RODO. Ten skrót w ostatnich miesiącach można było usłyszeć w wielu mediach. Firmy i instytucje już od dawna gorączkowo przygotowywały się do wprowadzenia nowego rozporządzenia, którego celem jest ochrona danych osobowych. Przepisy te w rewolucyjny sposób zmieniają nie tylko relacje między przedsiębiorstwami a ich klientami, ale także całą branżę HR. Ta kwestia dotyczy również ciebie jako potencjalnego kandydata do pracy. Co się zmieniło? W jaki sposób przetwarzane są twoje dane osobowe w procesie rekrutacji? Postaramy się nieco przybliżyć ci te skomplikowane zagadnienia.
Wprowadzaniu RODO towarzyszyły liczne dyskusje. Duża część ekspertów podkreślała zalety, jakie płyną z tego rozwiązania, inni zaś krytykowali je i wytykali jego wady. Opinie, jak zawsze w wypadku znaczących zmian, były podzielone. Mimo to, 25 maja 2018 roku RODO zaczęło funkcjonować na terenie całej Unii Europejskiej.
Co ciekawe, pomimo szerokiego dostępu do informacji na temat nowego rozporządzenia, wielu polskich obywateli tuż przed jego wprowadzeniem nie zdawało sobie sprawy czym w ogóle jest RODO. Według sondażu przeprowadzonego na zlecenie Publicis Media w marcu 2018 r. aż 69% respondentów nie słyszało o planowanych zmianach. Co prawda, było to tylko jedno badanie, jednak ankietowani stanowili próbę reprezentatywną. Pozwala to obiektywnie stwierdzić, że skala niewiedzy społeczeństwa odnośnie nowych rozporządzeń była duża.
Mimo początkowego braku zainteresowania ludzi zmianami odnośnie przetwarzania danych osobowych, teraz po ich wprowadzeniu warto jednak mieć świadomość na temat tego, czym jest RODO. W końcu dotyczy to praktycznie każdego z nas. Szczególnie ciekawą sytuacją jest tu proces rekrutacji.
Czym w ogóle jest RODO?
RODO (ang. GDPR) to ogólne rozporządzenie o ochronie danych, inaczej nazywane też rozporządzeniem o ochronie danych osobowych. Zostało uchwalone 27 kwietnia 2016 r. przez Parlament Europejski i Radę (UE). Jego celem jest zagwarantowanie swobodnego przepływu danych osobowych między krajami Unii Europejskiej, a także ujednolicenie ich przetwarzania we wszystkich państwach członkowskich. Ta regulacja ma także za zadanie chronić prawa i wolności osób fizycznych, głównie te związane z ochroną danych osobowych.
W praktyce oznacza to, że dzięki RODO ochrona danych osobowych będzie bardziej przestrzegana. Podmioty i administratorzy twoich danych (jak np. firmy czy instytucje) będą mieć przed sobą nowe zadania. Głównym z nich będzie obowiązek informacyjny. Oznacza to, że będziesz musiał zostać powiadomiony, jakie twoje dane są zbierane, a także w jaki sposób oraz w jakim celu. Dzięki temu rozwiązaniu będziesz wiedzieć, co dzieje się z informacjami na twój temat. To dość duża zmiana, zwłaszcza jeśli chodzi o procesy rekrutacyjne.
Rekrutacja a RODO – jakie dane wciąż musisz podać?
Nie ulega wątpliwości, że podanie pewnych danych osobowych podczas rekrutacji jest niezbędne. Ważnym założeniem, jakie wprowadza RODO jest zasada adekwatności. Oznacza to, że informacje jakich wymaga od ciebie pracodawca muszą być konieczne do przeprowadzenia procesu rekrutacyjnego. Kwestia ta jest ściśle określona przez kodeks pracy. Według obowiązującego obecnie art. 22(1) do niezbędnych informacji, których może wymagać pracodawca należą:
- Imię i nazwisko kandydata do pracy
- Imiona jego rodziców
- Data urodzenia
- Miejsce zamieszkania
- Informacje dotyczące zdobytego wykształcenia
- Przebieg dotychczasowego zatrudnienia
Są to podstawowe dane, które ułatwiają podjęcie decyzji o przyjęciu danego kandydata do pracy. Katalog ten jest zamknięty. Oczywiście, potencjalny pracownik może podać także inne dane, jednak nie jest do tego zobowiązany. Dotyczy to chociażby informacji dotyczących ukończonych kursów czy zdobytych certyfikatów, a także zainteresowań i wielu innych wiadomości. Istnieją jednak pewne wyjątki od tej reguły. Przykładowo, jeśli starasz się o pracę w IT, pracodawca nie może zażądać od ciebie zaświadczenia o niekaralności. Zupełnie inaczej sprawa wyglądać będzie w sytuacji, gdy chcesz pracować w służbie cywilnej, np. jako policjant. Charakter tego zawodu niejako wymaga przedstawienia takiego zaświadczenia, więc pracodawca ma prawo wymagać od ciebie dostarczenia odpowiednich dokumentów.
Powyższe zapisy mają być jednak nieco zmodyfikowane. Projekt ustawy o ochronie danych osobowych zakłada, że pracodawca będzie mógł także wymagać od kandydata podania jego numeru telefonu lub adresu mailowego. Ponadto, odnośnie już zatrudnionych pracowników będą to takie dane, jak: obecny adres zamieszkania, numer identyfikacyjny PESEL (lub numer oraz rodzaj dokumentu potwierdzającego tożsamość), a także inne dane zarówno pracownika, jak i jego najbliższej rodziny, jeżeli ich podanie jest niezbędne ze względu na korzystanie pracownika ze specjalnych uprawnień wynikających z prawa pracy.
Co z wizerunkiem?
Jak zauważyłeś, wśród danych osobowych ujętych w kodeksie pracy brak wzmianki o wizerunku. Co to oznacza w praktyce? Otóż pracodawca nie może wymagać od ciebie dołączenia do CV twojego zdjęcia. Zwyczajowo większość osób udostępnia w życiorysie swój wizerunek i w gruncie rzeczy nie ma nic złego w tej praktyce. W ten sposób można pokazać się jako osoba profesjonalna i o dobrej autoprezentacji i zyskać w oczach rekrutera. Najważniejsze jednak, abyś miał świadomość, że nie jest to koniecznością. Wszelkie dodatkowe dane, w tym twój wizerunek możesz udostępnić potencjalnemu pracodawcy, ale nie musisz tego robić. Aby rekruter mógł je przetwarzać, potrzebna będzie twoja dobrowolna zgoda.
Oznacza to także, że pracodawca nie może traktować cię gorzej, jeżeli nie zamieścisz swojego wizerunku w CV, będzie to bowiem niezgodne z prawem. Dlatego też wszelkie adnotacje w ogłoszeniach o pracę, mówiące o konieczności dołączenia swojego zdjęcia są bezzasadne. Za dyskryminację w tym względzie można także uznać sytuację, w której system umożliwiający aplikowanie do danej firmy przez Internet wymaga od ciebie dołączenia fotografii.
Przetwarzanie danych osobowych – musisz się na to zgodzić
Aby potencjalny pracodawca mógł wykorzystać informacje o tobie, musisz wyrazić zgodę na przetwarzanie danych osobowych . Możesz to zrobić na podstawie odręcznie sporządzonego pisma, w formie elektronicznej (e-mail, ustawienie profilu, checkbox, klauzula), a także ustnie. Co ważne, rozporządzenie RODO przewiduje, że zgoda musi być dobrowolna. Oznacza to, że musisz mieć wybór co do jej wyrażenia, a ewentualny brak zgody nie będzie miał negatywnych konsekwencji. Ponadto, taka zgoda musi zostać napisana prostym i zrozumiałym językiem. To kolejny ważny wyróżnik tej regulacji. Zakłada ona, że wszystkie procesy muszą być opisane w sposób przystępny i klarowny. Przykładowo, uproszczona klauzula w CV może brzmieć w następujący sposób:
Wyrażam zgodę na przetwarzanie danych osobowych przez ………(nazwa firmy) w celu i zakresie niezbędnym dla procesu rekrutacji.
Tak naprawdę jednak taka klauzula nie jest niezbędna przy jednorazowej rekrutacji. Wystarczy sam fakt wysłania CV do danego pracodawcy. Jest to tak zwane działanie potwierdzające, które zgodnie z RODO jest wystarczające, aby zakwalifikować je jako zgodę.
Mimo wszystko, pewne informacje na temat kandydata nie mogą być przetwarzane przez pracodawcę, nawet jeżeli potencjalny pracownik wyrazi na to zgodę. Należą do nich, m.in. dane biometryczne (np. odciski palców czy rysy twarzy, które mogą zostać wykorzystane do identyfikacji danej osoby), wiadomości o stanie zdrowia, posiadanych nałogach, wyznawanej religii, życiu czy orientacji seksualnej. Zgodnie z zasadą minimalizacji jaką wprowadza RODO także inne dane wrażliwe nie powinny być przetwarzane, nawet jeśli dana osoba się na to zgadza.
Pamiętaj jednak, że wyrażając zgodę na przetwarzanie swoich danych osobowych w procesie rekrutacji robisz to w celu aplikowania na konkretne stanowisko. Może zdarzyć się jednak tak, że dana firma posiada kilka wakatów. Gdy rekruter stwierdza, że lepiej sprawdziłbyś się na innym stanowisku niż to, na które wysłałeś swoje zgłoszenie, nie będzie mógł wziąć pod uwagę twojego CV w tym drugim procesie rekrutacyjnym. Aby mógł to zrobić, musiałbyś wyrazić oddzielną zgodę na przetwarzanie danych osobowych.
Ważne jest także to, że dane jakie pracodawca zgromadzi na twój temat w procesie rekrutacji, będą mogły być wykorzystane… tylko w procesie rekrutacji. Użycie ich do innych celów będzie niezgodne z prawem. Przykładowo, jeśli dostałeś daną pracę i będą przysługiwały ci w niej takie benefity pozapłacowe, jak np. karnet sportowy czy prywatna opieka medyczna, pracodawca nie będzie mógł wykorzystać informacji o tobie zdobytych podczas rekrutacji, aby wypełnić wszystkie dokumenty związane z przyznaniem ci świadczeń. Aby to zrobić, ponownie będziesz musiał wyrazić na to zgodę.
Jeśli chodzi o RODO, rozporządzenie to wprowadza jeszcze jeden ważny element. Mianowicie w zgodzie z regulacją użytkownicy mają prawo w każdej chwili wycofać zgodę na przetwarzanie danych osobowych. Ponadto, proces ten powinien być równie szybki i łatwy, jak samo wyrażenie zgody.
Przyszłe rekrutacje, oddzielna zgoda
Może zdarzyć się tak, że po wysłaniu swojego CV do danej firmy nie dostałeś w niej pracy. Mimo to, za jakiś czas to samo przedsiębiorstwo prowadzi kolejną rekrutację i znowu oferuje ciekawą posadę. Zastanawiasz się nad ponownym wysłaniem tam aplikacji, jednak dochodzisz do wniosku, że jest to zbędne – w końcu mają już twój życiorys, więc mogą ponownie go wykorzystać. Jeżeli tak uważasz – niestety jesteś w błędzie. W ramach ochrony danych osobowych, zarządzenia RODO wymagają od pracodawcy usunięcia wszystkich informacji o kandydatach po zamknięciu procesu rekrutacyjnego. Oznacza to, że żadne z informacji o tobie nie mogą być przechowywane dłużej niż czas trwania naboru do pracy. Istnieją jednak wyjątki. Chodzi tu o sytuację, w której sam dobrowolnie zgodzisz się na przetwarzanie danych osobowych na potrzeby kolejnych rekrutacji. Możesz to zrobić dodając do klauzuli następujący zapis:
Wyrażam zgodę na przetwarzanie moich danych osobowych przez ……. (nazwa firmy) również na potrzeby przyszłych rekrutacji.
Niezwykle ważna jest tu forma, w jakiej to zrobisz. Jeżeli użyjesz sformułowania „przyszłej rekrutacji”, wtedy pracodawca powinien to potraktować jako sygnał, że może wziąć pod uwagę twoje CV jedynie dwukrotnie (na potrzeby obecnej oraz kolejnej rekrutacji). Gdy użyjesz liczby mnogiej, czyli „przyszłych rekrutacji”, twoja aplikacja będzie mogła być przechowywana dłużej.
Nie oznacza to jednak, że po wysłaniu CV do firmy, będzie ono w niej dożywotnio. Według zapisów RODO, dane przechowywane mogą być nie dłużej niż jest to niezbędne do celów, w których są one przetwarzane. Dlatego też to po stronie pracodawcy leży ścisłe określenie terminu, w jakim będzie on przechowywał dane osobowe kandydata do pracy. W tym względzie nie ma konkretnych wytycznych, więc dana firma może sama ustalić, jak długi będzie to okres. Zaleca się jednak kierowanie zdrowym rozsądkiem. Optymalnie okres przechowywania aplikacji kandydata za jego zgodą wynosi więc ok. jednego roku.
Obowiązek informacyjny pracodawcy
Podstawą odpowiedniej ochrony danych osobowych w zgodzie z RODO jest tzw. obowiązek informacyjny. Pracodawca, który w procesie rekrutacji przetwarza informacje na temat kandydatów, staje się ich administratorem. Leży więc na nim obowiązek poinformowania potencjalnych pracowników o tym w jaki sposób oraz w jakim celu ich dane są przetwarzane, a także jakie prawa w związku z tym im przysługują. Do najważniejszych wiadomości, jakie muszą przekazać pracodawcy, należą:
- Nazwa i adres firmy, a także dane kontaktowe
- Kontakt do Inspektora Ochrony Danych (IOD), jeśli takowy został powołany w danym przedsiębiorstwie
- Cel przetwarzania danych osobowych oraz jego prawna podstawa
- Informacja o interesach realizowanych przez administratora danych, które uzasadnione są przez prawo
- Wiadomość o odbiorcach danych osobowych lub o kategoriach odbiorców
- Informacja o ewentualności przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (jeżeli w danym wypadku ma to zastosowanie)
- Wiadomość dotycząca okresu, w którym dane osobowe będą przechowywane przez pracodawcę. Gdy nie ma określonego okresu, należy poinformować przynajmniej o kryteriach jego ustalania.
- Informacje związane z prawami osób, których dane są gromadzone. Zalicza się do nich prawo do żądania dostępu do danych osobowych, ich poprawienia lub usunięcia, a także ograniczenia przetwarzania, jak również do wniesienia sprzeciwu względem przetwarzania, prawo do cofnięcia zgody na przetwarzanie danych, prawo do ich przenoszenia oraz prawo do wniesienia skargi do organu nadzorczego w razie naruszeń zasad.
- Wiadomość czy przekazanie danych osobowych wynika z ustawowego wymogu, jest umowne lub stanowi warunek zawarcia umowy, a także czy osoba, która podaje dane jest zobowiązana, aby to zrobić i czy istnieją ewentualne konsekwencje odmowy przedstawienia danych
- Wszelkie informacje dotyczące zautomatyzowania podejmowania decyzji, a także o tym jakie jest znaczenie i konsekwencje takiego typu przetwarzania danych dla osoby, której to dotyczy
Wszystkie te komunikaty powinny być udostępnione kandydatowi do wglądu jeszcze przed rozpoczęciem procesu rekrutacji. Dobrym sposobem na to jest umieszczanie odpowiednich informacji na poziomie oferty pracy. Wówczas potencjalny pracownik będzie mógł się z nimi zapoznać zanim wyśle swoje CV do danej firmy.
Bezpieczeństwo dokumentów aplikacyjnych
Na pracodawcy spoczywa również obowiązek zabezpieczenia dokumentów, jakie nadsyła kandydat w ramach procesu rekrutacji. Istotne jest tu zachowanie wszelkich standardów związanych z ochroną danych osobowych. Najważniejszą kwestią jest to, że dostęp do twoje CV czy listu motywacyjnego mogą mieć tylko i wyłącznie osoby do tego upoważnione (będą to osoby biorące udział w rekrutacji oraz ewentualnie przełożeni). Jeżeli dokumenty, które przesłałeś zostały wydrukowane – niezbędne jest umieszczenie ich w miejscu, w którym nie dotrze do nich nikt niepożądany, np. w metalowych szafach zamykanych na klucz. W wypadku ,gdy CV funkcjonuje w firmie jedynie w formie elektronicznej, konieczne jest odpowiednie szyfrowanie wiadomości e-mail.
Rozporządzenie RODO dużą wagę przykłada do różnego typu środków bezpieczeństwa. Podkreśla zwłaszcza metody techniczne i organizacyjne. Dlatego też po stronie pracodawcy leży dołożenie wszelkich starań, aby sprostać tym wymogom. Należą do nich zadbanie o pseudonimizację i szyfrowanie danych osobowych, zdolność do zapewnienia poufności, integralności oraz odporności systemów i usług związanych z przetwarzaniem, a także możliwość szybkiego przywrócenia dostępu do danych osobowych w razie problemów technicznych. Istotne jest także sprawdzanie, na ile dotychczasowe środki zapewniające bezpieczeństwo przetwarzania danych spełniają swoją rolę.
Rekrutacja przez dedykowane portale z ofertami pracy
W dzisiejszych czasach duża część rekrutacji odbywa się za pośrednictwem portali internetowych. Pracodawcy zamiast na stronie własnej firmy, zamieszczają ogłoszenie o pracę w takim właśnie serwisie. Kto w takim wypadku jest administratorem danych osobowych kandydatów? Wbrew pozorom jest nim wciąż pracodawca. Tego typu portale są jedynie pośrednikami w rekrutacji i udostępniają narzędzia do ich przeprowadzania. Pełnią więc rolę tzw. procesora, czyli przetwarzają dane osobowe na zlecenie administratora. To wciąż pracodawca będzie jednak odpowiedzialny za podanie wszystkich niezbędnych informacji, zgodnie ze wspomnianymi wcześniej wymogami. Jeżeli nie dopełni on obowiązku informacyjnego i przykładowo nie poda nazwy firmy oraz danych kontaktowych, taka rekrutacja będzie niezgodna z zasadami rozporządzenia RODO.
Jak rozwiązano kwestię agencji rekrutacyjnych?
Dzięki skorzystaniu z usług agencji rekrutacyjnych, pracodawca będzie mógł zachować anonimowość, jednak tylko na początku rekrutacji. W takiej sytuacji na pierwszym etapie to firma rekrutacyjna będzie administratorem danych. To do niej kandydaci będą kierować swoje aplikacje, które agencja następnie będzie selekcjonować. W momencie, w którym wybierze konkretne osoby i będzie chciała przekazać ich dane pracodawcy, jej obowiązkiem jest przekazanie im informacji dotyczących firmy, do której aplikowali. Konieczne będzie także zdobycie zgody na przekazanie ich kandydatury do konkretnego pracodawcy.
Polecanie pracowników
Stosunkowo częstą praktyką jest polecanie nowych pracowników. Przykładowo: dana osoba jest zatrudniona w firmie informatycznej. Wie, że w przedsiębiorstwie poszukiwany jest nowy pracownik na stanowisko front-end developera i akurat zna dobrego specjalistę z tej branży. Postanawia więc, że poleci znajomego swojemu pracodawcy. Czy może to zrobić? Teoretycznie tak. Nie może jednak przesłać CV polecanego kandydata. Najlepszym wyjściem z sytuacji będzie tu poinformowanie znajomego o ofercie pracy. Wówczas on sam będzie mógł wyrazić zgodę na przetwarzanie danych osobowych poprzez samodzielne wysłanie aplikacji.
Czy pracodawca może przeprowadzić testy psychologiczne?
Ciekawą kwestią wydaje się być przeprowadzanie testów psychologicznych na potrzeby rekrutacji. To całkiem częsta praktyka, wykorzystywana do poznania predyspozycji kandydatów do wykonywania danego zawodu. Pracodawca może poprosić potencjalnego pracownika o wypełnienie takiego testu jedynie wtedy, gdy nie narusza to jego praw osobistych, a pozyskane w ten sposób informacje są kluczowe w procesie rekrutacyjnym. Poza tym, kandydat do pracy musi zostać dokładnie poinformowany, w jakim celu przeprowadzany jest dany test oraz czego będą dotyczyć zawarte w nim pytania. Pracodawca ma także obowiązek podać nazwisko osoby, która będzie analizowała wypełniony test. Aby odpowiednio chronić dane osobowe, jedynie ona powinna mieć wgląd w odpowiedzi kandydata. To jednak nie wszystko. Po wypełnieniu testu i jego przeanalizowaniu przez konkretnie oddelegowaną do tego celu osobę, jego wyniki muszą zostać przedstawione kandydatowi do pracy. To on ma ostateczne prawo co do decyzji, czy przekazać je rekruterowi. Jeżeli odmówi – nie powinny spotkać go z tego tytułu żadne negatywne konsekwencje. Jest tu jednak jeden wyjątek od reguły. Jeśli pytania były proste i ich celem było tylko sprawdzenie, np. zdolności pracownika, nie trzeba pytać go o zgodę co do przekazania wyników testu do pracodawcy.
Jak widzisz, ochrona danych osobowych jest istotna w procesie rekrutacji. Po wprowadzeniu rozporządzenia RODO, kwestie związane z zabezpieczaniem informacji na twój temat muszą być jeszcze bardziej skrupulatnie przestrzegane. W innym wypadku – firmom i instytucjom mogą grozić wysokie kary. Podstawą nowej regulacji jest obowiązek informacyjny leżący na pracodawcy. Dostęp do wszystkich niezbędnych informacji to twoje prawo. Poza tym, to od ciebie zależy zgoda na przetwarzanie danych osobowych. Zawsze musisz wyrazić ją świadomie i w sposób dobrowolny.
Mamy nadzieję, że nasz artykuł rozjaśnił nieco kwestie związane z rozporządzeniem o ochronie danych osobowych. Jeżeli wciąż masz wątpliwości co do tego, jak wpłynęło ono na posiadanie konta na stronie Absolvent.pl, zapraszamy cię do zapoznania się z krótkim poradnikiem zawierającym najważniejsze informacje o RODO.
