W czasach, kiedy Internet pełni funkcję podstawowego środka komunikacji i wymiany informacji, bezpieczeństwo danych staje się obecnie sporym wyzwaniem dla firm. Nie zawsze jednak dotyczy to obszaru rekrutacji. Trudno o poufność danych kandydatów do pracy, jeśli CV czy listy motywacyjne przechowywane są w segregatorach na półce lub w ogólnej skrzynce e-mail, do której dostęp mają różne osoby z firmy. Eksperci eRecruiter podpowiadają, jak pracodawca powinien postępować z dokumentami aplikacyjnymi.
– Rozpoczynamy proces rekrutacyjny, otrzymujemy wiele życiorysów, część z nich drukujemy, część pozostawiamy w skrzynce mailowej, organizujemy rozmowy kwalifikacyjne i w końcu zatrudniamy wybranego kandydata. Warto pamiętać, że osoba zarządzająca rekrutacją na każdym jej etapie powinna wykazać szczególną dbałość o to, żeby dane osobowe kandydatów były odpowiednio przetwarzane, a po zakończeniu procesu naboru, aby nie dostały się w niepowołane ręce – radzi Anna Kamińska, menedżer działu prawnego eRecruiter.
Warto zacząć od analizy sytuacji oraz określenia obszarów, które mogą stanowić najpoważniejsze zagrożenie dla przetwarzania powierzanych nam danych.
Rada nr 1: zgoda na przetwarzanie danych osobowych nie jest konieczna
Rekruterzy bardzo często mają wątpliwość dotyczącą przetwarzania danych osobowych z CV, w którym nie zamieszczono zgody na przetwarzanie danych osobowych. Wbrew powszechnej opinii z przepisów prawa wynika, że firma będąca przyszłym pracodawcą przetwarza dane kandydata na podstawie przepisów prawa, a nie na podstawie zgody kandydata. Kwestię tę w sposób wyraźny regulują: art. 221 Kodeksu pracy, Rozporządzenie Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. Przepisy te wymagają jednak również, aby przyszły pracodawca przetwarzał wyłącznie takie dane osobowe kandydata, jakie zostały w przepisach wskazane. Tak więc żądanie od kandydata, aby wyraził pracodawcy „zgodę” na przetwarzanie swoich danych osobowych, jest praktyką niemającą uzasadnienia w obowiązujących w Polsce przepisach.
Rada nr 2: kandydat musi wiedzieć, kto jest administratorem danych
Każdy pracodawca, który rozpoczyna proces rekrutacji, powinien mieć świadomość, że w momencie otrzymania dokumentów aplikacyjnych nadesłanych w odpowiedzi na ogłoszenie o pracę, staje się administratorem danych osobowych kandydatów. Gromadząc je zgodnie z przepisami ustawy o ochronie danych osobowych jest zobowiązany do poinformowania kandydatów o podstawowych faktach związanych z przetwarzaniem ich danych osobowych. Aplikujący kandydat powinien otrzymać od firmy będącej administratorem danych osobowych m.in. takie informacje jak pełna nazwa firmy oraz adres jej siedziby, cel zbierania danych osobowych czy informacja o podmiotach, którym administrator danych ewentualnie zamierza udostępnić dane osobowe kandydata. – Obowiązek ten dotyczy wszystkich pracodawców bez względu na formę ogłoszenia, również tych prowadzących rekrutacje za pomocą tzw. ogłoszeń ukrytych – podkreśla Anna Kamińska, menedżer działu prawnego eRecruiter.
Rada nr 3: nie ma obowiązku zgłaszania bazy kandydatów do GIODO
Obowiązek rejestracji zbiorów danych osobowych nie dotyczy pracodawców. Zgodnie z art. 43 ust. 1 punkt 4 ustawy o ochronie danych osobowych z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich oraz świadczeniem im usług na podstawie umów cywilnoprawnych. Zgodnie ze stanowiskiem Generalnego Inspektora Ochrony Danych Osobowych do takich danych należą również dane kandydatów. Odstępstwo to nie dotyczy sytuacji, gdy administratorem danych jest podmiot inny niż pracodawca, np. agencja zatrudnienia.
Rada nr 4: konieczna zgoda kandydata na ponowne wykorzystanie aplikacji
Pracodawca może ponownie wykorzystać zgromadzone dokumenty aplikacyjne do innych procesów rekrutacyjnych pod warunkiem, że kandydat został o tym wcześniej powiadomiony i wyraził na to zgodę. Informację na ten temat najlepiej zamieścić w treści tzw. klauzuli informacyjnej, czyli zestawie informacji dotyczących przetwarzania danych osobowych kandydata, jakie należy przedstawić kandydatowi na podstawie art. 24 ustawy o ochronie danych osobowych. Jeżeli firma chce przetwarzać dane osobowe zawarte w CV kandydata także przy innych rekrutacjach, to znajdująca się w takiej klauzuli informacja dotycząca „celu zbierania danych” musi zawierać wyraźne stwierdzenie, że dane osobowe kandydatów mogą być przez firmę przetwarzane na potrzeby przyszłych procesów rekrutacyjnych. Zgoda na udział w przyszłych rekrutacjach może być przez kandydata udzielona zarówno pisemnie, jak i ustnie, np. w rozmowie z rekruterem.
Rada nr 5: dokumenty drukowane najlepiej zniszczyć
W czasie trwania procesu rekrutacyjnego materiały drukowane należy przechowywać w zamkniętych szafkach, do których nie mają dostępu osoby trzecie, nie zaangażowane w rekrutację. Jeżeli natomiast rekruter posiada dokumenty, których już nie będzie potrzebować z uwagi na zakończony proces naboru pracowników, należy je w odpowiedni sposób zniszczyć. Nie wystarczy tylko podrzeć CV czy listu motywacyjnego na kilka części i wyrzucić do kosza, ponieważ nie ma wtedy pewności, że dane osobowe kandydatów nie zostaną odczytane. Dokumenty rekrutacyjne, bez wyjątku, należy utylizować w niszczarce. Takie działanie uchroni przed wykorzystaniem tych materiałów przez niepowołane osoby.
Rada nr 6: należy zapewnić odpowiednią ochronę dokumentacji online
Jeżeli chodzi o dokumenty aplikacyjne w wersji elektronicznej, należy zwrócić uwagę na kilka ważnych aspektów. Aby zapewnić im maksymalną ochronę, warto w pierwszej kolejności odpowiedzieć sobie na kilka pytań: kto ma dostęp do skrzynki e-mail, w której gromadzone są CV kandydatów, co się dzieje z aplikacjami, które przesyłane są do kierowników działów poszukujących osób do swoich zespołów, czy nasz komputer jest odpowiednio zabezpieczony przed wirusami i atakiem hakerskim. Należy także zastanowić się, czy inne osoby mają dostęp do naszego komputera i skrzynki online, na przykład administratorzy firmy czy osoby nas zastępujące podczas naszego wyjazdu urlopowego. – Wszystkie te sytuacje w rzeczywistości stanowią potencjalne zagrożenie dla bezpieczeństwa danych osobowych naszych kandydatów. Warto dokładnie prześledzić proces dostępu do danych w firmie i opracować odpowiednie procedury, a także zwrócić uwagę na ochronę danych osobowych pracownikom spoza działu rekrutacji. Kierownicy poszczególnych działów niekoniecznie muszą bowiem pamiętać, że powinni usuwać dane kandydatów ze swoich komputerów – mówi Anna Kamińska, menedżer działu prawnego eRecruiter.
Rada nr 7: warto zatrudnić „ochroniarza” danych osobowych
Aby mieć pewność, że elektroniczne dane naszych kandydatów są bezpieczne warto pomyśleć o skorzystaniu z narzędzia będącego swoistym „ochroniarzem danych”, czyli wdrożyć profesjonalne narzędzie do zarządzania procesami rekrutacyjnymi. Dzięki tego rodzaju rozwiązaniom można mieć pewność, że zbieranie i przechowywanie danych będzie odbywało się zgodnie z obowiązującymi przepisami regulującymi ochronę danych osobowych. Na przykład aplikacja eRecruiter chroni dane osobowe wszystkimi środkami technicznymi i organizacyjnymi wymaganymi obowiązującymi przepisami prawnymi. W praktyce wygląda to tak, że tego rodzaju program jest szyfrowany podobnie jak internetowe konta bankowe, ma także wdrożoną specjalną politykę haseł i gwarantuje bezpieczeństwo zbieranych danych kandydatów poprzez m.in. połączenie szyfrowane SSL.
Prowadzając rekrutacje w firmie, poza odpowiednim zorganizowaniem samego procesu i zatrudnieniem wybranego kandydata, należy zadbać o odpowiednie bezpieczeństwo gromadzonych danych osobowych kandydatów. Pracodawca powinien dopełnić wszystkich, ciążących na nim obowiązków, aby wrażliwe dane nigdy nie dostały się w niepowołane ręce. Bowiem konsekwencje ich niedopełnienia mogą być dla firmy bardzo dotkliwe.