Q&A webinar: RODO a HR

 

Q&A

1. Korzystając z portali społecznościowych, np. z LinkedIn, kontaktujemy się z kandydatem i prosimy np. o numer telefonu, aby móc bezpośrednio kontaktować się z zainteresowanym – czy w takim przypadku potrzebna jest zgoda?

Zgoda jest wymagana, ale w nieco innej wersji niż typowa formułka klauzuli. Profil na LinkedIn nie jest tworzony per firma, tylko per osoba. Jeśli z opisu stanowiska wynika, że dana osoba jest rekruterem, to konieczne jest w pierwszym kontakcie zapytanie kandydata na LinkedIn czy byłby zainteresowany poznaniem szczegółowej oferty pracy w naszej firmie. W pierwszym kontakcie należy zapytać o to, czy osoba jest zainteresowana przesłaniem bliższych informacji. Jeśli kontakt zwrotny będzie pozytywny – możemy zaprezentować kompleksową ofertę.

Ważne jest również, aby nie mylić z akceptacją na wysłanie oferty pracy faktu, że ktoś przyjął nas do grona kontaktów – to nie jest jeszcze zgoda.

 

2. Czy z automatu nie będzie zgody na udział w innych rekrutacjach? Ta zgoda jest teraz opcjonalna, ale po wejściu w życie RODO ma tego nie być.

 Nie będzie. Kluczowe jest to, aby zbierać odrębne zgody na przyszłe rekrutacje. Jeśli rekrutacja odbywa się w ramach grupy kapitałowej, to trzeba też zbierać odrębne zgody dla każdej spółki z grupy kapitałowej. Pamiętajmy także, że nie możemy zakazać kandydatowi udziału w bieżącej rekrutacji, jeśli nie wyrazi zgody na przyszłe rekrutacje.

 

3. Przez jaki czas obowiązuje zgoda na przyszłe rekrutacje?

 Ten termin firma wyznacza sama. Można to zrobić na podstawie tego, jak ważna jest dana rekrutacja i po oszacowaniu, kiedy mniej więcej przedawni się CV. W zależności od stanowiska ten okres może być różny. Trzeba mieć jednak sesnowne uzasadnienia dlaczego właśnie taki okres ważności zgody wybraliśmy. Standardem rynkowym będzie rok, 2 lata lub 3 lata.

 

4. Dane kontaktowe IoD w klauzuli – czy wystarczy tylko sam e-mail Inspektora?

 Tak, wystarczy sam e-mail Inspektora. Powinien to być e-mail ogólny, np. iod@nazwafirmy.pl. Nie ma wymogu firmy, że musi to być też numer telefonu, ale dobrą praktyką byłoby umieszczenie go w klauzuli. RODO zaleca łatwy kontakt z Inspektorem Ochrony Danych.

 

5. Czy należy pobierać zgodę od pracownika na wykorzystywanie jego danych po ustaniu zatrudnienia? Np. w celu przesłania PIT-u.

 Nie musimy w tym zakresie pobierać zgody. Należy jedynie poinformować pracownika, że po ustaniu stosunku pracy będziemy przechowywać jego dane dla celów rozliczeń, wystawienia PIT-u czy dla celów archiwalnych. Chyba że chcemy trzymać adres e-mail (prywatny), aby wysłać dawnemu pracownikowi w przyszłości np. zaproszenie na wigilię – w tej sytuacji już musi być zgoda.

 

6. Co z kandydatem, który w równoległych rekrutacjach w jednej wyraził zgodę na przyszłe rekrutacje, a w drugiej już nie?

 Traktujemy to jako wyrażenie zgody na przyszłe rekrutacje. Ważne będzie umieć się z niej rozliczyć –  trzeba mieć ją zachowaną w bazie.

 

7. Co w przypadku wysyłania CV mailem w formie zaszyfrowanej? Czy należy taką wiadomość usuwać w sytuacji, gdy tylko konkretna osoba mogła tę wiadomość odczytać i odszyfrować?

 Jeśli CV nie jest już potrzebne, to po ustalonym czasie trzeba je usunąć. Szyfrowanie to bardzo dobra praktyka, ale nie zwalnia nas z konieczności minimalizacji przetwarzanych danych. Przedawnione informacje, które nie są nam potrzebne w kontekście biznesowym, a zwłaszcza rzeczy zaszyfrowane, są zbędne. Trzeba ustalić krańcową datę, w której takie przestarzałe dane usuwamy.

 

8. Czy z firmą, która przeprowadza obowiązkowe badania lekarskie musi być zawarta umowa powierzenia przetwarzanych danych?

 Tak, ze względu na to, że przesyłamy tej firmie dane osób, które się pojawią na określonym badaniu. Zaleca się, aby taka umowa powstała.

 

9. Czy CV, które wpłynęło do nas przed RODO, możemy przechowywać w systemie, czy musimy skontatować się z kandydatem, aby mieć jego zgodę, by to zrobić?

 Jeśli proces rekrutacji jest już zakończony, to powinniśmy usunąć CV osób, które nie zostały przez nas zatrudnione. Jeśli jednak była odrębna zgoda na przyszłe rekrutacje, to trzeba z takimi kandydatami się skontaktować i zagwarantować im możliwość wycofania zgody. Jeśli zgody nie wycofają – można się z nimi kontaktować.

 

10. Czy w systemie e-Recruiter będzie możliwość filtrowania aplikacji od kandydatów według wyrażonych zgód? Czy jeśli ktoś nie wyrazi zgody na przetwarzanie danych w szerszym zakresie to jest opcja, aby taka aplikacja do nas nie docierała?

 Tak. W eRecruiterze jest już teraz możliwość filtrowania aplikacji według wyrażonych zgód i ona na pewno nie zniknie. Jeśli ktoś nie wyrazi zgody na przetwarzanie danych, to jego aplikacja nie zostanie wysłana do rekrutera.

 

11. Co z notatkami w systemie eRecruiter dotyczącymi kandydata? Czy będzie można je przechowywać?

 Jak najbardziej. Te notatki są traktowane jak dane kandydata typu imię czy nazwisko, zatem możemy je tak długo przechowywać, jak inne dane.