RODO wprowadza znaczące zmiany w obszarze rekrutacji. Działy HR w firmach muszą dokładnie przyjrzeć się swoim metodom pracy podczas poszukiwania nowych pracowników.
- RODO wprowadza zasadę adekwatności, która w odniesieniu do procesu rekrutacji oznacza, że dozwolone jest gromadzenie wyłącznie tych danych na temat kandydatów, które są niezbędne do przeprowadzenia procesu rekrutacji. Zakres danych osobowych, niezbędnych do przeprowadzenia rekrutacji reguluje art. 22 Kodeksu Pracy. Dane te obejmują: imię i nazwisko, imiona rodziców, datę urodzenia, miejsce zamieszkania, wykształcenie oraz przebieg dotychczasowego zatrudnienia - mówi Katarzyna Muszyńska, ekspert ds. ochrony danych osobowych z LexDigital.
W uzasadnionych przypadkach pracodawca może gromadzić zaświadczenie o niekaralności, jeżeli takie uprawnienie wynika z przepisów prawa np. podczas naboru pracowników do służby cywilnej.
Wizerunek kandydata
- Katalog danych wymienionych w Kodeksie Pracy nie zawiera wizerunku kandydata. Legalne przetwarzanie wizerunku osób biorących udział w rekrutacji, jest możliwe wyłącznie po uzyskaniu od nich zgody. Zgoda, musi spełniać ogólne wymagania RODO w tym zakresie. W praktyce najważniejsze będzie zagwarantowanie, że zgoda została wyrażona dobrowolnie. Kandydat musi mieć świadomość, że może ale nie musi jej wyrazić - zaznacza Katarzyna Muszyńska, LexDigital.
Zobacz także: Po co RODO? Debata money.pl
Brak zgody nie może być podstawą niekorzystnego traktowania kandydata. Za takie zachowanie, można uznać brak możliwości złożenia CV bez zdjęcia, np. jeżeli system do aplikowania wymusza dodanie fotografii w celu wysłania gotowego formularza. Oznacza to, że CV bez zdjęcia nie mają możliwości wzięcia udziału w procesie rekrutacji.
Zgoda na przetwarzanie danych osobowych w rekrutacji
Podstawą prawną do przetwarzania danych osobowych kandydatów do pracy jest art. 22 Kodeksu Pracy. Kodeks Pracy jasno wskazuje, że przyszły pracodawca przetwarzana dane kandydatów na podstawie przepisów prawa, a nie na podstawie ich zgody. Zgoda na przetwarzanie danych osobowych staje się niezbędna, w ściśle określonych przypadkach. Rekrutacja w kontekście zawarcia umowy o pracę jest regulowana przez Kodeks Pracy.
W sytuacji zawierania umów B2B zgoda staje się odpowiednią przesłanką legalizującą przetwarzanie danych osobowych podczas procesu rekrutacji. Zgodę należy pozyskiwać również w przypadku ponownego wykorzystania CV kandydata w przyszłych rekrutacjach oraz podczas zbierania danych w zakresie wykraczającym poza wskazany w art. 22 Kodeksu Pracy.
Obowiązek informacyjny pracodawców
Przetwarzając dane osobowe kandydatów w procesie rekrutacji, pracodawca staje się administratorem danych osobowych. RODO nakłada obowiązek przekazania kandydatowi informacji o procesach związanych z przetwarzaniem danych oraz o prawach mu przysługujących.
Dopełnienie obowiązku informacyjnego powinno nastąpić jeszcze przed zebraniem danych. Odpowiednim i skutecznym sposobem na to, aby spełnić obowiązek informacyjny podczas rekrutacji jest umieszczenie odpowiedniej klauzuli w treści ogłoszenia, czy formularza rekrutacyjnego.
Ta powinna zawierać m.in. informacje dotyczące administratora danych osobowych, wraz z danymi kontaktowymi, konkretnie sprecyzowany cel przetwarzania danych, czy okres, przez który dane osobowe będą przechowywane. Dodatkowo, należy poinformować kandydata o prawie do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia a także o możliwości cofnięcia zgody. Niezbędna będzie również informacja, czy podanie danych osobowych jest warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
Przechowywanie dokumentów rekrutacyjnych
Ochrona danych osobowych w firmie dotyczy także dokumentacji rekrutacyjnej. CV, listy motywacyjne oraz listy referencyjne wymagają takiej samej staranności w ich przechowywaniu jak umowy, czy faktury. Pracodawca jest zobowiązany do zachowania odpowiednich środków ochrony danych osobowych zawartych w tych dokumentach.
Przede wszystkim należy zagwarantować, że dostęp do danych osobowych kandydatów mają wyłącznie osoby, które zostały do tego upoważnione. Pracodawca musi zadbać, aby dokumenty były zabezpieczone przed nieuprawnionym dostępem. Należy pamiętać, że jeśli zdecydowaliśmy się na wydrukowanie dokumentów aplikacyjnych, po procesie rekrutacji musimy je skutecznie zniszczyć, tak aby zagwarantować, że dokumenty nie zostaną przekazane osobom nieuprawnionym.
Wiadomości e-mail zawierające dane osobowe kandydatów powinny zostać szyfrowane, a hasło przesyłane odmiennym kanałem komunikacyjnym. Należy pamiętać również o zarządzaniu dostępem do systemów, platform oraz stron www, na których odbywa się proces rekrutacyjny. Nadane uprawnienia powinny dawać możliwość rozliczalności działań poszczególnych pracowników.
Polecenie kandydata do pracy
Aktualna sytuacja na rynku pracy, w której coraz trudniej znaleźć odpowiednich specjalistów doprowadziła do sytuacji, w której polecenie kandydata do pracy przez pracownika danej firmy lub osoby z zewnątrz stało się bardzo częstą praktyką.
Często w takim przypadku, może dojść do sytuacji w której osoba polecana nie ma styczności z ogłoszeniem, w treści którego administrator dopełnił swojego obowiązku informacyjnego, a kandydat nie wyraził zgody niezbędnej w danym procesie rekrutacji.
Idealnym modelem byłaby sytuacja, w której polecony kandydat aplikuje dokładnie w taki sam sposób na daną ofertę pracy, jak w przypadku braku polecenia.
Ważne jest, aby osoba polecająca nie polecała kandydata do pracy bezpośrednio do zainteresowanej osoby (np. poprzez wysłanie CV polecanego kandydata), tylko przekazała potencjalnemu kandydatowi link do ogłoszenia o pracę, na który ten może aplikować samodzielnie akceptując wymagane oświadczenia. Wówczas pozyskanie zgody na przetwarzanie danych osobowych odbywałoby się w sposób analogiczny do standardowego procesu aplikowania na ofertę pracy. Jest to model, który zabezpiecza w sposób kompleksowy interesy zarówno pracodawcy, kandydata, jak i osoby polecającej, która nie dysponuje danymi kandydata wbrew prawu.