Zasady RODO w procesie rekrutacji – wszystko, co powinien wiedzieć rekruter
Proces rekrutacji znacznie ewaluował w ciągu ostatnich kilku lat. Kandydaci pozyskiwani są nie tylko w tradycyjny sposób, poprzez ogłoszenia rekrutacyjne. Social media, grupy społecznościowe, polecenia, sourcing – niezależnie od sposobu wyszukania przyszłego kandydata, pracodawca musi przetworzyć otrzymane dane. Nie może również oczekiwać podania informacji, które nie są niezbędne w procesie rekrutacji.
Jakich danych osobowych kandydatów może wymagać pracodawca? Czy powinien poinformować kandydatów o przetwarzaniu danych? Jak wygląda RODO w procesie rekrutacji? Zapraszamy do lektury.
Zagadnienia poruszane w artykule:
Czym jest RODO?
RODO to unijne rozporządzenie o ochronie danych osobowych. Dotyczy każdej firmy, która działa na terenie Unii Europejskiej i przetwarza w jakiś sposób dane osobowe. RODO to ogólne instrukcje i wytyczne, o tym jak należy chronić dane osobowe – łącznie ze stosowaniem odpowiednich zabezpieczeń.
Czym są zatem dane osobowe? To nic innego, jak informacje za pomocą których możemy zidentyfikować daną osobę. Może być to imię, nazwisko, data urodzenia lub PESEL. Dane osobowe dzielimy na podstawowe (jak wymienione powyżej) oraz wrażliwe (jak orientacja seksualna lub wyznanie religijne).
Przetwarzanie danych osobowych to wszelkie czynności, jakie są z nimi związane – od zbierania i przechowywania, po przeglądanie i wykorzystywanie. Dane osobowe przetwarza przedsiębiorca – firma, jako administrator danych osobowych (ADO).
RODO zobowiązuje ADO do zachowania organizacyjnych, technicznych oraz fizycznych środków ochrony danych osobowych. ADO musi zapewnić dostęp do danych osobowych tylko osobom do tego wyznaczonym i zabezpieczyć je przed niedozwolonym dostępem osób trzecich. Jeżeli dane osobowe drukuje się, należy je przechowywać pod kluczem, a po procesie rekrutacji skutecznie zniszczyć (np. za pomocą niszczarki). Gdy dane są dostępne online, np. w systemie rekrutacyjnym, należy ograniczyć dostęp pracownikom, którzy nie powinni mieć dostępu do wybranych danych (przy pomocy odpowiednich uprawnień)
Działania pracowników dotyczące danych osobowych powinny być zapisywane i widoczne w systemie. Jeżeli podczas rekrutacji przeprowadza się testy psychologiczne sprawdzające słabe i mocne strony kandydata, to nie mogą one naruszać praw kandydata. Co więcej, należy poinformować go o celu i charakterze testów, a dostęp do wypełnionego testu może mieć jedynie osoba, która analizuje test.
Jakich danych możemy wymagać w procesie rekrutacji?
- imię i nazwisko
- imiona rodziców data urodzenia
- adres zamieszkania lub inne dane kontaktowe wskazane przez aplikującego
- informacje o wykształceniu, umiejętnościach, doświadczeniu i przebiegu dotychczasowego zatrudnienia
Co w przypadku zaświadczenia o niekaralności? Pracodawca może wymagać takiego dokumentu, ale tylko w przypadku, gdy wymaga tego ustawa. Do zawodów, do których wymagane jest zaświadczenie o niekaralności, należy np. nauczyciel, pracownik straży granicznej czy detektywi.
Jakich danych nie możemy wymagać w procesie rekrutacji?
Przede wszystkim pracodawcy nie mogą prosić kandydatów o dane „na wszelki wypadek". Ilość wymaganych informacji powinna zawierać tylko te niezbędne do wykonywania pracy określonego rodzaju.
Poza tym wachlarz informacji, o które przyszły pracodawca nie może prosić, jest dość szeroki. Zaliczają się do niego takie dane, jak stan cywilny, orientacja seksualna, wyznanie, religia. Zaświadczenie o niekaralności wymagane może być tylko wtedy, gdy uzasadnione jest to ustawą. Pracodawca nie może prosić o takie informacje, gdy chce zatrudnić osobę o nieposzlakowanej opinii, ale na innych stanowiskach niż określa prawo.
Rekrutacje ukryte
Rekrutacje ukryte, „ślepe" cieszą się popularnością na rynku pracy, jednak z perspektywy RODO są nielegalne. Podczas takich procesów rekrutacyjnych kandydat nie uzyskuje informacji o:
- ADO, czyli Administratorze Danych Osobowych
- IODO (Inspektorze Ochrony Danych Osobowych, o ile został on wyznaczony)
- o celu przetwarzania danych
- o okresie, przez jaki te dane będą przetwarzane
Informacja o przetwarzaniu danych osobowych
Pracodawca ma obowiązek poinformować kandydatów o nazwie i adresie firmy, danych kontaktowych ADO, celu przetwarzania danych, okresie przez jaki dane będą przetwarzane, prawie do cofnięcia zgody na przetwarzane, prawie wniesienia skargi do UODO.
Informacja ta umieszczona może być w treści ogłoszenia o pracę lub w wiadomości zwrotnej do kandydata, który wysłał swoją aplikację.
Co w przypadku, gdy kandydat z własnej woli zawrze więcej informacji w CV lub liście motywacyjnym, niż jest to wymagane? O ile dane nie pochodzą z kategorii wrażliwych, oznacza to, że kandydat świadomie wyraził zgodę w postaci wyraźnego działania potwierdzającego i zdaje sobie sprawę, z tego, że potencjalny pracodawca przetwarzał będzie jego dane.
Jeżeli dokumenty wysłane przez kandydata zawierają dane wrażliwe, powinien on wyrazić dodatkową zgodę – w formie oświadczenia. Wyjątkiem są sytuacje, w których pracodawca posiada zgodę na przetwarzanie szczególnych kategorii danych – na przykład informacje o stanie zdrowia podczas aplikacji na stanowisko policjanta.
Przetwarzanie danych w przyszłych rekrutacjach
Większe organizacje prowadzą wiele rekrutacji, często na podobne stanowiska. Niejednokrotnie rekruterzy korzystają z tych samych aplikacji ponownie. Czy jest to legalne?
Tak, ale tylko w przypadku, gdy potencjalny kandydat wyraził zgodę na przetwarzanie danych w celu wzięcia udziału w przyszłych rekrutacjach – w określonym czasie (np. następnych 6 miesięcy). Kandydaci zwolnieni są z obowiązku podania danych osobowych do przyszłych rekrutacji – mogę wyrazić chęć do udziału w jednej, konkretnej rekrutacji.
Anonimizacja danych
Każdy aplikujący o pracę ma prawo do trwałego usunięcia (anonimizacji) danych osobowych z bazy potencjalnego pracodawcy. Po otrzymaniu takiej prośby pracodawca powinien niezwłocznie usunąć dane.
Jeżeli kandydat chce, aby jego dane zostały zanonimizowane, powinien wycofać zgodę na przetwarzanie danych w celach rekrutacyjnych, przy pomocy stosownego oświadczenia.
Bezpieczeństwo danych w systemie HRappka
System do rekrutacji HRappka to pełne bezpieczeństwo przechowywania danych – zarówno kandydatów, jak i później pracowników.
W HRappce dodasz zgody na przetwarzanie danych oraz inne dodatkowe zgody wymagane w Twojej organizacji. System przypomni Ci również o kończących się terminach zgód oraz umożliwi wysyłkę wiadomości do kandydatów (z prośbą o przedłużenie zgody). Każdego kandydata, któremu kończy się zgoda na przetwarzanie danych lub poprosił o usunięcie jej, możemy łatwo zanonimizować. Co istotne, system usunie wszystkie dane (nie będziemy mieć do nich dostępu), ale zachowa daną aplikację, która istotna będzie dla celów statystycznych.
System ATS HRappka pozwala na szybką i dopasowaną do potrzeb konfigurację formularzy aplikacyjnych. Multiposting znacznie oszczędza czas każdego rekrutera – ogłoszenia publikowane są automatycznie na wielu portalach pracy. Proces weryfikacji i ocen kandydatów przebiega sprawnie dzięki statusom systemowym oraz możliwością współdzielenia profili kandydatów.
Czytaj więcej:
Zarządzanie procesami HR
- Rekrutacja i onboarding
- Legalizacja cudzoziemców
- Ewidencja czasu pracy i wnioski urlopowe
- Kadry i płace
Autor:
Aleksandra Kozieł
Specjalista ds. Marketingu @ HRappka.pl
Psycholog i copywriter z zamiłowania. Uwielbia pracę z ludźmi i zabawę słowem. Interesuje się UX writingiem i chciałaby, aby treści w Internecie były bardziej dostępne dla osób z trudnościami.
RODO to rozporządzenie z zakresu ochrony danych osobowych, a zgoda RODO to świadome i jednoznaczne okazanie woli w formie oświadczenia. W dokumentach aplikacyjnych powinny znaleźć się tylko te informacje, które są istotne z perspektywy danego stanowiska. Pracodawca może wnioskować o podanie innych danych, jeżeli jest to niezbędne do spełnienia obowiązku wynikającego z prawa. W skład dokumentów aplikacyjnych wchodzić może imię i nazwisko, data urodzenia, dane kontaktowe czy przebieg dotychczasowego zatrudnienia. Organem nadzorującym sprawy dotyczące RODO jest Urząd Ochrony Danych Osobowych.