Nowe prawo o ochronie danych osobowych: na co w szczególności powinien zwrócić uwagę pracodawca?

Mirosław Gumularz, specjalista ds. ochrony danych osobowych w eRecruiter
Mirosław Gumularz, specjalista ds. ochrony danych osobowych w eRecruiter
Mirosław Gumularz, specjalista ds. ochrony danych osobowych w eRecruiter
Mirosław Gumularz, specjalista ds. ochrony danych osobowych w eRecruiter

Parlament Europejski w kwietniu tego roku przyjął rozporządzenie wprowadzające nowe prawo o ochronie danych osobowych. Ma ono obowiązywać od maja 2018 roku. To największa w historii reforma tego obszaru. Eksperci eRecruiter podkreślają, że pracodawcy powinni zacząć przygotowania do zmian jak najszybciej, bo nowe regulacje wpłyną na wiele aspektów procesów rekrutacyjnych. Te najważniejsze to: odpowiednia polityka ochrony danych osobowych, dostęp do danych kandydatów i ich przetwarzanie oraz klauzule i zgody wymagane od starających się o pracę.

– Każdy dokument aplikacyjny, który wpłynie do pracodawcy w procesie rekrutacji, już teraz wymaga odpowiedniej troski w zakresie ochrony danych osobowych. Po wprowadzeniu nowego prawa będzie to jeszcze istotniejsze. Zasady ulegną znacznemu zaostrzeniu (np. w zakresie sankcji finansowych), co jest pochodną zachodzących zmian cywilizacyjnych, w tym głównie technologicznych. Żyjemy w czasach, w których prawo do ochrony danych osobowych traktowane jest jako prawo podstawowe. Nowe regulacje mają być gwarancją dla kandydatów do pracy, że ich dane będą bezpieczne. By tak się stało pracodawcy, w tym przede wszystkim przedstawiciele działów HR, IT i prawnych, muszą w ciągu kilkunastu miesięcy, które pozostały do wejścia w życie rozporządzenia, odpowiednio przygotować kadry, infrastrukturę oraz politykę firmową do nowej rzeczywistości w zakresie ochrony danych osobowych. Jest jednak kilka aspektów, którym warto poświęcić uwagę w szczególności. Jednocześnie trzeba pamiętać, iż w zakresie prawa pracy polski ustawodawca może przyjąć regulacje szczególne w odniesieniu do przepisów ogólnego rozporządzenia – podkreśla radca prawny Mirosław Gumularz, specjalista ds. ochrony danych osobowych w eRecruiter.

Po pierwsze, wprowadź jasną politykę bezpieczeństwa danych

Przeglądanie dokumentów aplikacyjnych, ich selekcja czy rozmowy z kandydatami to etapy procesu rekrutacyjnego, nieodłącznie związane z pozyskiwaniem danych osobowych. Ważne jednak, by wszyscy pracownicy firmy mający styczność z tymi danymi, rozumieli tak samo obowiązujące procedury. Ogólne rozporządzenie o ochronie danych nakłada na administratora danych (np. rekrutującego pracodawcę) obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z prawem i aby móc to wykazać. Środki te powinny być poddawane przeglądom i uaktualniane. Administrator powinien wziąć przy tym pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Jednocześnie rozporządzenie wskazuje, iż obejmuje to wdrożenie przez administratora odpowiednich polityk ochrony danych.

W tym celu warto m.in. organizować regularne szkolenia z zakresu ochrony danych osobowych lub spisać odpowiednie zasady. Dzięki temu każdy dowie się, jakie obowiązują zasady m.in. związane z przechowywaniem CV, wykorzystywaniem informacji zawartych w życiorysach do kolejnych procesów rekrutacyjnych czy udzielaniem zgody przez kandydatów na przetwarzanie ich danych.

Po drugie, zapewnij dostęp do danych osobowych kandydatów tylko upoważnionym

Dane osobowe kandydata będą bezpieczne tylko wtedy, gdy dostęp do nich mają osoby wiedzące, jak się z nimi obchodzić. Jeżeli firma posiada odpowiedni system do rekrutacji, taki jak eRecruiter, sprawa jest łatwa. Na platformie wgląd do danych przyznaje się bowiem tylko tym osobom, które są zaangażowane w dany proces rekrutacyjny. Dodatkowo, dostęp jest zabezpieczony odpowiednim hasłem. Istnieje też możliwość dodawania lub usuwania uprawnień. Jeżeli natomiast firma przechowuje CV na skrzynkach mailowych, trzeba wdrożyć procedury, które zapewnią bezpieczeństwo tych danych.

Po trzecie, przygotuj się na kontrolę GIODO

Na wypadek kontroli GIODO musimy mieć pewność, że przedstawimy klauzule informacyjne i zgody, jakie zostały wykorzystane do danego procesu rekrutacyjnego, oraz czy nasza baza danych osobowych jest odpowiednio chroniona (np. poprzez zastosowany mechanizm szyfrowania). Jest to znacznie łatwiejsze, gdy posiadamy odpowiedni system do rekrutacji. Przykładowo w eRecruiter automatycznie gromadzone są informacje o tym, jakie otrzymał kandydat. Platforma udostępnia także gotowe wzory klauzul informacyjnych oraz zgód przygotowane przez ekspertów a także umożliwia tworzenie własnych. Dlaczego to takie istotne? Po wprowadzeniu nowego prawa, stwierdzone naruszenie zasad ochrony danych osobowych może oznaczać poważne konsekwencje. Najbardziej dotkliwe będą te finansowe. Odpowiednia instytucja, jaką w Polsce jest GIODO, będzie uprawniona do nakładania administracyjnych kar pieniężnych. Pracodawca, który naruszy prywatność aplikującej osoby, może zostać zobligowany do zapłacenia grzywny nawet w wysokości 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.

– Mechanizm informacyjny w rozporządzeniu to nic nowego. Warto jednak w firmie wdrożyć taki system, który będzie umożliwiał łatwo i szybko wykazać, jakie informacje (i ewentualnie zgody) dotyczą danego kandydata – podsumowuje radca prawny Mirosław Gumularz.