10 rad GIODO dla rekruterów

Dodano:
10 rad GIODO dla rekruterów

Generalny Inspektor Ochrony Danych Osobowych przygotował zestaw zasad, jakich bezwzględnie muszą przestrzegać podmioty, które chcą zatrudniać nowe osoby. Zdaniem GIODO w trakcie procesów rekrutacji dochodzi bowiem do różnych nieprawidłowości. Organ radzi zatem m.in., by nie tworzyć tzw. czarnych list rekrutacyjnych czy spełniać wobec kandydatów obowiązki informacyjne.

1. Zbieraj tylko te dane, na które pozwalają przepisy

Pozyskiwanie danych osobowych potencjalnych pracowników musi odbywać się w sposób zgodny z prawem (zasada legalizmu – art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych – uodo), a więc z zachowaniem jednej z przesłanek określonych w art. 23 uodo. Zakres danych osobowych, jakich może żądać zatrudniający w procesie rekrutacji, jest wyraźnie wskazany w art. 221 Kodeksu pracy. Pracodawca może zatem domagać się informacji o: imieniu (imionach) i nazwisku, imionach rodziców, dacie urodzenia, miejscu zamieszkania (adres do korespondencji), wykształceniu, przebiegu dotychczasowego zatrudnienia. Wskazany katalog jest katalogiem zamkniętym, co oznacza, że co do zasady pracodawca nie ma prawa pozyskiwać innych informacji, np. dotyczących stanu cywilnego (szerszy katalog mogą ewentualnie przewidywać przepisy szczególne).

2. Nie zbieraj danych „na zapas”

Pozyskiwanie danych osobowych musi odbywać się zgodnie z zasadą adekwatności (art. 26 ust. 1 pkt 3 uodo) – administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych. Dane osobowe nie mogą być zbierane na zapas, „na wszelki wypadek”, tj. bez wykazania celowości ich pozyskania i niezbędności do realizacji zadań administratora danych. Pracodawca nie może przetwarzać danych w zakresie szerszym niż niezbędny do osiągnięcia zamierzonego celu, jak również danych o większym niż uzasadniony tym celem stopniu szczegółowości. Żądanie przez pracodawcę informacji wykraczających poza przepisy może być uznane za dyskryminujące.

3. Nie twórz „czarnych list rekrutacyjnych”

Praktyka tworzenia tzw. czarnych list rekrutacyjnych zawierających dane osobowe kandydatów, których z różnych powodów nie powinno się zatrudniać, nie ma oparcia w obowiązujących przepisach, jest zatem niezgodna z prawem. Tworzenie zbiorów danych o charakterze negatywnym może prowadzić do dyskryminacji i podejmowania niekorzystnych dla danej osoby decyzji na podstawie często nierzetelnych, bezpodstawnie pozyskanych informacji.

4. Zapewnij, że zgoda na przetwarzanie danych jest dobrowolna

Jeżeli podstawą przetwarzania danych jest zgoda kandydata do pracy – np. na wykorzystanie ich do celów innych, przyszłych rekrutacji – należy pamiętać, że prawidłowo wyrażona zgoda powinna spełniać kryteria określone w art. 7 pkt 5 uodo. Powinna ona być wyrażona w sposób jasny i wyraźny, nie może być domniemana ani dorozumiana. Ważne jest, aby zgoda dotyczyła przetwarzania danych w konkretnym, wskazanym przez administratora danych celu, a nie przetwarzania danych „w ogóle”.

Formuła zgody na przetwarzanie danych osobowych powinna zatem stanowić odrębne oświadczenie osoby, której dane dotyczą, z jej treści w sposób niebudzący wątpliwości powinno zaś wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi. Zgoda musi zostać podjęta swobodnie i zgodnie z art. 7 pkt 5 uodo, może być w każdym czasie odwołana.

Żeby wyrażoną przez kandydata do pracy zgodę na przetwarzanie jego danych osobowych można było uznać za prawidłową przesłankę umożliwiającą wykorzystywanie tych danych, niezbędna jest ocena, czy została ona wyrażona w sposób dobrowolny.

5. Dane wykorzystuj tylko w tym celu, w którym je zebrałeś

Nie jest dopuszczalne swobodne dysponowanie przez pracodawcę czy agencję rekrutacyjną pozyskanymi danymi osobowymi kandydatów do pracy, tj. wykorzystywanie ich w dowolnych celach (konieczność zachowania zasady celowości). Wymiana danych osobowych między różnymi podmiotami, jako forma przetwarzania danych, nie może odbywać się bez odpowiedniej podstawy prawnej (art. 23 uodo).

6. Spełnij obowiązek informacyjny wobec kandydatów

W czasie procesu rekrutacyjnego pracodawca powinien spełnić obowiązek informacyjny wobec kandydatów do pracy. Odbywa się to poprzez zawarcie w zamieszczanym ogłoszeniu rekrutacyjnym klauzuli informacyjnej wskazującej na:

  • adres siedziby i pełną nazwę pracodawcy (gdy pracodawcą jest osoba fizyczna, należy podać miejsce zamieszkania oraz imię i nazwisko pracodawcy),
  • cel zbierania danych (w tym informację o znanych pracodawcy w czasie udzielania informacji lub przewidywanych odbiorcach albo kategoriach odbiorców danych),
  • prawo dostępu do treści danych oraz ich poprawiania,
  • dobrowolność albo obowiązek podania danych wraz z podstawą prawną takiego obowiązku (w tym przypadku na obowiązek podania danych wskazują odpowiednie przepisy Kodeksu pracy).

Dopełnienie obowiązku informacyjnego powinno nastąpić jeszcze przed zebraniem danych, nie później niż w momencie ich zgromadzenia. W przypadku zbierania danych nie od osoby, której one dotyczą – np. gdy pracodawca korzysta z usług agencji rekrutacyjnej – administrator musi dodatkowo poinformować osobę, bezpośrednio po utrwaleniu zebranych danych, o źródle, z jakiego pozyskał informacje na jej temat.

7. Zapewnij kandydatowi do pracy prawo do kontroli danych

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, w tym prawo do uaktualnienia, uzupełnienia czy też usunięcia tych danych. Uprawnieniom osób, których dane są przetwarzane w zbiorach, ustanowionym w art. 32 uodo, odpowiada obowiązek administratorów danych określony w art. 33 ust. 1 uodo – na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1–5a uodo. W myśl ust. 2 tego przepisu na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie. Złożenie wniosku, zależnie od jego treści, zobowiązuje administratora danych do udzielenia informacji o procesie przetwarzania danych osobowych.

8. Usuń dane po zakończeniu rekrutacji

Po zakończeniu rekrutacji zgromadzone dane powinny być przez pracodawcę usunięte. Nie ma bowiem podstawy do przechowywania ich „na zapas” (chyba że kandydat wyraził uprzednią zgodę na przetwarzanie jego danych osobowych do celów przyszłych rekrutacji prowadzonych przez tego pracodawcę). Zgodnie z zasadą ograniczenia czasowego, dane osobowe mogą być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ust. 1 pkt 4 uodo). Wyjątki od stosowania tej zasady mogą wynikać z przepisów szczególnych, określających dłuższe okresy retencji danych.

9. Zabezpiecz dane osobowe, które gromadzisz

Administrator danych musi dopełnić wynikających z przepisów prawa obowiązków dotyczących odpowiedniego zabezpieczenia gromadzonych danych, także pod kątem technicznym i organizacyjnym. Również podmiot, któremu na podstawie art. 31 uodo powierzono przetwarzanie danych (np. agencja prowadząca rekrutację na zlecenie pracodawcy), musi podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39 uodo.

W zakresie przestrzegania tych przepisów podmiot przetwarzający ponosi odpowiedzialność jak administrator danych. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w zawartej z administratorem danych umowie powierzenia (art. 31 ust. 2 uodo). Administrator ma z kolei możliwość kontroli tego, czy podmiot, któremu powierzył dane, przetwarza je zgodnie z postanowieniami zawartej między nimi umowy.

10. Ostrożnie korzystaj z mediów społecznościowych do pozyskiwania danych o kandydatach

Rozwój społeczeństwa informacyjnego pozwala na „budowanie” swojego wizerunku w sieci. Osoby biorące udział w rekrutacji muszą pamiętać, że mają wpływ na budowanie swojego wizerunku w oczach przyszłego pracodawcy poprzez treści, jakie zamieszczają w Internecie. Z tego względu powinny uważać, jakie informacje na swój temat zamieszczają w mediach społecznościowych i innych ogólnodostępnych źródłach. Coraz częściej zdarza się bowiem, że pracodawcy i agencje rekrutacyjne sięgają do takich informacji – mimo niedopuszczalności ich gromadzenia – co potencjalnie może mieć negatywny wpływ na ocenę kandydata do pracy i prowadzić do profilowania go na podstawie dostępnych w Internecie danych.

Źródło:

GIODO

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.
wiper-pixel