Rekrutacja i HR w obliczu zmian RODO.

4 Kwiecień 2018
Rekrutacja i HR w obliczu zmian RODO.

Podczas ostatniego webinaru na profilu Krawcowej Rekrutacji, miałam przyjemność rozmawiać z mecenasem Tomaszem Palakiem o wpływie rozporządzenia RODO na funkcjonowanie branży HR i przetwarzane przez nas dane osobowe. Tomek jest człowiekiem, który potrafi mówić o prawie w sposób ludzki, dlatego też zdecydowałam się go zaprosić, wiedząc, że odpowie na moje i Wasze pytania w przystępny i zrozumiały sposób, tak jak robi to na swoim blogu.

 

Artykuł jest krótkim podsumowaniem najważniejszych wniosków z naszej rozmowy, której nagranie jest dostępne na moim fan page’u. Serdecznie zapraszam Was do jego obejrzenia.

 

Czym tak naprawdę jest RODO?

RODO to nowe unijne rozporządzenie, które wchodzi w życie 25 maja 2018 roku. Jest ono przetłumaczone i będzie stosowane bezpośrednio we wszystkich krajach Unii Europejskiej. Oznacza to, że staje się niejako naszą ustawą i stosowane jest wprost, tym samym ma bezpośredni wpływ na nasze działania związane z obiegiem danych osobowych. Prawdopodobnie w Polsce wejdzie w życie nowa ustawa, która będzie powtarzała treść RODO i regulowała dodatkowe kwestie wtórne takie jak sposób wyboru PUODO (Prezes Urzędu Ochrony Danych Osobowych), jak się on nazywa oraz gdzie się mieści. Tym samym GIODO i stara ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 roku przestają istnieć. RODO ma się nie zestarzeć, dlatego nie posiada takich pojęć jak telefon, czy mail, ponieważ w przyszłości możemy już z tego nie korzystać.

 

Klauzula w CV lekiem na całe zło?

Zmiana ta sprawia, że stosowane do tej pory klauzule w CV, na mocy starej ustawy, stają się bezużyteczne. Co w związku z tym? Jak możemy pozyskiwać zgodę na rozporządzanie danymi osobowymi od kandydatów? Całe RODO jest bardzo logiczne: jeśli przetwarzasz, to powiedz co i w jakim celu. Poinformuj o tym i bądź gotów to udowodnić. Co to dla nas oznacza? Każde dane, jakie jesteśmy w stanie udowodnić, że są nam potrzebne, możemy przechowywać.

 

Przykład: jeśli meldujemy się w hotelu na recepcji i proszą nas o numer dowodu osobistego, to możemy zapytać: "w jakim celu?". Recepcjonista mógłby zadzwonić do banku i łatwiej się pod nas podszyć.

 

W przypadku rekrutacji związanej z wojskowością, może być potrzebna kategoria książeczki wojskowej. Dlaczego? Ponieważ rekrutacja prowadzona jest dla organu wojskowego, który wymaga takiej informacji. Nie ma zatem zestawu danych, którego nie można zbierać, ale trzeba mieć procedurę, z której wynika jakie dane i dlaczego zbieramy, aby mieć możliwość uzasadnienia przetwarzania i gromadzenia danych.

 

Klauzula, obowiązująca od 25 maja, może brzmieć: “wyrażam zgodę na przetwarzanie moich danych osobowych podanych w CV na potrzeby rekrutacji i przyszłych rekrutacji”. Nie musi znajdować się na dokumencie, wystarczy umieścić ją raz w treści maila z nadesłanym w załączniku CV. Pamiętajmy, aby nasz mail zabezpieczyć hasłem. Jeżeli jesteśmy agencją pracy, umieśćmy w klauzuli mały fragment mówiący o przekazywaniu danych odpowiednim podmiotom. Jeżeli dane wprowadzamy etapowo warto w treści zgody zaznaczyć, że będą uzupełniane i aktualizowane.

 

Dokumenty przechowywane w formie elektronicznej nie generują dodatkowego ryzyka wycieku danych, kosztów przechowania oraz zabezpieczenia. Mimo to, CV mogą być przechowywane w formie uporządkowanego, osobnego folderu. Najważniejsze jest, aby wykazać działania zapewniające ich bezpieczeństwo.

 

Co ze zgodami zebranymi na poczet przyszłych rekrutacji?

Zebrane prawidłowo, są w dalszym ciągu ważne i nie trzeba na nowo nawiązywać kontaktu z kandydatami. RODO nie określa jak długo ważna jest dana zgoda, powinniśmy jednak określić datę usunięcia danych, jeżeli jest nam znana, w Rejestrze Czynności Przetwarzania, czyli w naszej procedurze. Jeżeli nie posiadamy zgody, mimo to świadomie wysyłamy oferty do kandydatów, mają oni prawo iść z tym do sądu lub donieść na nas do PUODO.

 

Jak na nadchodzące zmiany muszą przygotować się firmy?

Powinny stworzyć sobie spisaną pisemnie lub w formie elektronicznej procedurę obiegu CV oraz danych w firmie. Do kogo trafiają, kto ma do nich dostęp (im bardziej ograniczony tym lepiej, ponieważ potencjalnie nie ma sytuacji, że każdy pracownik może wszystko wypuścić w świat). To gdzie te CV się finalnie znajduje. Jeżeli na dyskach, to jakich. Czy są to dyski, które podlegają pod RODO i są w porządku. Warto zwrócić uwagę z jakiego są one kraju. W przypadku Stanów Zjednoczonych upewnijmy się, czy ta firma, która się tym zajmuje, jest na liście “Privacy Shield List”. Czyli firm, których standardy RODO uznaje za analogiczne względem swoich. Czy drukujemy CV, przez co może dojść do jego zagubienia. Jeżeli już to robimy, to zadbajmy o niszczarki z odpowiednimi klasami (dokładniej z czwartą klasą) i niezbędny sprzęt do zachowania poufności. Jeżeli korzystamy z serwisów takich jak LinkedIn, czy GoldenLine przeanalizujmy umowę lub regulamin, który zaakceptowaliśmy zakładając konto.

 

Co w przypadku firm korzystających z systemów ATS?

ATS to oprogramowania do zarządzania procesami rekrutacyjnymi i bazą kandydatów. To one przetwarzają dane, dlatego jako firma korzystająca z systemów ATS powinniśmy zweryfikować, na jakich zasadach działają, jakie informacje zawarte są w umowach wiążących. Jeżeli brakuje nam informacji związanych z RODO, należy mailowo skontaktować się z ATSem, aby wykazać nasze działania, jakie podjęliśmy w związku ze zmianami. Większe firmy mają mniej pracy, ponieważ ATS przejmuje ciężar odpowiedzialności. Pamiętajmy, aby informować kandydatów, że ich dane znajdą się w takim systemie.

 

Kto fizycznie może być obciążony karą:

Karą obciążony zostaje pracodawca, chyba że jest w stanie udowodnić, że wina leży po stronie pracownika. Pracownicy na samozatrudnieniu to formalnie odrębne firmy, dlatego warto uzgodnić z osobami rekrutowanymi, że zgadzają się na przekazanie danych zewnętrznym firmom, czyli samozatrudnionym pracownikom. W przypadku potężnych firm (T-mobile, Facebook, Apple)  kara wynieść może 20 mln euro, albo 4% rocznego obrotu światowego. W przypadku małych firm karą może być tylko kontrola.

 

Gdy firma korzysta z agencji...

przeanalizuj, czy w umowie jest deklaracja, mówiąca o tym, że agencja odpowiada za ochronę danych osobowych pod kątem RODO. Nie zwolni nas to całkowicie z konsekwencji w przypadku wycieku, ale lepiej to mieć, niż nie mieć.

 

Co z prospectingiem kandydatów? Zanim zapytamy kogoś o zgodę przetwarzamy dane osobowe dostępne w Internecie.

Nie ma jednej odpowiedzi. Spróbujmy w sposób następczy: “słuchaj mam ofertę dla Ciebie, ale żebym mógł Ci ją wysłać, potrzebuję Twojej zgody”. Jeżeli otrzymamy zgodę, wysyłamy. Zatem odpowiedź jest taka: lepsze to, niż nic.

Przykładem są zamieszczone przez rekruterów ogłoszenia na Facebook’u, albo grupy, na których ludzie sami piszą: “cześć jestem XYZ i szukam pracy, skontaktuj się ze mną”. Nie jest to zgoda na przetwarzanie danych. Dlatego ustalmy w procedurze, że w wiadomości do tej osoby linkujemy jego posta. “Cześć, piszę w nawiązaniu do Twojego posta [link]. Myślę, że mamy dla Ciebie coś ciekawego, prześlij nam swoje dane”

 

Rekrutacja zgodna z RODO, czyli jaka?

Taka, w której kandydaci wiedzą na czym stoją, ponieważ wszystko jest sformułowane prostym językiem. Mamy ich zgodę i jesteśmy w stanie wykazać, że ta zgoda nastąpiła. Gdzie mamy swoją procedurę obiegu dokumentów, która jest uczciwa i przejrzysta, na naszych zasadach, które kandydaci zaakceptowali. Z której wynika, jak długo przechowujemy dane i co z nimi robimy po zakończonej rekrutacji.

 

Dotąd było tak, że było mnóstwo przepisów, których nie dało się w pełni przestrzegać. RODO mówi “weź to sobie układaj po swojemu i tego się trzymaj”. - mówi mecenas Tomasz Palak.

 

 

 

Redakcja i kontakt: Izabela Lesiewicz

Specjalista ds. Social Media i PR

powrót