W kwietniu tego roku Parlament Europejski przyjął rozporządzenie wprowadzające największą w historii reformę prawa ochrony danych osobowych. Nowe regulacje będą mieć znaczący wpływ także na pracę rekruterów, szczególnie w takich obszarach jak rekrutacje ukryte, bazy kandydatów odrzuconych oraz przechowywanie aplikacji kandydatów wewnątrz firmy.
Rozporządzenie będzie obowiązywać we wszystkich krajach Unii Europejskiej od maja 2018 r. i do tego czasu pracodawcy muszą dostosować swoją strukturę organizacyjną i procedury do nowych wymogów. "Unijna reforma przepisów prawa w zakresie ochrony danych osobowych była konieczna z uwagi na zagrożenia, jakie niosą ze sobą zmiany cywilizacyjne i technologiczne. Jej celem jest zabezpieczenie prywatności osób fizycznych, których dane osobowe są przetwarzane, a więc także kandydatów do pracy. Oznacza to, że adresatami zmian są także pracodawcy, którzy będą musieli z większą troską i uwagą dbać o każdy dokument aplikacyjny, który wpłynie do nich w trakcie procesu rekrutacyjnego. Co więcej, nowe warunki określone w unijnym rozporządzeniu, wpłyną nie tylko na pracę działu HR, ale także na te działy firmy, do których prowadzone są rekrutacje, dział prawny czy IT dbający o dane przechowywane na firmowych serwerach" – podkreśla Mirosław Gumularz, specjalista ds. ochrony danych osobowych.
Jakie zmiany?
Co oznaczają nowe przepisy dla pracodawców i kandydatów?
Po pierwsze, więcej obowiązków informacyjnych
Przeglądanie dokumentów aplikacyjnych, ich selekcja czy rozmowy z kandydatami to etapy procesu rekrutacyjnego, nieodłącznie związane z pozyskiwaniem danych osobowych. W konsekwencji należy wobec kandydata do pracy spełnić obowiązki informacyjne. Pracodawca gromadząc CV staje się administratorem danych osobowych. W związku z tym już obecnie firmy są zobowiązane do przesłania kandydatom m.in. takich informacji jak pełna nazwa firmy oraz adres jej siedziby, cel zbierania danych osobowych czy informacja o podmiotach, którym administrator danych ewentualnie zamierza udostępnić dane osobowe aplikującej osoby. Jednak po wejściu w życie nowych regulacji, przy każdej rekrutacji w ogłoszeniu, bądź innym miejscu dostępnym dla kandydata, firma będzie musiała podać, znacznie rozszerzony i zmodyfikowany, katalog obowiązków informacyjnych. Do nowych obowiązków należy m.in. wskazanie okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; udzielenie informacji o prawie wniesienia skargi do organu nadzorczego czy informacji o zautomatyzowanym podejmowaniu decyzji, w tym o zasadach ich podejmowania.
Po drugie, prawo kandydata do bycia zapomnianym
Zgodnie z treścią Rozporządzenia osoba, której dane dotyczą, ma prawo zażądać od administratora usunięcia jej danych osobowych, co firma musi niezwłocznie zrobić. Zwłaszcza jeżeli dane nie są już konieczne do celów, w których zostały zebrane. Przedstawiona regulacja wymagać będzie od rekruterów automatyzacji procesów przetwarzania danych, by sprawnie realizować tego typu żądania. Co więcej, informacje muszą zostać usunięte na stałe, a więc spełnienie tego obowiązku może wymagać interwencji działu IT. Taka sytuacja może mieć miejsce wówczas, gdy firma przechowuje dokumenty rekrutacyjne na skrzynkach e-mail a nie w dedykowanym systemie rekrutacyjnym.
Co istotne, realizując obowiązek usunięcia danych osobowych, ich administrator ma obowiązek poinformować pozostałych administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda usunięcia wszelkich łączy do tych danych czy ich kopii.
Po trzecie, prawo do przenoszenia danych do innego usługodawcy
Nowe regulacje unijne dają kandydatowi kolejne prawo dotyczące przeniesienia swoich danych osobowych do innego podmiotu. W praktyce oznacza to, że aplikująca osoba może otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, dane osobowe jej dotyczące, które dostarczyła administratorowi. Następnie, ma prawo przesłać je innemu podmiotowi bez przeszkód ze strony administratora, któremu dane osobowe dostarczyła w pierwszej kolejności. Wykonując prawo do przenoszenia danych osoba, której dane dotyczą, może zażądać, aby zostały one przesłane przez administratora bezpośrednio do innego administratora, o ile jest to technicznie możliwe. W związku z tym, pracodawcy są zobligowani do implementacji takich rozwiązań informatycznych, które umożliwią pobranie i przenoszenie danych osobowych pomiędzy administratorami danych. Jednak dopiero praktyka stosowania prawa będzie musiała wypracować metody realizacji wskazanych obowiązków.
Po czwarte, prawo do informacji o naruszeniu ochrony danych
W myśl nowych przepisów, pracodawca będzie zobowiązany do poinformowania kandydata o naruszeniu jego ochrony danych osobowych, jeśli może to spowodować wysokie ryzyko naruszenia jego praw lub wolności. Co istotne, nawet gdy administrator danych nie zawiadomi zainteresowanego o naruszeniu, organ nadzorczy, np. GIODO, biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko, może od niego tego zażądać. Takie zawiadomienie zawiera: opis charakteru naruszenia, imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji, możliwe konsekwencje naruszenia ochrony danych osobowych oraz środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.
Po piąte, wysokie kary pieniężne za naruszenia prywatności kandydatów
Pracodawcy muszą na poważnie podejść do spełnienia wymogów określonych w nowym rozporządzeniu Unii Europejskiej, gdyż stwierdzone naruszenie zasad ochrony danych osobowych może oznaczać poważne konsekwencje. Najbardziej dotkliwe będą te finansowe. Odpowiednia instytucja – w Polsce jest to GIODO – będzie uprawniona do nakładania administracyjnych kar pieniężnych i ich zdecydowanego egzekwowania. Pracodawca, który naruszy prywatność aplikującej osoby, może zostać zobligowany do zapłacenia kary nawet w wysokości 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.
...
"Pracodawcy w Polsce mają kilkanaście miesięcy na spełnienie warunków określonych w rozporządzeniu. Łatwiej przyjdzie to firmom, które posiadają odpowiedni system do zarządzania procesami rekrutacyjnymi, niż podmiotom prowadzącym projekty rekrutacyjne w oparciu o skrzynki e-mail i bazy Excel. W takim przypadku dział finansowy musi przygotować rezerwy finansowe albo na odpowiednie zabezpieczenie danych osobowych, albo na kary finansowe, które będą nakładane" – mówi Mirosław Gumularz z eRecruiter.