Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, czyli nowe ogólne rozporządzenie o ochronie danych (RODO) obowiązujące w Unii Europejskiej, reguluje przetwarzanie danych osobowych dotyczących osób fizycznych w UE przez osoby fizyczne, przedsiębiorstwa lub organizacje. Rozporządzenie to zaczęło obowiązywać w UE 25 maja 2018 r. Dowiedz się, co zmieniło RODO w rekrutacji pracowników – jakie są główne założenia, na co zwrócić uwagę, jak bezpiecznie i zgodnie z prawem przetwarzać dane kandydatów, na czym polega rekrutacja zgodna z RODO.
Zawartość artykułu
Czym są dane osobowe?
Dane osobowe stanowią wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania żyjącej osoby fizycznej. Poszczególne informacje, które w połączeniu ze sobą mogą prowadzić do zidentyfikowania tożsamości danej osoby, także stanowią dane osobowe.
RODO zapewnia ochronę danych osobowych niezależnie od rodzaju technologii, której użyto do przetwarzania danych – w systemie IT, w systemie nadzoru wideo czy w formie papierowej.
Stosowanie się do przepisów RODO w rekrutacji oznacza przede wszystkim konieczność zabezpieczenia danych osobowych aplikujących kandydatów.
Kto odpowiada za zbierane i przetwarzane dane osobowe?
Administrator danych osobowych | Podmiot przetwarzający / Procesor |
organ, jednostka organizacyjna, podmiot lub osoba prowadząca działalność gospodarczą, które decydują o celach i środkach przetwarzania danych osobowych | osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora |
„właściciel” danych osobowych | przetwarzanie danych tylko na polecenie administratora |
analiza ryzyka | obowiązek zachowania danych w tajemnicy |
procedury i środki bezpieczeństwa | odpowiedzialność za działanie podprocesora |
sankcje finansowe – kary administracyjne | wsparcie administratora danych |
prawo kontroli przez administratora |
Rekrutacja zgodna z RODO: Rozwiązania przyjęte w elevato
RODO w rekrutacji: Obowiązek informacyjny RODO w rekrutacji
Działy HR będą zobowiązane do dostosowania klauzul informacyjnych do nowych wymagań, a także do udowodnienia spełnienia obowiązku informacyjnego wobec kandydatów. Jest to jedna z kluczowych zmian, które wprowadziło RODO w rekrutacji w stosunku do poprzedniej ustawy o ochronie danych osobowych.
System elevato pozwala
- Elastycznie zarządzać klauzulami informacyjnymi.
- Przypisywać klauzule do projektów.
- Rejestrować klauzule wyświetlane kandydatom (dodatkowo rejestruje datę spełnienia obowiązku informacyjnego oraz adres IP kandydata).
Ponadto, dostępny jest raport pokazujący wszystkie zarejestrowane klauzule. Istnieje możliwość filtrowania danych i eksportu do Excela.
RODO w rekrutacji: Zgoda na przetwarzanie danych w procesie rekrutacji
Zgodnie z zapisami RODO działy HR będą zobowiązane do uzyskania od kandydatów zgody na przetwarzanie danych osobowych w celu prowadzenia procesu rekrutacyjnego. RODO w rekrutacji kładzie szczególny nacisk na to, że:
- Zgoda musi być dobrowolna, a kandydat może ją wycofać w każdym momencie.
- Zgoda musi zostać przedstawiona w sposób pozwalający wyraźnie odróżnić ją od klauzuli informacyjnej.
- Cel zbierania zgody musi być jasno określony i zrozumiały dla kandydata.
Rekrutacja zgodna z RODO oznacza konieczność zachowywania zgód kandydatów i pilnowania ich wygasania, w czym bardzo pomaga wykorzystanie systemu do rekrutacji.
System elevato umożliwia
- Dodawanie dowolnej liczby zgód i przypisywanie ich do projektów.
- Zarządzanie zgodami (zgody wymagane / opcjonalne, definiowalny okres ważności zgody, zgody na jeden projekt rekrutacyjny / na przyszłe rekrutacje).
- Wyświetlanie i rejestrowanie zgód kandydatów na jeden lub wszystkie projekty rekrutacyjne.
- Przypisywanie zgód kandydatom przez rekruterów.
- Odnotowanie źródła pochodzenia danych (kandydat / Inne – zarządzany przez administratora słownik).
- W zależności od celu pozyskiwania danych dla wybranych zgód można ustalić okres obowiązywania.
RODO w rekrutacji: Zabezpieczenie danych
Zgodnie z RODO pracodawca będzie zobowiązany wdrożyć rozwiązania, które zabezpieczą przetwarzane dane osobowe. Dotyczy to nie tylko klientów, partnerów handlowych i pracowników, lecz także kandydatów. Wśród środków technicznych i organizacyjnych RODO wymienia m.in.:
- Pseudonimizację i szyfrowanie danych osobowych.
- Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
- Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
- Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Biorąc pod uwagę powyższe wymogi, dobrym rozwiązaniem jest skorzystanie z gotowego systemu ATS dostępnego w chmurze. Dostawcy usług SaaS zapewniają powyższe standardy bezpieczeństwa oraz implementują wiele rozwiązań ułatwiające spełnienie wymagań rekrutacji zgodnej z RODO.
System elevato umożliwia
- Usuwanie danych kandydata po ustaniu celu przetwarzania danych – proces nieodwracalny, usuwający wszelkie dane i dokumenty kandydata.
- Anonimizowanie danych kandydata po ustaniu celu przetwarzania danych – proces nieodwracalny, anonimizujący wszelkie dane kandydata i usuwający jego dokumenty.
- Archiwizację danych kandydata po ustaniu celu przetwarzania danych – oznaczenie flagą i zachowanie danych, i dokumentów kandydata w celach archiwizacyjnych, np. do czasu przedawnienia terminu roszczeń itp.
RODO w rekrutacji: Nowe prawa kandydata wynikające z RODO
Zgodnie z RODO kandydaci, którzy aplikowali do danego pracodawcy, powinni mieć możliwość stałego i łatwego zarządzania swoimi danymi oraz udzielonymi zgodami, przez cały czas przetwarzania danych.
RODO definiuje następujące prawa kandydata:
Administrator danych osobowych | Podmiot przetwarzający / Procesor |
Prawo do sprostowania danych | możliwość zmodyfikowania danych przez administratora na żądanie kandydata |
Prawo do usunięcia danych („bycia zapomnianym”) | możliwość usunięcia / zanonimizowania / zarchiwizowania danych przez administratora na żądanie kandydata, w zależności od decyzji administratora |
Prawo do ograniczenia przetwarzania | możliwość zarchiwizowania danych i oznaczenia notatką / tagiem informacji o ograniczeniu przez administratora na żądanie kandydata |
Prawo do tego, aby nie podlegać zautomatyzowanemu systemowi podejmowania decyzji | dotyczy m.in. profilowania |
Prawo do uzyskania kopii danych | możliwość eksportu danych do formatu nadającego się do odczytu maszynowego |
Prawo do przeniesienia danych | aktualnie prawo to nie dotyczy rekrutacji z powodu braku możliwości technicznych, brak ujednoliconego formatu / integracji z systemami innych administratorów |
Pamiętajmy, że rekrutacja zgodna z RODO oznacza zarówno wymóg informowania kandydatów o powyższych prawach, jak i zapewnienie możliwości ich realizacji.
System elevato umożliwia
- Zapewnienie kandydatowi dostępu do dedykowanego panelu, w którym może zarządzać udzielonymi przez siebie zgodami. Oznacza to, że kandydaci w łatwy sposób będą mogli aktualizować lub wycofać udzielone wcześniej zgody.
- Dzięki zaprojektowanemu panelowi kandydaci mogą:
- Zażądać usunięcia swoich danych osobowych z bazy CV. W zależności od decyzji administrator będzie mógł usunąć, zanonimizować lub zarchiwizować dane kandydata.
- Zażądać ograniczenia przetwarzania ich danych osobowych.
- Poprosić o kopię danych osobowych.
- Rozbudowane raporty pozwalają szybko wyświetlić wszystkie zgody udzielone przez kandydatów, a także wyfiltrować kandydatów, którym na przykład mija okres ważności zgody.
Rekrutacja zgodna z RODO: Najczęściej zadawane pytania
Poniżej prezentujemy odpowiedzi na najczęściej zadawane pytania dotyczące RODO w rekrutacji. Prosimy pamiętać, że elevato jako dostawca systemu do rekrutacji wspiera Państwa na co dzień w działaniach związanych z rekrutacją i bezpieczeństwem danych, jednak na wiele z tych pytań odpowiedzi udzielić powinien Państwa Administrator Bezpieczeństwa Informacji lub Inspektor Ochrony Danych. Warto kwestie te skonsultować z agencjami doradczymi lub kancelariami prawnymi. Rozporządzenie RODO jest dość ogólne i wdrażanie konkretnych wymogów zależy od kontekstu biznesowego Państwa organizacji, o którym wiedzą Państwo najwięcej. Mamy nadzieję, że poniższe odpowiedzi rozwieją wiele wątpliwości i dadzą lepszy obraz tego, czym jest rekrutacja zgodna z RODO.
Administrator danych osobowych
- Firma rekrutacyjna realizująca rekrutację na zlecenie klienta jest administratorem czy podmiotem przetwarzającym?
Jako podmiot zbierający dane osobowe kandydatów są Państwo ich administratorem. Robią to Państwo na zlecenie swoich klientów, którzy – jako zewnętrzne podmioty – są też osobnymi administratorami danych osobowych. Ważne jest zatem, aby w klauzuli informacyjnej na formularzu aplikacji zamieścić informację, że dane kandydata mogą być przekazywane innym administratorom. Zgodnie z obecnymi interpretacjami RODO nie wymaga, aby wskazywać konkretne firmy, którym dane będą przekazywane.
- Kto będzie administratorem danych, jeżeli z bazy kandydatów korzystają 2 spółki firmy?
Administratorem danych jest zawsze spółka, do której aktualnie szukamy kandydata na konkretne stanowisko. Do wybranej rekrutacji musimy zatem wybrać zawsze odpowiednią klauzulę informacyjną. Dane kandydata możemy wykorzystać w przyszłych rekrutacjach, jeśli kandydat wyrazi na to osobną, dobrowolną zgodę. W zgodzie / klauzuli informacyjnej musimy poinformować kandydata , że jego dane mogą być przekazane innemu administratorowi danych, czyli np. drugiej spółce w grupie kapitałowej.
- Czy w przypadku zmian organizacyjnych – połączenia spółek – należy poinformować kandydatów już przetwarzanych o tym fakcie (zmiana nazwy administratora czy jego siedziby)?
Naszym zdaniem jest to wskazane i takie działanie rekomendujemy. Jednak ostatecznie powinien wypowiedzieć się w tej kwestii prawnik prowadzący połączenie spółek.
Klauzula informacyjna
- Czy w treści klauzuli musi być informacja o tym, że dane są też przekazywane do centrali firmy w innym kraju w UE?
Tak, taką informację należy zawrzeć w treści klauzuli, ze względu na obowiązek informacyjny nakładany przez RODO na administratora danych osobowych kandydatów. Z reguły centrala jest zewnętrznym podmiotem, a co za tym idzie – odrębnym administratorem danych osobowych. Dla spółek działających w ramach jednej grupy kapitałowej przewidziano w RODO ułatwienie polegające na możliwości wspólnego zarządzania bezpieczeństwem danych. W takiej sytuacji spółki w grupie mogą być współadministratorami.
- Czy zawsze należy dołączyć klauzulę informacyjną dot. administrowania danymi?
Tak, dodatkowo trzeba pamiętać, że klauzula musi być widoczna dla kandydata przed zakończeniem procesu aplikowania. Warto w tym miejscu wspomnieć o tzw. ukrytych rekrutacjach, tzn. takich, w których kandydat nie wie, do jakiej firmy aplikuje. W świetle wspomnianych przepisów rekrutacja zgodna z RODO wyklucza taką możliwość.
Pozyskiwanie zgód
- Czy zebranie osobnej zgody jest konieczne, jeżeli w CV mamy standardową klauzulę zgody na przetwarzanie danych osobowych?
Tak, jest konieczne, ponieważ w myśl RODO zgoda musi zostać wyrażona dla konkretnego administratora danych osobowych i na określony czas. Ogólne zgody zawierane dotychczas w dokumentach nie spełniają tych wymogów. System do rekrutacji (ATS), który rejestruje zgody oraz terminy ich wygaśnięcia, zdecydowanie ułatwia udowodnienie pozyskania wszystkich zgód kandydatów. Co ważne, system dba też o to, abyśmy nie przetwarzali danych kandydatów, którym zgody wygasły.
- Czy według przepisów RODO w rekrutacji jest w ogóle możliwe budowanie baz kandydatów?
Tak, tworzenie baz kandydatów jest możliwe, jednak należy spełnić bardziej rygorystyczne warunki. Rekrutacja zgodna z RODO wymaga, aby kandydat został poinformowany o tym, kto będzie administratorem jego danych osobowych. Kandydat musi też wyrazić na to zgodę w sposób świadomy. Ponadto, musi mieć możliwość rezygnacji w każdej chwili z udzielonych zgód. Jeśli mają Państwo jako administrator uzasadniony interes w zbieraniu i przechowywaniu takich danych, to – oczywiście za zgodą kandydatów – mogą Państwo taką bazę tworzyć i przekazywać dane swoim zleceniodawcom. Ważne przy tym jest to, aby ustalić racjonalny czas przechowywania takich danych, i poinformować o tym potencjalnych kandydatów.
- Czy trzeba prosić kandydatów, których dane pozyskaliśmy przed wejściem w życie RODO, o odświeżenie zgody na zgodną z RODO? Czy przetwarzanie tych danych jest zgodne z przepisami?
Po wejściu w życie RODO przetwarzanie danych kandydatów przestało odbywać się zgodnie z prawem, choć spotkaliśmy się z różnymi interpretacjami. W tej kwestii powinien wypowiedzieć się Inspektor Ochrony Danych. Z uwagi na rozszerzenie w RODO obowiązku informacyjnego, należy przedstawić kandydatom nową klauzulę informacyjną oraz poprosić ich o aktualizację zgód. W przypadku potencjalnej kontroli musimy udowodnić legalność przetwarzania danych. Nie mając zarejestrowanych zgodnych z RODO zgód, będzie to bardzo trudne.
Czas przetwarzania danych osobowych
- Czy w treści zgody na przetwarzanie należy koniecznie wpisać liczbę lat pozwalających na przetwarzanie danych? Jak długo można przechowywać dane kandydatów do pracy?
RODO nie określa dokładnego czasu, przez jaki możemy przetwarzać dane kandydatów. Co do zasady powinniśmy minimalizować ten czas. W zależności od celu przetwarzania danych (rekrutacja na konkretne stanowisko, rekrutacja ciągła na zlecenie klientów itp.), administrator powinien ustalić odpowiednią procedurę postępowania z danymi. Mimo, iż przetwarzanie odbywa się na podstawie wyrażonej przez kandydata zgody i może trwać do czasu jej wycofania, rekomendowane jest ustalenie czasu przetwarzania i poinformowanie o tym kandydata w klauzuli informacyjnej – zapis może brzmieć np. tak:
„Pana/Pani dane osobowe będą przetwarzane przez czas trwania obecnego procesu rekrutacji, po zakończeniu którego zostaną bezpowrotnie usunięte.
W przypadku wyrażenia dodatkowej zgody Pana/Pani dane osobowe będą przetwarzane również na potrzeby przyszłych rekrutacji, do czasu cofnięcia zgody, nie dłużej jednak niż przez okres 3 lat.”
Jeśli kandydat wyrazi zgodę jedynie na udział w bieżącej rekrutacji, jego dane należy usunąć niezwłocznie po zakończeniu procesu rekrutacyjnego. W przypadku, gdy kandydat wyrazi odrębną, dobrowolną zgodę na udział w przyszłych rekrutacjach, czas ten ustalić powinien administrator danych osobowych np. w zależności od tego, czy przewidujemy w przyszłości prowadzić rekrutacje na takie samo stanowisko.
Treść zgody na przetwarzanie danych
- Czy można wymagać zaznaczenia obydwu zgód (na aktualny i przyszłe projekty), które będą warunkiem aplikowania?
Zapisy RODO dotyczące minimalizacji przetwarzania danych, a także różne cele przetwarzania danych (rekrutacja na konkretne stanowisko vs. udział w przyszłych rekrutacjach), wskazują w tej sytuacji, że powinny być to dwie odrębne zgody. O ile zgoda na bieżący projekt jest oczywiście konieczna do realizacji procesu rekrutacji, to zgoda na przyszłe rekrutacja jest zgodą dodatkową i nie może być zgodą wymaganą.
Zgoda na udział w przyszłych rekrutacjach
- Kandydat może zgodzić się na rekrutację na 3 miesięczny proces, a nie musi się zgodzić na przetwarzania danych przez 2 lata, czy tak?
Rekrutując kandydatów na konkretne stanowisko rekomendujemy dołączenie dwóch zgód, na przykład:
– zgoda na bieżący proces rekrutacji (wymagana, aby legalnie przetwarzać dane kandydata) – do czasu zakończenia procesu rekrutacyjnego
– zgoda na przyszłe rekrutacje (opcjonalna) – ograniczona czasowo, np. na 2 lata
Kandydat może zaznaczyć w takiej sytuacji tylko pierwszą zgodę (na bieżącą rekrutację), wymaganą, aby kandydat przesłał nam swoje dane. Należy pamiętać, że kandydat może w dowolnej chwili odwołać swoje zgody. Co ważne, należy poinformować kandydata w klauzuli informacyjnej o tym fakcie, a także, w jaki sposób może to zrobić.
- Czy zgoda na przyszłe rekrutacje może być obowiązkowa?
Platforma elevato na to pozwala. Przy rekrutacji na konkretne stanowisko powinniśmy dodać dwie zgody – wymaganą na bieżącą rekrutację, i opcjonalną na przyszłe rekrutacje. Inaczej jest w sytuacji, gdy tworzymy formularz ogólny, poprzez który kandydaci zostawiają swoje dane i CV. Wtedy możemy dodać jedną, wymaganą klauzulę, ze zgodą na przyszłe rekrutacje.
- Kiedy musimy pozyskać zgodę od kandydata na udział w kolejnych rekrutacjach?
Jeśli chcemy wykorzystywać dane kandydata w innych projektach rekrutacyjnych, po zakończeniu rekrutacji, w której kandydat aplikował, a nie został zatrudniony. Rekrutacja zgodna z RODO wymaga, aby usunąć dane osobowe po ustaniu celu przetwarzania (w tym przypadku zakończenie projektu). Dlatego możemy dane pozostawić jedynie jeśli mamy zarejestrowaną zgodę na inny proces rekrutacyjny (inne stanowisko) lub zgodę na przyszłe rekrutacje.
Social media
- Czy w przypadku opublikowania oferty pracy na Facebooku należy usuwać wpisy osób, które wyrażają swoje zainteresowanie bezpośrednio pod naszym postem?
Naszym zdaniem nie jest to konieczne. Osoby wyrażające zainteresowanie bezpośrednio pod postem robią to w sposób świadomy i dobrowolny, i zgodny z regulaminem samego Facebooka, a co za tym idzie wyrażają zgodę na bezpośredni kontakt.
Inne
- Gdzie znajdę aktualne informacje dotyczące RODO?
Organem odpowiedzialnym jest w Polsce Urząd Ochrony Danych Osobowych: https://uodo.gov.pl/. Zalecamy śledzenie interpretacji i zaleceń Prezesa UODO, i oczywiście wdrażanie rekomendowanych rozwiązań.
Webinarium RODO w rekrutacji
Jeśli chcesz dowiedzieć się więcej o RODO w rekrutacji, obejrzyj darmowe webinarium, w którym omawiamy najważniejsze fakty dotyczące RODO i pokazujemy, jak wygląda rekrutacja zgodna z RODO dzięki elevato.