Dziś poruszymy temat, który jest ważny, choć bywa trudny (ale spokojnie! Pod koniec lektury już nie będzie!). Sourcing zgodny z RODO to metoda pozyskiwania kandydatów, która stanowi wyzwanie dla wielu rekruterów – nie tylko tych nowych w branży. Wielokrotnie potrzeba biznesowa potyka się o przepisy lub regulamin serwisu. Dlatego oddajemy w Wasze ręce praktyczny poradnik, oparty na wiedzy specjalistów RODO w rekrutacji – Katarzyny Ułasiuk-Delamare, Członkini Zarządu iSecure Sp. z o.o. oraz Krzysztofa Ogniewskiego, CEO z Elevato.
Dzięki znajomości poniższych zagadnień proces sourcingu stanie się nie tylko łatwiejszy, lecz także bezpieczniejszy i zapewniający zgodność z aktualnymi wymogami prawnymi. Gotowi?
Zawartość artykułu
Zanim zaczniemy – podstawowe definicje, które musisz znać
Jeśli poniższe zagadnienia masz w małym palcu, zachęcamy Cię do przejścia do kroku pierwszego. Jeśli jednak dość niepewnie nawigujesz po kwestiach RODO, małe przypomnienie nie zaszkodzi.
Poniżej wymieniliśmy 3 najistotniejsze kwestie związane z przetwarzaniem danych, które pozwolą Ci na lepsze zrozumienie pozostałych informacji zawartych w artykule.
Czym jest przetwarzanie danych osobowych?
Przetwarzanie danych osobowych to wszelkie operacje wykonywane właśnie na danych osobowych, niezależnie od tego, czy są realizowane automatycznie, czy ręcznie. Obejmuje to szeroki zakres czynności, od zbierania danych (w kontekście sourcingu jest to na przykład gromadzenie linków do profili w celu późniejszego kontaktu), przez ich rejestrowanie, organizowanie, strukturyzowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, konsultowanie, używanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub inaczej udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych. Uff. Trochę tego jest, prawda? Przejdźmy do kolejnej kwestii.
Czym jest obowiązek informacyjny RODO?
Obowiązek informacyjny RODO to zasada, która wymaga od firm i organizacji informowania, jak i dlaczego przetwarzają dane osobowe. Gdy chcesz użyć informacji o kandydacie (na przykład jego imienia, adresu email czy numeru telefonu), musisz go o tym poinformować i wyjaśnić:
- kto (jaka firma) jest odpowiedzialny za jego dane i jak skontaktować się z tym podmiotem,
- po co zbierane są jego dane,
- do czego będą używane,
- komu możesz udostępnić dane
- jak długo będziesz je przetwarzać,
- jego prawa związane z danymi – kandydat ma prawo zobaczyć swoje dane, poprawić je, usunąć, ograniczyć ich używanie, przenieść gdzie indziej, a nawet powiedzieć „nie” ich dalszemu wykorzystywaniu,
- gdzie i w jaki sposób zgłosić nieprawidłowe traktowanie danych osobowych.
Czym jest zgoda na przetwarzanie danych osobowych?
Zgody RODO to nie to samo, co spełnienie obowiązku informacyjnego! To formalne pozwolenie od kandydatów na przetwarzanie ich danych osobowych przez rekrutera lub firmę w celu przeprowadzenia procesu rekrutacyjnego. Obejmuje to dane takie jak imię i nazwisko, adres email, numer telefonu, dane zawarte w CV, liście motywacyjnym oraz wszelkie inne informacje, które kandydat może dostarczyć w trakcie rekrutacji.
Zgoda powinna być dobrowolna i świadoma, co oznacza, że kandydat musi dokładnie zrozumieć na co się zgadza, a jego decyzja nie może być wymuszona ani uzależniona od jakichkolwiek warunków.
Ok, mamy to! Przejdźmy przez proces sourcingu zgodny z RODO w 3 prostych krokach.
Krok 1: Publiczne dane a RODO, czyli jak wybadać teren
Skoro kandydat podał dane na LinkedIn-ie, to powinien mieć świadomość, że jego dane mogą być przetwarzane, prawda? Cóż – nie do końca. Dane dostępne na portalach społecznościowych, także na LinkedIn, podlegają przepisom RODO. Osoba korzystająca z portalu wprawdzie podała informacje o sobie, ale zrobiła to zgodnie z regulaminem LinkedIn, wyrażając zgodę na przetwarzanie danych w innym celu, niż nasz. To oznacza, że jeśli zamierzamy je przetwarzać:
- musimy spełnić obowiązek informacyjny, czyli przekazać informację o tym, jak i w jakim celu chcemy przetwarzać dane;
- musimy pozyskać od kandydata zgodę na przetwarzanie danych.
Łatwo wpaść w pułapkę zgody dorozumianej, czyli założyć że to, że kandydat wysłał nam zaproszenie albo zaakceptował nasze, jest już zgodą na przetwarzanie danych. Nie jest! Musi wyrazić zgodę jednoznacznie, w formie odpowiedniej klauzuli.
Pamiętaj: bez zgody RODO nie możesz przechowywać danych rekrutacyjnych w bazie, automatycznie zaciągać ich do systemu ani przetwarzać ich w celu rekrutacji.
Co możesz zrobić?
Możesz skontaktować się z kandydatem aby dowiedzieć się, czy jest zainteresowany kontaktem w sprawie pracy. Za moment omówimy to szerzej.
Krok 2: Budowanie sieci i pierwszy kontakt
Budowanie sieci kontaktów na LinkedIn jest fundamentem efektywnego sourcingu. To proces długotrwały, ale inwestycja czasowa zwróci się w postaci bazy potencjalnych kandydatów. Do gromadzenia osób w sieci kontaktów na LinkedIn nie potrzebujesz zgody RODO, działasz na bazie regulaminu portalu, a to oznacza, że nie możesz wynosić danych poza niego.
Pierwszy kontakt z kandydatem powinien być przemyślany i zawierać wszystkie niezbędne informacje dotyczące przetwarzania danych osobowych, włącznie z klauzulą informacyjną. Co ważne: jeśli dane o kandydacie pozyskujemy ze źródła trzeciego, czyli nie od niego samego, obowiązek informacyjny musi zostać spełniony najpóźniej w momencie pierwszego kontaktu. Jak to zrobić? Wystarczy odpowiednia formułka w wiadomości lub np. stopka w mailu. W tym przypadku podstawą przetwarzania danych jest prawnie uzasadniony interes, czyli kontakt jeszcze przed rozpoczęciem rekrutacji.
Krok 3: Kandydat chce wziąć udział w rekrutacji lub odmawia. Co należy zrobić?
Załóżmy, że nastąpił już kontakt z kandydatem – zapytaliśmy go, czy jest zainteresowany ofertą pracy. Możliwości są dwie:
- Nie jest – musimy jak najszybciej usunąć jego dane, jeśli zaczęliśmy je przechowywać. Co oznacza „jak najszybciej”? Prawo nie jest w tej kwestii precyzyjne, ale im szybciej, tym lepiej!
- Chce wziąć udział w rekrutacji – wchodzimy ściśle w cel rekrutacyjny. To oznacza, że musimy przedstawić kolejną klauzulę informacyjną, tym razem dotyczącą rekrutacji (o ile nie była przedstawiona razem z klauzulą dotyczącą kontaktu) i pozyskać wymagane zgody.
Jeśli korzystasz z wtyczki ATS od Elevato umożliwiającej sourcing na LinkedIn, w dwóch szybkich kliknięciach skopiujesz dane kandydata do systemu. To zdecydowanie wygodniejsze niż ręczne przepisywanie danych!
Ważne: pamiętaj, aby użyć wtyczki tylko w przypadku, w którym kandydat chce wziąć udział w rekrutacji i aby jak najszybciej uzupełnić zgody RODO. Jeśli skorzystamy z tej opcji wcześniej, LinkedIn może uznać to za naruszenie regulaminu (pkt 8.2). Korzystaj z tego ułatwienia tylko zgodnie z obowiązującymi przepisami.
Krok 4: Jak pozyskać zgody?
Zgodę na przetwarzanie danych możesz pozyskać na różne sposoby. Warto przechowywać je w jednym miejscu tak, aby w razie kontroli UODO móc łatwo wykazać, że działasz zgodnie z obowiązującym prawem. Ważne, aby było to bezpieczne miejsce, na przykład system ATS. Każdy sposób pozyskania zgód ma swoje zalety oraz wyzwania – omówmy je poniżej:
- pozyskanie zgody w wiadomości na LinkedIn – plusem tutaj jest duża responsywność kandydatów. Zgoda musi być poprawna i konkretna. Wyzwanie stanowi przeniesienie jej do systemu ATS;
- pozyskanie zgody poprzez e-mail – i tutaj musimy zadbać o to, aby uzyskać właściwą zgodę. W przypadku wiadomości mailowych wyzwaniem jest responsywność kandydatów oraz przeniesienie uzyskanej zgody do ATS;
Przykład maila służącego do pozyskania zgody:
W nawiązaniu do korespondencji prowadzonej na portalu LinkedIn, chcielibyśmy zapytać, czy wyrażasz zgodę na przetwarzanie Twoich danych osobowych zawartych w przesyłanej aplikacji w celu udziału w procesach rekrutacyjnych organizowanych przez XYZ Sp. z o.o.?
Jeżeli TAK, to odpisz proszę w wiadomości zwrotnej „TAK” oraz dołącz swoje CV z klauzulą o treści:
„Wyrażam zgodę na przetwarzanie moich danych osobowych przez XYZ Sp. z o.o. w zakresie podanym przeze mnie w przesłanych dokumentach aplikacyjnych w celu udziału w procesach rekrutacyjnych organizowanych przez XYZ Sp. z o.o. Zgodę mogę odwołać w każdym czasie.”
Administratorem Danych Osobowych kandydatów, którzy taką zgodę wyrazili jest XYZ Sp. z o.o. [….]
- bezpośrednio przez system ATS – dzięki temu rozwiązaniu zgoda znajdzie się od razu w naszej bazie. Możesz wysłać kandydatowi link do konkretnego formularza aplikacji (jeśli chcesz pozyskać jeszcze CV lub masz dodatkowe pytania w formularzu, na które chcesz uzyskać odpowiedzi), lub też dodać go w ATS i wysłać link do akceptacji zgody – upraszczasz dzięki temu cały proces i zwiększasz dzięki temu responsywność.
Wspaniale, kandydat pozyskany! Chcielibyśmy jednak zwrócić Twoją uwagę na jeszcze kilka ważnych aspektów.
Pamiętaj o minimalizacji danych
Zasada minimalizacji danych jest jedną z kluczowych w kontekście RODO i nakazuje przetwarzać jedynie te informacje, które są absolutnie konieczne do osiągnięcia celu. Dużym ułatwieniem może okazać się zadanie sobie pytania „Czy te informacje są mi naprawdę potrzebne?”.
Przykład: jeśli zamierzasz przesłać kandydatowi informację o rekrutacji, do tego niezbędne będzie jego imię, nazwisko i adres mailowy, ale numer telefonu nie jest niezbędny. Możesz o niego poprosić w kolejnym etapie procesu, jeśli kandydat będzie chciał wziąć w nim udział.
Pamiętaj o monitorowaniu aktualności zgód
…lub zapomnij o tym, jeśli masz ATS z odpowiednią funkcją (na przykład Elevato). Jak już wiesz, zgody na przetwarzanie danych obowiązują przez określony czas. Kandydat musi wiedzieć, jak długo będziesz przetwarzał i przechowywał informacje. Kiedy zgoda upłynie, zależnie od tego, jak postępujesz w takich przypadkach i jak poinformowany został kandydat, dane powinny zostać:
- zanonimizowane (usunięte są wszelkie informacje pozwalające powiązać dane z osobą, w bazie zostają jedynie informacje do celów statystycznych);
- zarchiwizowane (zmiana celu przetworzenia danych, nie możesz już korzystać z nich na potrzeby rekrutacji. Z informacji w archiwum możesz skorzystać, jeśli kandydaci wysuną jakieś roszczenia);
- bezpowrotnie usunięte.
Jeśli zbliża się czas wygaśnięcia zgody, warto wysłać kandydatom pytanie o chęć jej przedłużenia na poczet przyszłych procesów rekrutacyjnych. Elevato poinformuje Cię, że termin się zbliża. Możesz ustawić automatyczną wysyłkę maili do takich osób. Warto to wykorzystać i potraktować jako element dbania o cenny zasób, jakim jest pula talentów.
Podsumowanie – nie takie RODO i sourcing straszne!
Przepisy dotyczące ochrony danych osobowych sprawiają, że sourcing zgodny z RODO może wydawać się drogą pełną przeszkód. Spójrzmy na to z innej strony: świadome zarządzanie danymi to nie tylko ochrona przed ryzykiem prawnym. To przede wszystkim budowanie długotrwałych, opartych na zaufaniu relacji z kandydatami, z głębokim poszanowaniem ich prawa do prywatności.
Mamy świadomość, że zarządzanie i ochrona danych osobowych kandydatów może stanowić wyzwanie. Jeśli potrzebujesz partnera, który pomoże Ci się z nim uporać, jesteśmy tu dla Ciebie – napisz do nas i dowiedz się, jak możemy ułatwić Ci życie i ściągnąć z Twojej głowy zmartwienie, jakim czasem bywa RODO. Naszym wsparciem i partnerem jest iSecure, czyli firma, która sprawi, że Twoje dane są bezpieczne jak w cyfrowej twierdzy.