową do nowej rzeczywistości w zakresie ochrony danych osobowych.” Agnieszka Witaszek, ekspert ds. ochrony danych osobowych w eRecruiter

Jest jednak kilka aspektów, którym warto poświęcić uwagę w szczególności.

Po pierwsze, sprawdź, komu powierzasz dane kandydatów do pracy

Z punktu widzenia RODO istotne jest, komu rekrutujący pracodawca powierza dane (tzw. procesor). Legalizacja powierzenia danych nie polega wyłącznie na zawarciu umowy powierzenia danych, ale wymaga również oceny procesora pod kątem zapewnienia bezpieczeństwa powierzonych danych. Zgodnie z art. 28 ust. 1 RODO, administrator danych może korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Przed powierzeniem danych administrator musi ocenić „wiarygodność” procesora.

Dział HR, który chce powierzyć przetwarzanie danych osobowych kandydatów zewnętrznym dostawcom narzędzi musi zweryfikować i ocenić, na ile wybrany partner jest w stanie zapewnić odpowiednie środki techniczne i organizacyjne, aby zagwarantować bezpieczeństwo przetwarzania danych wymagane przez RODO.

Po drugie, zapewnij dostęp do danych tylko upoważnionym osobom

Dane osobowe kandydata będą bezpieczne tylko wtedy, gdy dostęp do nich mają osoby wiedzące, jak się z nimi obchodzić. Jeżeli firma posiada odpowiedni system do rekrutacji, taki jak eRecruiter, sprawa jest łatwa. Na platformie wgląd do danych przyznaje się bowiem tylko tym osobom, które są zaangażowane w dany proces rekrutacyjny. Dodatkowo, dostęp jest zabezpieczony odpowiednim hasłem. Istnieje też możliwość dodawania lub usuwania uprawnień. Jeżeli natomiast firma przechowuje CV na skrzynkach mailowych, trzeba wdrożyć samodzielnie odpowiednie procedury w firmie, które zapewnią bezpieczeństwo tych danych.

Po trzecie, zwróć uwagę na nowe wymogi dotyczące zbierania zgód

Ministerstwo Cyfryzacji przedstawiło we wrześniu tego roku projekt zmian do przepisów Kodeksu Pracy, na podstawie których pracodawcy będą mogli zbierać określone dane kandydatów w oparciu o przepisy prawa. Niektóre dane będą jednak wymagały nadal odrębnej zgody kandydata (np. przetwarzanie wizerunku zmieszczonego w plikach CV). Jeżeli pracodawca zdecyduje się pobierać zgodę od kandydatów, to wymagane będzie spełnienie poniższych elementów zgodnie z wymaganiami RODO.

  • Zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
  • Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
  • Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę (niezależnie od tego na jakie cele zgoda została wyrażona). Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, powinna zostać o tym informowana, zanim wyrazi zgodę. Wycofanie zgody powinno być równie łatwe jak jej wyrażenie.

Dzięki aplikacji eRecruiter pracodawcy mogą na bieżąco monitorować, jakie klauzule informacyjne widział kandydat oraz jakie zgody zaakceptował (zgoda na przyszłe rekrutacje, zgoda na dodatkowe dane, których nie można przetwarzać na podstawie przepisów prawa). W przypadku kontroli w łatwy i prosty sposób można odtworzyć dokładne treści klauzul oraz zgód zaakceptowanych przez kandydata.

Po czwarte, przygotuj się na więcej obowiązków informacyjnych

Obecnie w przypadku zbierania danych osobowych administrator jest zobowiązany poinformować zainteresowaną osobę o:

  • adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
  • celu zbierania danych, a w szczególności o znanych lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
  • prawie dostępu do treści swoich danych oraz ich poprawiania;
    dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje.

Po wejściu w życie RODO administrator będzie zobowiązany przekazać m.in. następujące informacje:

  • swoją tożsamość i dane kontaktowe;
  • dane kontaktowe inspektora ochrony danych, jeżeli będzie powołany;
  • cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
  • okres, przez który dane osobowe będą przechowywane;
  • informacje o prawie do cofnięcia zgody w dowolnym momencie;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Na szczególną uwagę zasługuje punkt dotyczący przekazywania informacji o miejscach przetwarzania danych. Oznacza to, że musimy bardzo dobrze orientować się, gdzie przesyłane są dane, np. gdy korzystamy z różnych narzędzi HR, aby wskazać ten punkt w klauzuli informacyjnej.

Po piąte, przygotuj się na kontrolę

Na wypadek kontroli Prezesa Urzędu Ochrony Danych Osobowych – PUODO (nowy organ, który zastąpi GIODO zgodnie z projektowanymi polskimi przepisami) musimy mieć pewność, że przedstawimy klauzule informacyjne i zgody, jakie zostały wykorzystane do danego procesu rekrutacyjnego, oraz czy nasza baza danych osobowych jest odpowiednio chroniona. Jest to znacznie łatwiejsze, gdy posiadamy odpowiedni system do rekrutacji. Przykładowo w eRecruiter automatycznie gromadzone są informacje o tym, jakie otrzymał kandydat w procesie rekrutacji. Platforma udostępnia także gotowe wzory klauzul informacyjnych oraz zgód przygotowane przez ekspertów, a także umożliwia tworzenie własnych. Dlaczego to takie istotne? Po wprowadzeniu nowego prawa, stwierdzone naruszenie zasad ochrony danych osobowych może oznaczać poważne konsekwencje. Najbardziej dotkliwe będą te finansowe. PUODO będzie uprawniony do nakładania administracyjnych kar pieniężnych.

Pracodawca, który naruszy wymogi w zakresie przetwarzania danych kandydata, może zostać zobligowany do zapłacenia kary w wysokości maksymalnie 20 mln euro, a w przypadku przedsiębiorstwa w wysokości 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (decyduje kwota wyższa).

Jeśli firma obecnie realizuje projekty rekrutacyjne w oparciu o arkusz kalkulacyjny lub skrzynkę e-mail, narzędzia te mogą być niewystarczającym zabezpieczeniem – zarówno prawnym jak i technicznym – do prowadzenia tego typu procesów w przyszłości. Wymogi określone w RODO wpłyną nie tylko na pracę działu HR, ale także na inne departamenty takie jak IT, marketing czy finanse. Te ostatnie, między innymi ze względu na nowe i dotkliwe sankcje, muszą wywrzeć większa presję na pozostałe działy firmy, aby zawczasu wdrożyły odpowiednie procedury i zabezpieczenia.

Autor:
eRecruiter to platforma do zarządzania procesami rekrutacyjnymi. Aplikacja eRecruiter pomaga pracodawcom zabezpieczać i przetwarzać dane kandydatów zgodnie z wytycznymi GIODO oraz standardami UE.

Sprawdź również:
RODO w rekrutacji – e-book
Z kim wdrażać RODO – infografika
RODO NAWIGATOR – tekst i praktyczne odesłania