Opadły już emocje związane z wprowadzeniem nowego Rozporządzenia o Ochronie Danych Osobowych. Tymczasem nie wszyscy rekruterzy zdają się być w 100% pewni jakie obowiązki nakłada na nich – i na ich pracodawców – RODO. HRlink, jeden ze sponsorów pierwszego spotkania ROC day w Krakowie, zorganizował niedawno antykonferencję, na której Alina Michałek rozwiała wątpliwości uczestników.

 

Podstawowe pojęcia

Materiały dotyczące tematyki RODO będą z pewnością używać pojęć, które warto wstępnie wyjaśnić:

Administrator danych: to podmiot przetwarzający dane na poczet własnego celu przetwarzania (w tym wypadku, przeprowadzenia procesu rekrutacji).

Procesor danych: to podmiot przetwarzający dane powierzone mu przez Administratora w tym samym celu przetwarzania (np. HRlink).

Pamiętajmy jednak, że niezależnie od tego, czy jesteśmy Procesorem, czy Administratorem, to przetwarzamy dane.

 

Czy wolno korzystać z istniejącej bazy kandydatów?

Oczywiście wolno nam wykorzystać dane kandydatów, które znajdują się już w naszej bazie, ale uwaga! Przechowywanie tych danych jest dozwolone tylko pod warunkiem, że wraz z wejściem nowych przepisów:

  • Spełniliście obowiązek informacyjny,
  • Kandydaci odnowili zgodę na przechowywanie danych, chyba, że zgoda wyrażona przed wejściem RODO w życie, była zgodna z nowymi przepisami.  Tutaj pamiętajmy, że jeśli przed 25 maja kandydaci wyrazili jedną wspólną zgodę na obecne i przyszłe projekty rekrutacyjne, to wraz z odnowieniem zgody, należy je rozdzielić i poprosić kandydata o zgodę osobno na obecne rekrutacje a osobno na przyszłe.

Obowiązek udowodnienia, że spełniliście powyższe kryteria leży oczywiście po Waszej stronie.

 

Jak realizować nowe projekty rekrutacyjne w zgodzie z RODO?

  1. W świetle nowych przepisów każdego kandydata należy poinformować o tym gdzie i w jaki sposób przechowywane są jego dane. W pierwszej kolejności musisz więc przygotować odpowiednie dane na ten temat.
  2. Każdy kandydat ma m.in. prawo wglądu we własne dane, należy też umożliwić kandydatom aktualizowanie i usuwanie danych. Informacja o tym w jaki sposób kandydat może skorzystać z tych praw powinna zostać przekazana w ramach obowiązku informacyjnego.
  3. Administrator danych musi uzyskać od kandydata zgodę na przetwarzanie danych w ramach procesu rekrutacji, a także osobną zgodę na przetwarzanie danych na potrzeby przyszłych procesów.Taka zgoda obowiązuje tylko przez określony czas (najczęściej spotykana praktyka to okres od 0,5 roku do 3 lat), zwany okresem retencji.
  4. Przetwarzanie wszelkich danych wrażliwych, nadmiarowych, wymaga osobnej zgody kandydata. Przykładem może być informacja o preferencjach politycznych. Należy upewnić się, że wszelkie CV zawierające tego typu dane, zostały opatrzone dodatkową zgodą.

 

Jak pracować z danymi kandydatów?

Wobec zawiłości związanych z procesowaniem danych kandydatów warto upewnić się, że system, z którego korzystamy, oferuje odpowiednie wsparcie w tym zakresie. Systemy dedykowane działom HR mogą oferować takie wsparcie w różnym zakresie, dlatego warto potwierdzić szczegóły z naszym dostawcą (a więc Procesorem danych).

 

Jakie funkcje ułatwią życie rekruterom?

  1. Automatyczne oznaczenie kandydatów, którym mija okres retencji i prośba o zgodę na przetwarzanie danych
  2. Automatyczna weryfikacja kandydatów pod względem posiadanych zgód na procesowanie danych, np. kopiowanie danych (przykładowo podczas kopiowania danych ze starego do nowego projektu rekrutacyjnego?
  3. Automatyczne odnotowanie w rejestrze każdej czynności dokonanej w odniesieniu do danych osobowych każdego kandydata, w szczególności kto? kiedy? jakie czynności wykonał na danych.
  4. Obsługa systemowa niektórych roszczeń kandydatów (w szczególności wycofanie zgody na przetwarzanie danych na potrzeby przyszłych procesów, aktualizacja lub usunięcie danych)
  5. Automatyczna prośba o zgodę przed zakończeniem rekrutacji/upływie retencji
  6. Umieszczenie obowiązku i klauzul na formularzu aplikacyjnym (pewność posiadania odpowiednich zgód od kandydata oraz spełniony obowiązek informacyjny)

 

Czym jest anonimizacja danych kandydatów i z czego wynika?

Jeśli kandydat zdecyduje się poprosić nas o usunięcie jego danych z bazy, na Administratorze danych spoczywa obowiązek udowodnienia, że dane zostały rzeczywiście usunięte z bazy. Udowodnienie jest jednak niemożliwe w przypadku wycofania ich z systemu (brak śladu). Wobec tego dane kandydata powinny podlegać anonimizacji, tj. usunięcie danych z pozostawieniem wpisu statystycznego (trwałe zamazanie danych osobowych i pozostawienie rekordu w raportach). Dzięki temu możemy spełnić wymagania związane z zapisywaniem wszelkich czynności dokonanych na danych kandydata w rejestrze, nie tracąc podstawowych danych statystycznych oraz dowodu, że dane rzeczywiście zostały usunięte. Prowadzenie takiego rejestru usuniętych danych jest dozwolone, ponieważ tutaj podstawą prawną sa przepisy prawa, a w szczególności Kodeks Pracy i przechowywanie danych na poczet ochrony przed ewentualnymi roszczeniami. Po upływie okresu przedawnienia roszczeń, taki rejestr powinien być czyszczony z danych osobowych.

 

Wsparcia merytorycznego niezbędnego do przygotowania artykułu udzielił HRlink. HRlink przyspiesza rekrutację i usprawnia selekcję kandydatów. Umożliwia swobodną publikację ofert pracy w dowolnych mediach internetowych oraz oszczędza czas i obniża koszty rekrutacji.

Logo HRlink, partnera merytorycznego wpisu o RODO.


2 Comments

Monika · August 6, 2018 at 6:58 am

Na czym konkretnie polega usunięcie danych z pozostawieniem wpisu statystycznego? Jeśli mam listę kandydatów oraz folder z ich dokumentami, to zakładam, że usunięcie danych polega na usunięciu kandydata z listy oraz usunięcie jego dokumentów. Czy powinnam zatem pozostawić imię i nazwisko na liście z informacją “dane osobowe usunięte”? Bo imię i nazwisko to przecież też dane, więc wolę dopytać.

    ROC Polska · August 6, 2018 at 1:00 pm

    Bardzo słuszne pytanie! Należy tu odróżnić dwie kwestie:

    1. Usunięcie danych z pozostawieniem wpisu to wymazanie danych i wstawienie zamiast tego liczby. Wówczas w statystykach ujęta jest tylko liczba bez żadnych danych kandydata.

    2. Ważny jest też aspekt rozliczalności takiego wpisu statystycznego – aby zrobić to w 100% bezpieczni, należy na podstawie tego zbioru, który usuwamy stworzyć osobny zbiór zawierający imię i nazwisko i informację „dane osobowe usunięto”. Wówczas dane imię i nazwisko możemy trzymać, bo zmienia się cel przetwarzania z rekrutacji na rozliczalność.

    Szczegóły dotyczące wprowadzenia takiego rozwiązania będą oczywiście zależeć od narzędzi, jakich używamy do prowadzenia procesu rekrutacji i przechowywania danych. Zdecydowanie polecamy skontaktować się w tej sprawie z przedstawicielami tych narzędzi, których używa Pani w pracy. Powinni oni być w stanie zaproponować Pani konkretne rozwiązanie.

Leave a Reply

Your email address will not be published. Required fields are marked *

%d bloggers like this: