Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 (RODO), które zacznie obowiązywać od 25 maja 2018 r., przynosi szereg istotnych zmian w obszarze ochrony danych osobowych oraz szeroko pojętej prywatności osób fizycznych. RODO wymaga traktowania przetwarzania danych jako ciągłego procesu, którego każda część składowa – odpowiednia dokumentacja, procesy organizacyjne, systemy IT, świadomość pracowników – jest równie istotna. To wymusza na administratorach zapewnienie stałej ochrony danych oraz konieczność szybkiego reagowania na naruszenia bezpieczeństwa danych i na żądania osób, których dane dotyczą (np. żądanie usunięcia informacji ich dotyczących).
Nowelizacja prawa dotyczy również danych przetwarzanych w związku z zatrudnieniem. Każdy podmiot, który zatrudnia pracowników, pozyskuje szereg informacji dotyczących kandydatów do pracy. Pierwsze dane osobowe kandydatów na pracowników pracodawca otrzymuje wraz z nadesłanym CV.
Warto zatem wskazać na przykładowe dobre praktyki, jakie może przyjąć dział HR w związku z rekrutacją, aby przetwarzanie danych było od początku efektywne i bezpieczne.
Jednorazowo czy wielokrotnie?
Powszechne, lecz niezgodne z wymogami RODO, jest przechowywanie przez pracodawców CV kandydatów do pracy przez okres dłuższy niż czas trwania danego postępowania rekrutacyjnego. Jak wskazuje europejski organ doradczy w sprawach ochrony danych osobowych – Grupa Robocza art. 29 – w opinii 2/2017 w sprawie przetwarzania danych w pracy, co do zasady dane kandydatów powinny być usuwane w momencie, w którym pracodawca zadecyduje o niezłożeniu oferty zatrudnienia pracownikowi. Jeżeli natomiast pracodawca chciałby przetwarzać takie dane przez dłuższy okres, np. dla potrzeb kolejnych rekrutacji, powinien mieć ku temu odpowiednią podstawę prawną (np. zgodę kandydata).
Dobrą praktyką może być pozostawienie kandydatowi możliwości wyboru, czy swoje dane chce przekazać na potrzeby jednego czy większej liczby rekrutacji, wraz z określeniem maksymalnego okresu przechowywania CV (ustalanego w zależności od okoliczności, np. jednego roku). Daje to kandydatowi kontrolę nad swoimi danymi osobowymi, a pracodawcy pozwala na praktyczną realizację zasady rozliczalności (tj. wykazania, że przetwarza dane zgodnie z prawem) w odniesieniu do danych zbieranych w procesie rekrutacji. Należy również umożliwić kandydatowi wycofanie zgody.