Poszukiwanie nowych pracowników to dla wielu pracodawców coraz większe wyzwanie. Niejednokrotnie to pracodawca przejmuje inicjatywę, próbując samemu znaleźć odpowiedniego kandydata. Niezmiennie kluczowe jest jednak, aby pamiętać o zgodności z RODO przed, w trakcie, a także poza kończeniu procesu rekrutacji. Poniżej przedstawiamy pięć kluczowych, choć nie jedynych, aspektów związanych z ochroną danych osobowych, o jakich powinien pamiętać pracodawca.
Obowiązek informacyjny
Pracodawca musi spełnić obowiązek informacyjny (zgodnie z art. 13 RODO) w momencie, gdy poszukuje kandydatów aktywnie, jak również w wypadku, kiedy to oni sami zgłaszają się ze swoim CV. Klauzula informacyjna powinna m.in. zawierać:
- dane administratora oraz ewentualnie dane inspektora danych osobowych;
- cele i podstawy przetwarzania danych;
- jeśli dane mają być przekazywane innym podmiotom należy o tym poinformować, to samo, gdy ma mieć miejsce międzynarodowy transfer danych;
- okres przechowywania danych;
- powiadomienie o wszystkich prawach przysługujących kandydatowi;
- informacja o profilowaniu.
Prawa kandydata w procesie rekrutacyjnym
Jak już była mowa powyżej, pracodawca spełniając obowiązek informacyjny musi w jasny sposób przekazać kandydatom m.in. informację na temat ich praw związanych z ochroną danych osobowych. Kandydat ma przede wszystkim następujące prawa:
- prawo do sprostowania danych;
- prawo do ograniczenia przetwarzania danych;
- prawo dostępu do danych i otrzymania kopii danych;
- prawo do sprzeciwu;
- prawo do niepodlegania decyzji opartej na wyłącznie zautomatyzowanym przetwarzaniu danych.
W toku rekrutacji warto przede wszystkim zwrócić uwagę na prawo dostępu do danych- kandydat może się zwrócić do potencjalnego pracodawcy z wnioskiem o udostępnienie jego danych osobowych przetwarzanych w czasie rekrutacji, co obejmuje także przykładowo notatki ze spotkań rekrutacyjnych czy opinie na temat kandydata. Z tego względu ważne jest, aby wszelkie notatki i spostrzeżenia prowadzić w pełni profesjonalnie i obiektywnie. Kandydat ma bowiem prawo uzyskać dostęp do tych informacji, jeśli złoży odpowiedni wniosek.
Podstawy prawne przetwarzania danych w przypadku sourcingu
Sourcing stanowi przejaw aktywnej działalności pracodawcy, który wyszukuje kandydatów, po czym kontaktuje się z nimi, o ile uzna, że mogą być potencjalnymi pracownikami. Sourcing często odbywa się za pośrednictwem portali społecznościowych, gdzie pracownicy przedstawiają swoje doświadczenie zawodowe i osiągnięcia. Ocena dopuszczalności prowadzenia takich działań będzie zależała od okoliczności, jednak jedną z podstawowych kwestii jest zadbanie o odpowiednią podstawę przetwarzania. Podstawę prawną przetwarzania danych osobowych kandydatów w takim przypadku wyznacza nam w pierwszej kolejności art. 6 ust. 1 lit. f RODO, tj. uzasadniony interes administratora, polegający na poszukiwaniu kandydatów, którzy pasują do danego stanowiska. Taka podstawa prawna jest jednak odpowiednia jedynie na początku, natomiast po nawiązaniu kontaktu z kandydatem i wyrażeniu przez niego zainteresowania daną ofertą podstawa prawna ulegnie zmianie. W zależności od okoliczności, przetwarzanie będziemy wówczas opierać o art. 6 ust. 1 lit b RODO (podjęcie działań przed zawarciem umowy), art. 6 ust. 1 lit. a RODO (zgoda) albo art. 6 ust. 1 lit. c RODO (obowiązek prawny). Ważne jest, aby zidentyfikować odpowiednią podstawę i poinformować o niej kandydata, zgodnie z art. 13 RODO.
Długość przechowywania danych osobowych kandydatów po zakończeniu rekrutacji
Zgodnie z RODO przetwarzać można aktualne dane, dlatego zbyt długie ich przetwarzanie może doprowadzić do naruszenia tego wymogu. Okres przetwarzania ustalamy w oparciu o zasadę minimalizacji danych osobowych i celowości- ustalając okresy przetwarzania musimy określić przez jaki okres czasu jest faktycznie niezbędne, abyśmy przetwarzali dane osobowe w wybranym celu. W przypadku rekrutacji możemy określić to w następujący sposób:
- w zakresie bieżącej rekrutacji na dane stanowisko dane powinny usuwane niezwłocznie po zakończeniu rekrutacji, przykładowo można ten okres ustalić na miesiąc od zakończenia rekrutacji;
- zakresie przyszłych rekrutacji – ustalamy zakres mając na uwadze, że dane te ulegają zmianie i dezaktualizacji z czasem (kandydaci zdobywają nowe doświadczenia, zmieniają pracę itd.), zazwyczaj jest to okres od 6 do 24 miesięcy po ich zebraniu.
Ustalone okresy retencji zapisujemy w odpowiednich wewnętrznych politykach.
Zgodna z prawem weryfikacja danych osobowych kandydata
Weryfikacja danych osobowych kandydata, czyli tzw. background check możliwy jest tylko pod pewnymi względami i w określonych przypadkach. Pracodawca może:
- skontaktować się z byłym pracodawcą kandydata, ale tylko za jego zgodą;
- zweryfikować kandydata poprzez jego profile społecznościowe o charakterze biznesowym, ale tylko za jego zgodą;
- sprawdzić zobowiązania finansowe kandydata – tylko i wyłącznie, kiedy w momencie rekrutacji kandydat prowadzi już działalność gospodarczą i ma zostać zatrudniony w ramach kontraktu B2B i o ile jest to niezbędne do celów przetwarzania danych osobowych;
- zweryfikować dane o karalności – tylko i wyłącznie, gdy przewiduje to przepis prawa.
Więcej na temat procesu rekrutacji zgodnym z RODO dowiesz się na: https://paluckiszkutnik.pl/proces-rekrutacji-zgodny-z-rodo-cv-klauzule-a-ochrona-danych-osobowych-kandydatow/.
