HRlink Blog

Co rekruter musi tak naprawdę wiedzieć o RODO w rekrutacji

Co rekruter musi tak naprawdę wiedzieć o RODO

25 maja 2018 roku weszły w życie wytyczne RODO, które na dobre zmieniły działalność wielu firm. Nadal wiele organizacji nie stosuje prawidłowej polityki ochrony danych osobowych, także RODO w rekrutacji. Głównym problemem jest brak wiedzy jak praktycznie wdrożyć rozporządzenie w życie oraz jak przełożyć prawne terminy na rzeczywistość biznesową. Zmiany te dotyczą oczywiście wielu obszarów – my jednak skupimy się na RODO w rekrutacji.

Administrator a Procesor Danych Osobowych

Na wstępie należy wyjaśnić dwa ważne pojęcia – Administrator oraz Procesor Danych Osobowych.

  1. Administrator to podmiot przetwarzający dane na poczet własnego celu (czyli w naszym przypadku – przeprowadzenia procesu rekrutacji).
  2. Procesor przetwarza dane powierzone mu przez Administratora. Mówiąc prościej – Administratorem najczęściej będzie firma poszukująca pracownika, natomiast Procesorem dostawca systemu wspierającego rekrutację albo agencja. Oba podmioty przetwarzają jednak dane osobowe, a co za tym idzie – muszą stosować się do zaleceń RODO.

Zadbaj o kwestie formalne

Aby RODO w rekrutacji było stosowane zgodnie z prawem, trzeba zacząć od rzeczy fundamentalnej, czyli od przeanalizowania obecnej sytuacji w Twojej organizacji (audyt). 

Należy zastanowić się, kto ma dostęp do danych osobowych. Pracownicy Ci powinni otrzymać odpowiednie upoważnienie oraz muszą zostać odpowiednio przeszkoleni.
Jeśli Twoja firma współpracuje z zewnętrznymi podmiotami – agencja, korzysta z outsourcingu, programu ATS w rekrutacji, albo prowadzi projekty dla wielu spółek w grupie, musisz zadbać również, by została podpisana umowa o powierzeniu przetwarzania danych osobowych.

Obowiązek informacyjny

Jednym z bezwzględnych wymagań RODO jest obowiązek informacyjny. Do tej pory publikując ofertę pracy, dodawaliśmy informację o konieczności dołączenia do CV zgody na przetwarzanie danych osobowych.
Obecnie na każdym ogłoszeniu kandydat musi znaleźć sześć informacji:

  • Kto jest Administratorem (najczęściej będą to dane firmy, która prowadzi rekrutację),
  • Zakres przetwarzania danych osobowych,
  • Prawa przysługujące kandydatowi,
  • Okres przechowywania danych osobowych,
  • Podstawa prawna,
  • Sposób na wycofanie zgody.

Warto również zaznaczyć, że w formule tej można zawrzeć również inne, dodatkowe informacje, ważne z punktu widzenia naszej organizacji.

Zgoda na przetwarzanie danych osobowych

Kolejnym obowiązkiem wynikającym z wprowadzenia RODO w rekrutacji jest konieczność uzyskania zgody na przetwarzanie danych. Zgoda taka musi być:

  • Dobrowolna – kandydat musi samodzielnie wyrazić zgodę. Nie można więc stosować (jak to było do tej pory) automatycznego zaznaczenia udzielenia zgody w systemie HR.
  • Świadoma – osoba udzielająca zgody musi wiedzieć komu, po co i w jakim zakresie pozwala przetwarzać swoje dane.
  • Odrębna – w zgodzie na udział w obecnej rekrutacji, nie może się zawierać zezwolenie na udział w kolejnych procesach.
  • Konkretna – musi być wskazany cel wykorzystania danych osobowych.
  • Zrozumiała – napisana prostym językiem, zrozumiała dla kandydata.
  • Nie nadmiarowa – nie można wymagać danych, które nie są konieczne w procesie rekrutacyjnym (np. numeru PESEL, stanu cywilnego).

Pamiętajmy również, że danych osobowych nie możemy przetwarzać w nieskończoność. Mówimy w tym przypadku o okresie retencji zgody. Najczęściej występujący okres to pół roku do 3 lat. Po upływie tego terminu należy usunąć dane osobowe z bazy kandydatów. Można również skorzysta z procesu anonimizacji kandydatów, czyli usunięcia danych z pozostawieniem wpisu statystycznego.

Obowiązki Administratora Danych Osobowych

To na Administratorze Danych Osobowych spoczywa odpowiedzialność oraz obowiązek udowodnienia, że działa zgodnie z wytycznymi RODO.

Administrator musi potrafić udowodnić, że dane były przetwarzane w oparciu o należyte zgody, kandydat był zawsze poinformowany, kto przetwarza jego dane, oraz że dane osobowe były usuwane w odpowiednim czasie lub na prośbę samego kandydata.

Administrator musi również pamiętać, że kandydat ma prawa wynikające z RODO, których należy przestrzegać. Są to Prawa do:

  • Informacji o sposobie przetwarzania danych
  • Dostępu do danych
  • Sprostowania danych
  • Bycia zapomnianym (usunięcia danych z bazy kandydatów)
  • Ograniczenia przetwarzania danych
  • Przeniesienia danych
  • Sprzeciwu wobec przetwarzania danych.

Jak sprawić, by rekrutacja była zgodna z RODO?

Obraz rekrutacji po RODO nie jest wcale taki straszny, jak go malują. Należy jednak dobrze orientować się we wprowadzonych zmianach. Pomocą dla rekrutera mogą być trzy pytania, zadane przy każdorazowym przetwarzaniu danych osobowych:

  • Mam zgodę na przetwarzanie tych danych?
  • Mogę udowodnić, że dokonałem/łam takiej czynności na danych?
  • Czy poinformowałem/am kandydata, że przetwarzam dane?

Jeśli na wszystkie pytania odpowiedź będzie twierdząca, możemy śmiało założyć, że dopilnowaliśmy procesów zapewniających ochronę danych osobowych w rekrutacji.

Wniosek jest bardzo jednoznaczny. Na zgodność z RODO składa się wiele elementów, które muszą być analizowane w konkretnym przypadku. 

Chcesz dowiedzieć się, jak system HRlink dba o przestrzeganie przepisów dot. przetwarzania danych osobowych?

ochrona-danych-osobowych-w-rekrutacji

Skontaktuj się z naszym konsultantem, który chętnie opowie o systemie rekrutacyjnym HRLink!

Lepszy sposób na rekrutację

Kompleksowy system rekrutacyjny, który zapewnia wsparcie na każdym etapie Twoich rekrutacji.