Nawet w przypadku gdy przedsiębiorstwo nie zajmuje się przetwarzaniem danych na dużą skalę, podczas prowadzenia procesu rekrutacji musi pamiętać o rozporządzeniu RODO.
Zgoda na przetwarzanie danych
Zgoda kandydata na przetwarzanie danych osobowych powinna być udzielona już w momencie składania dokumentów aplikacyjnych, przy czym istotne jest aby była ona spersonalizowana, czyli odnosiła się do konkretnego administratora danych. Częstym błędem jest generalne formułowanie klauzuli. Zgodnie z przepisami, nie jest ona wtedy ważna i należy zadbać aby kandydat ponownie przesłał lub podpisał klauzulę o właściwej treści. Jednym z ważniejszych problemów do rozstrzygnięcia w tym momencie jest to, czy kandydat zgadza się na udział tylko w danej, pojedynczej rekrutacji, czy też jego dane mogą być przechowywane przez dłuższy czas i wykorzystywane w kolejnych procesach rekrutacyjnych.
Personalizacja zgody na przetwarzanie danych ma jedną istotną konsekwencję. Ponieważ kandydat powinien wiedzieć, jaki podmiot jest administratorem jego danych osobowych, nie można prowadzić rekrutacji ukrytych – czyli takich, podczas których kandydat nie wie, kto ma być jego pracodawcą. Teoretycznie można tę zasadę ominąć w wypadku gdy administratorem danych będzie wyspecjalizowana firma rekrutacyjna. Jednak komplikuje to procedurę. Wtedy cały proces związany z udzielaniem zgody należy powtórzyć przed przekazaniem danych kandydata potencjalnemu pracodawcy.
Jakie dane można przechowywać
Katalog danych, jakie pracodawca ma prawo przechowywać i przetwarzać jest ściśle określony. Mogą to być: imię i nazwisko, data urodzenia, adres, dane kontaktowe, wykształcenie oraz informacje o przebiegu dotychczasowego zatrudnienia.
Przechowywanie danych wrażliwych wbrew przepisom jest dość istotnym naruszeniem, przy czym problem jest istotny, gdyż kandydaci często sami tego rodzaju dane przesyłają w dokumentach. Pracodawca, po otrzymaniu, powinien je usunąć i poinformować o tym kandydata.
Klauzula informacyjna
Kolejnym, istotnym zagadnieniem dotyczącym pracodawcy w związku z rozporządzeniem RODO jest tak zwany obowiązek informacyjny. W odpowiedzi na swoją aplikację kandydat powinien otrzymać klauzulę informującą o obowiązkach pracodawcy oraz prawach kandydata związanych z rozporządzeniem RODO. Klauzula musi zawierać między innymi informacje o celu przetwarzania danych, prawie dostępu, okresie przechowywania, prawie do poprawiania i usunięcia oraz ewentualnym przekazywaniu ich osobom trzecim.
Klauzula informacyjna powinna być odesłana natychmiast, najlepiej automatycznie, po otrzymaniu od klienta dokumentów aplikacyjnych pocztą elektroniczną. W przypadku gdy kandydat dostarcza dokumenty osobiście, powinien od razu otrzymać do podpisania klauzulę informacyjną.
Danym należy zapewnić odpowiedni poziom bezpieczeństwa
Przechowywanym danym należy zapewnić właściwy poziom bezpieczeństwa. W przypadku danych informatycznych powinny być to szyfrowane nośniki danych. Dobrym pomysłem jest ograniczenie ilości miejsc, w jakich dane są przechowywane. Dane powinny być łatwo dostępne, na przykład w sytuacji gdy kandydat poprosi o ich usunięcie.
Lepiej uważać
W sposób szczególny karami są zagrożeni pracodawcy, którzy nie prowadzą rejestru przetwarzania lub nie informują organu nadzorującego o naruszeniach. Kara może wynieść 10 milionów euro lub 2% rocznego, światowego obrotu. 20 milionów euro i 4% rocznego światowego obrotu to kara między innymi za naruszenie praw związanych z udzieleniem zgody, przechowywaniem, przekazywaniem, dostępem lub prawem do usunięcia, a także brak współpracy z organem nadzorującym.