fbTrack
REKLAMA
REKLAMA

Kadry

Dane osobowe kandydatów do pracy pod większą ochroną

Fotorzepa, Rafał Guz
Przedstawiciele działów HR, IT i prawnych mają kilkanaście miesięcy na przygotowanie kadr, infrastruktury i polityki firmowej do nowej rzeczywistości w zakresie ochrony danych osobowych.

Parlament Europejski w kwietniu tego roku przyjął rozporządzenie wprowadzające nowe prawo o ochronie danych osobowych. To największa w historii reforma tego obszaru. Regulacje mają obowiązywać bezpośrednio od maja 2018 r., ale pracodawcy powinni zacząć przygotowania do zmian jak najszybciej, ponieważ nowe przepisy wpłyną na wiele aspektów procesów rekrutacyjnych. Najważniejsze to:

- odpowiednia polityka ochrony danych osobowych,

- kontrola dostępu do danych kandydatów i ich przetwarzanie, oraz

- odpowiednie sformułowanie komunikacji (w tym klauzul informacyjnych) z kandydatem.

Prawo do prywatności

Już teraz każdy dokument aplikacyjny, który wpłynie do pracodawcy w procesie rekrutacji, wymaga odpowiedniej troski w zakresie ochrony danych osobowych. Po wprowadzeniu nowego prawa będzie to jeszcze istotniejsze. Zasady ulegną znacznemu zaostrzeniu m.in. w zakresie sankcji finansowych. Na pracodawcę, który naruszy prywatność aplikującego kandydata, może zostać nałożona kara finansowa nawet do 4 proc. całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego lub do 20 mln euro. Przykładowo naruszenie obowiązków informacyjnych lub warunków pozyskiwania zgody sankcjonowane będzie karą pieniężną w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

To pochodna zachodzących zmian cywilizacyjnych, w tym głównie technologicznych. Żyjemy w czasach, w których prawo do ochrony danych osobowych traktowane jest jako prawo podstawowe. Nowe regulacje mają być gwarancją dla kandydatów do pracy, że ich dane będą bezpieczne. Aby tak się stało, pracodawcy, w tym przede wszystkim przedstawiciele działów HR, IT i prawnych, muszą w ciągu kilkunastu miesięcy, które pozostały do wejścia w życie rozporządzenia, odpowiednio przygotować kadry, infrastrukturę oraz politykę firmową do nowej rzeczywistości w zakresie ochrony danych osobowych.

Jest kilka aspektów, którym warto poświęcić szczególną uwagę. Jednocześnie trzeba pamiętać, że w zakresie prawa pracy polski ustawodawca może przyjąć regulacje szczególne w odniesieniu do przepisów ogólnego rozporządzenia.

Po pierwsze – jasna polityka bezpieczeństwa danych

Ogólne rozporządzenie o ochronie danych nakłada na administratora danych (np. rekrutującego pracodawcę) obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z prawem i aby móc to wykazać. Środki te powinny być poddawane przeglądom i uaktualniane. Jako przykład rozporządzenie wskazuje następujące środki:

a) pseudonimizację i szyfrowanie danych osobowych,

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Administrator powinien wziąć przy tym pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Jednocześnie rozporządzenie wskazuje, iż obejmuje to wdrożenie przez administratora odpowiednich polityk ochrony danych. Przyjęte w ogólnym rozporządzeniu podejście tzw. risk based aproach wymaga bieżącej kontroli, a także oceny poziomu bezpieczeństwa i stanu przestrzegania danych osobowych.

Przeglądanie dokumentów aplikacyjnych, ich selekcja czy rozmowy z kandydatami, to etapy procesu rekrutacyjnego, nieodłącznie związane z pozyskiwaniem danych osobowych. Ważne jednak, aby wszyscy pracownicy firmy mający styczność z tymi danymi tak samo rozumieli obowiązujące procedury.

W tym celu warto m.in. organizować regularne szkolenia z zakresu ochrony danych osobowych lub spisać odpowiednie zasady. Dzięki temu każdy dowie się, jakie obowiązują reguły związane m.in. z przechowywaniem CV, wykorzystywaniem informacji zawartych w życiorysach do kolejnych procesów rekrutacyjnych czy udzielaniem zgody przez kandydatów na przetwarzanie ich danych.

Po drugie – kontrola dostępu do danych osobowych

Dane osobowe kandydata będą bezpieczne tylko wtedy, gdy dostęp do nich mają osoby wiedzące, jak się z nimi obchodzić. Jeżeli firma posiada odpowiedni system do rekrutacji, sprawa jest łatwa. Na platformie wgląd do danych powinien być przyznany tylko tym osobom, które są zaangażowane w dany proces rekrutacyjny. Dodatkowo, dostęp należy zabezpieczyć odpowiednim hasłem. Ważna jest też możliwość dodawania lub usuwania uprawnień.

Należy pamiętać, iż administrator zobowiązany jest przetwarzać dane osobowe w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Jeżeli firma przechowuje CV na skrzynkach mailowych, powinna wdrożyć procedury, które zapewnią bezpieczeństwo tych danych.

Po trzecie – gotowość na kontrolę GIODO

Na wypadek kontroli Generalnego Inspektora Ochrony Danych Osobowych musimy mieć pewność, że przedstawimy klauzule informacyjne i zgody, jakie zostały wykorzystane do danego procesu rekrutacyjnego, oraz że nasza baza danych osobowych jest odpowiednio chroniona (np. poprzez zastosowany mechanizm szyfrowania). Administrator jest odpowiedzialny za przestrzeganie przepisów o ochronie danych osobowych i musi być w stanie wykazać ich przestrzeganie.

To znacznie łatwiejsze, gdy posiadamy odpowiedni system do rekrutacji, który np. automatycznie zapisuje dane o tym, jakie informacje otrzymał kandydat. Platformy rekrutacyjne udostępniają również gotowe wzory klauzul informacyjnych oraz zgód przygotowane przez ekspertów, a także umożliwiają tworzenie własnych, co znacząco ułatwia firmie spełnienie już teraz obowiązujących wymogów GIODO, a w przyszłości rozporządzenia UE.

Zdaniem autora

Mirosław Gumularz, radca prawny, specjalista ds. ochrony danych osobowych w eRecruiter

W prawie państwa członkowskiego lub w porozumieniach zbiorowych, w tym zakładowych porozumieniach z przedstawicielami pracowników, mogą być przewidziane przepisy szczegółowe o przetwarzaniu danych osobowych pracowników w związku z zatrudnieniem. W szczególności mogą to być warunki, na których dane osobowe w związku z zatrudnieniem można przetwarzać za zgodą pracownika do celów procedury rekrutacyjnej, wykonywania umowy o pracę, w tym wykonywania obowiązków określonych w przepisach lub w porozumieniach zbiorowych, zarządzania, planowania i organizacji pracy, równości i różnorodności w miejscu pracy, bezpieczeństwa i higieny pracy oraz do celów indywidualnego lub zbiorowego wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, a także do celów zakończenia stosunku pracy.

Powyższe oznacza, że w odniesieniu do podstaw przetwarzania danych osobowych (np. zgoda, przepis prawa) oraz dopuszczalnego zakresu pozyskiwania danych osobowych na etapie rekrutacji, należy uwzględnić przyszłą decyzję polskiego ustawodawcy.

Mechanizm informacyjny w rozporządzeniu to nic nowego. Dlatego warto wdrożyć w firmie taki system do rekrutacji, który będzie pozwalał łatwo i szybko wykazać, jakie informacje dotyczą danego kandydata.

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA