Obowiązkiem osób prowadzących rekrutacje jest dbanie o bezpieczeństwo dokumentów aplikacyjnych – bez względu na to, czy są dostarczane osobiście przez kandydatów, drogą elektroniczną czy pocztową. HR-owcy zdają sobie z tego sprawę i są w tym zakresie bardzo przezorni. Prawie połowa firm posiada bezpieczny system do rekrutacji, a aż 82% rekruterów prosi kandydatów do pracy o zgodę na przetwarzanie danych osobowych, mimo że w wielu przypadkach nie jest ona wymagana – wynika z ankiety zrealizowanej wśród przedstawicieli działów HR przez eRecruiter.
– Po opublikowaniu ogłoszenia o pracę, oczywiście w zależności od firmy i stanowiska, rekruterzy otrzymują od kilku do nawet kilkuset życiorysów. Większość z nich przechowywana jest w skrzynce mailowej, kilka zostaje wydrukowanych. Jednak bez względu na to, w jakiej formie trzymane są dokumenty aplikacyjne, osoba zarządzająca rekrutacją powinna wykazać szczególną dbałość o to, żeby dane osobowe kandydatów były odpowiednio przetwarzane i co najistotniejsze, bezpieczne – wskazuje Izabela Bartnicka, ekspert eRecruiter.
Z wewnętrznej ankiety, którą eRecruiter przeprowadził wśród kilkuset przedstawicieli działów HR wynika, że prawie połowa firm (47%) posiada system do rekrutacji, który pozwala dbać o bezpieczeństwo danych kandydatów. Dużą zaletą takich programów jak na przykład eRecruiter jest m.in. szyfrowanie danych oraz specjalna polityka haseł. Są to zabezpieczenia analogiczne do tych, które działają w przypadku internetowych kont bankowych. Jednak duża grupa – 23% rekruterów – za wystarczające uznaje przechowywanie danych kandydatów wyłącznie na komputerach pracowników HR, a 13% w zamkniętych szafach. Warto jednak pamiętać, że wybierając takie sposoby należy wdrożyć dodatkowe zabezpieczenia, aby nieupoważnione osoby nie miały dostępu do danych kandydatów.
Niepotrzebna zgoda na przetwarzanie danych osobowych
Aż 82% rekruterów prosi wszystkich kandydatów o wyrażenie zgody na przetwarzanie danych osobowych. Nie praktykuje tego zaledwie 2% wszystkich specjalistów. A wbrew powszechnej opinii, z przepisów prawa wynika, że firmy nie muszą prosić potencjalnych pracowników o zamieszczenie klauzuli pozwalającej na przetwarzanie danych osobowych. Taką zgodą jest samo CV (kwestię tę regulują: art. 22 Kodeksu pracy oraz Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r.).
– W zdecydowanej większości przypadków, podstawą prawną przetwarzania danych osobowych kandydatów nie jest ich zgoda, ale konieczność podjęcia wobec nich działań przed zawarciem umowy, stanowiąca odrębną względem zgody przesłankę legalizującą przetwarzanie danych osobowych – wskazuje Maciej Kawecki, ekspert ds. ochrony danych osobowych z Uniwersytetu Jagiellońskiego w Krakowie.
Warto jednak pamiętać, że pracodawcy zatrudniający na podstawie umowy o pracę mogą zasadniczo przetwarzać tylko takie dane, które zostały wskazane w przepisach jako niezbędne do przeprowadzenia procesu. Rasa, wyznanie czy liczba posiadanych dzieci do takich informacji nie należą. – Większą swobodę w pozyskiwaniu danych osobowych mają zatrudniający na podstawie umów innych niż umowa o pracę. Mogą oni pozyskiwać bowiem wszelkie dane niezbędne do przeprowadzenia postępowania rekrutacyjnego (np. wizerunek aktora/ki, modela/ki, hostessy). Pozyskane dane muszą być jednak faktycznie konieczne do przeprowadzenia rekrutacji oraz wykorzystywane wyłącznie w tym celu – wskazuje Maciej Kawecki.
Pracodawca administratorem danych
Każdy pracodawca, który prowadzi rekrutację i otrzymuje życiorysy, staje się administratorem danych osobowych kandydatów. To wiąże się z obowiązkiem poinformowania potencjalnych pracowników o podstawowych faktach związanych z przetwarzaniem ich CV. W praktyce aplikujący powinien otrzymać m.in. takie informacje jak pełna nazwa firmy oraz adres jej siedziby, cel zbierania danych osobowych czy informację o podmiotach, którym dane mogą zostać udostępnione. Jest to tzw. klauzula informacyjna. – Obowiązek jej wysłania dotyczy wszystkich pracodawców, nawet tych, którzy prowadzą tzw. rekrutację ukrytą, czyli na poziomie ogłoszenia o pracę nie podają nazwy firmy – podkreśla Izabela Bartnicka.
Zgoda kandydata konieczna przy ponownym wykorzystaniu aplikacji
Coraz częściej pracodawcy tworzą bazy tzw. kandydatów odrzuconych w celu ponownego wykorzystania otrzymanych życiorysów w kolejnych procesach rekrutacyjnych. To zdecydowanie ułatwia pracę rekruterów, ale też wiąże się z pewnymi obowiązkami. Bowiem firma może ponownie wykorzystać zgromadzone dokumenty, ale pod warunkiem, że kandydat został o tym wcześniej powiadomiony i się na to zgodził. Żeby oszczędzić czas, najlepiej o taką zgodę poprosić w momencie przesyłania klauzuli informacyjnej. Wtedy w dokumencie musi znaleźć się wyraźne stwierdzenie, że dane osobowe kandydatów mogą być przez firmę przetwarzane na potrzeby przyszłych procesów rekrutacyjnych. Zgoda może być wyrażona również ustnie, np. w rozmowie z rekruterem.
– Wyjątkiem będą sytuacje, w których na podstawie zawartej z kandydatem umowy przesłane przez niego CV będzie rozsyłane bliżej niedookreślonemu kręgowi potencjalnych pracodawców do czasu, gdy znajdzie on pracę. Liczba podmiotów oferujących na rynku takie usługi jest coraz większa, a podstawą przetwarzania przez nich w takim przypadku danych nie jest zgoda kandydata, ale zawarta z nim umowa – zaznacza Maciej Kawecki.
Nie ma obowiązku zgłaszania bazy kandydatów do GIODO
Co czwarty prowadzący rekrutację uważa, że bazę kandydatów należy zgłosić do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Dodatkowo, 30% respondentów przyznało, że nie wie, czy zgłoszenie danych do tej instytucji jest obowiązkowe. Natomiast zgodnie z art. 43 ust. 1 punkt 4 ustawy o ochronie danych osobowych z obowiązku rejestracji zbioru zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem. A to oznacza, że ta ustawa nie dotyczy pracodawców. – Nie wszyscy rekruterzy mają tego świadomość i podobnie jak w przypadku zbierania zgody na przetwarzanie danych osobowych od kandydatów, wykazują się przezornością. Warto jednak pamiętać, że gdy administratorem danych jest podmiot inny niż pracodawca, w tym agencja zatrudnienia, wtedy dane muszą zostać zgłoszone do GIODO – mówi Izabela Bartnicka.
Odpowiednie zorganizowanie rekrutacji i zatrudnienie najlepszego kandydata to złożony proces. Jego składową jest dbanie o bezpieczeństwo gromadzonych danych. I tutaj inaczej niż w przypadku troski o własny wizerunek, jest to obowiązek prawny. Pracodawca musi dopełnić wszystkich formalności, aby wrażliwe dane nie dostały się w niepowołane ręce, bowiem konsekwencje ich niedopełnienia mogą być dla firmy bardzo dotkliwe.
Źródło: eRecruiter