Rekrutacja – jak zmieni się proces rekrutacyjny po 25 maja 2018 r.

 

Już 25 maja 2018 r. zacznie obowiązywać rozporządzenie ogólne o ochronie danych osobowych (RODO), które jednolicie reguluje w całej Unii Europejskiej kwestie ochrony danych osobowych. RODO jest obecnie tematem bardzo gorącym, zarówno z punktu widzenia prowadzenia biznesu i bardzo wysokich kar pieniężnych za nieprzestrzeganie nowych przepisów, ale także z punktu widzenia osób fizycznych, którym przyznane zostały nowe prawa.

Proces rekrutacji także podlega pod regulacje RODO a w związku z szerokim zakresem zbieranych danych osobowych podczas rekrutacji, proces ten należy dostosować do nowych przepisów. Sprawdź na co należy zwrócić szczególną uwagę.

 rekrutacja a RODO

 

1. Zgoda na przetwarzanie danych w celach procesu rekrutacyjnego (zgoda na obecne i przyszłe rekrutacje)

Po 25 maja 2018 r. pracodawcy będą musieli zwracać szczególną uwagę na to, czy kandydat do pracy wyraził zgodę jedynie na obecną rekrutację, czy także na przyszłe procesy rekrutacyjne. Co istotne, muszą być to dwie niezależne od siebie zgody – w przypadku aplikacji składanych na pośrednictwem aplikacji internetowych należy np. zagwarantować dwa niezależne check-boxy, które kandydat będzie mógł zaznaczyć (zgoda na obecne procesy rekrutacyjne jest dobrowolna, aczkolwiek niezbędna w celu prowadzenia rekrutacji, a zgoda na przyszłe rekrutacje jest zawsze w pełni dobrowolna); w przypadku CV składanych w formie papierowej, powinno ono co do zasady zawierać dwie klauzule zgody. Brak dodatkowej zgody na przyszłe procesy rekrutacyjne oznacza, że po zakończeniu danego procesu rekrutacji, nie będzie można w dalszym ciągu przetwarzać danych kandydata w celach rekrutacyjnych.

Warto wskazać, że RODO, w przeciwieństwie do obecnych przepisów wprowadza pojęcie tzw. działania potwierdzającego. W praktyce może to oznaczać pewne ułatwienie dla działów HR. Chodzi bowiem o sytuację, kiedy jednoznaczna i świadoma czynność danej osoby (np. kandydata do pracy) oznacza zgodę na przetwarzania danych, bez wyraźnego pisemnego oświadczenia. O co chodzi? Jeśli kandydat podejmuje proaktywne działanie i wysyła CV do pracodawcy w odpowiedzi na konkretne ogłoszenie rekrutacyjne, to na tej podstawie można domniemywać jego zgodę na przetwarzanie zawartych w nim informacji. Nie wymaga to dopisania na końcu CV popularnej klauzuli. Jednak tak udzielone przyzwolenie ma wiele daleko idących ograniczeń, bo dotyczy tylko tej konkretnie rekrutacji i uniemożliwia dalsze przechowywanie oraz przetwarzanie danych kandydata. Jeśli kandydat chciałby, żeby jego CV mogło być wzięte pod uwagę w równolegle trwających lub przyszłych rekrutacjach, musi wyrazić dodatkową zgodę. Powinien wtedy dodać klauzulę z odpowiednim zapisem. Istotne jest także, że w przypadku wątpliwości lub sporu, to potencjalny pracodawca będzie musiał wykazać, że zgoda została udzielona poprzez jednoznaczne działanie potwierdzające.

2. Obowiązek informacyjny wobec kandydatów do pracy

Nowe przepisy dotyczące ochrony danych osobowych kładą szczególny nacisk na transparentność przetwarzania danych osobowych. Firmy poszukujące pracowników będą musiały zatem spełnić wobec kandydatów szeroki obowiązek informacyjny.

Potencjalny pracodawca będzie miał obowiązek przekazania kandydatowi następujących m.in. informacji:

  • Kto jest administratorem danych (tj. potencjalny pracodawca), czy został powołany Inspektor Ochrony Danych
  • Kto będzie odbiorcą danych osobowych kandydatów
  • Jakie prawa odnoszące się do danych przysługują kandydatowi do pracy w zakresie jego danych osobowych, a w szczególności o możliwości wycofania zgody (dotyczy w szczególności zgody na przyszłe rekrutacje), prawa do modyfikacji danych, prawa do złożenia skargi do organu nadzorczego i ich usunięcia.

Istotne jest także, że firma będzie musiała przekazać informacje dotyczące okresu przetwarzania danych osobowych kandydata do pracy. Według założeń RODO dane osobowe nie powinny być przetwarzane dłużej niż jest to niezbędne do wykonania celu ich przetwarzania – tu należy rozróżnić, czy dane przetwarzane są na potrzeby jedynie konkretnej rekrutacji, czy też – na podstawie dodatkowej zgody – na cele przyszłych procesów rekrutacyjnych. Czyli nawet jeśli kandydat udzieli dodatkowej zgody, która umożliwi automatyczne aplikowanie na inne wakaty, nadal musi być określone, jak długo będzie aktualna. Okres przetwarzania danych na przyszłe procesy rekrutacyjne określa sam pracodawca, jednak okres ten musi być uzasadniony okolicznościami (np. w zależności od stanowiska).

3. Zabezpieczenie danych kandydatów do pracy

Warto również wiedzieć, że z dokumentami składanymi przez kandydatów do pracy powinni zapoznawać się tylko pracownicy biorący udział w rekrutacji oraz ewentualnie kierownictwo. Co więcej, dane te powinny być traktowane jak każde inne dane osobowe w firmie, powinny być odpowiednio przechowywane (np. w zamykanych szafkach), powinny być też usuwane w odpowiednim czasie i w odpowiedni (skuteczny) sposób np. za pomocą niszczarki lub odpowiednich programów komputerowych. Natomiast w przypadku wycieku tych informacji – na co składa się również dostęp do nich osób niepowołanych wewnątrz firmy – pracodawca ma obowiązek zgłosić okoliczność naruszenia ochrony danych osobowych do organu nadzorczego w terminie 72 godzin od stwierdzenia naruszenia. Za nieprzestrzeganie nowych przepisów dotyczących ochrony danych osobowych, w tym także za brak wprowadzenia odpowiednich środków technicznych i organizacyjnych zabezpieczenia danych firmom grożą wysokie kary pieniężne.

4. Informacje zbierane od kandydatów do pracy

W powiązaniu z RODO trwają prace nad aktualizacją Kodeksu Pracy. Planowane jest zmiana obecnego katalogu danych osobowych kandydata, które potencjalny pracodawca będzie mógł zbierać podczas rekrutacji. Zgodnie z projektem z dnia 12.09.2017 r. firma będzie mogła zażądać podania jedynie następujących danych:

  • imię (imiona) i nazwisko,
  • data urodzenia,
  • adres do korespondencji / adres zamieszkania
  • adres poczty elektronicznej ALBO numer telefonu
  • wykształcenie
  • przebieg dotychczasowego zatrudnienia.
  • innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.

To katalog zamknięty. Co ciekawe, zgodnie z projektem, pracodawca może żądać tylko jednego z dwóch: numeru telefonu kandydata albo jego adresu e-mail! Żeby mógł przetwarzać obydwie informacje – kandydat musi dać na to pisemne przyzwolenie.

Opisane powyżej założenia mogą jeszcze ulec zmianie – należy na bieżąco śledzić zmiany w tym z zakresie.