Rekrutacja zgodna z RODO, czyli co zamieścić w swoim CV?
RODO wiele zmieniło w przepisach dotyczących przetwarzania danych, jednak były to zmiany absolutnie konieczne. Od 25 maja 2018 roku – od momentu kiedy nowe przepisy weszły w życie – działy HR musiały nieco zmienić swoją politykę dotyczącą rekrutacji. Sprawdź, które ze zmian Cię bezpośrednio dotyczą.
Jakie dane osobowe można gromadzić podczas rekrutacji zgodnie z RODO?
RODO wymaga działań związanych z przetwarzaniem danych osobowych zgodnie z zasadą adekwatności. Oznacza to, że podczas rekrutacji można gromadzić te dane kandydatów, które są absolutnie niezbędne do przeprowadzenia procesu rekrutacji. Zakres tego typu danych osobowych reguluje art. 22 Kodeksu Pracy – są to:
- imię i nazwisko,
- imiona rodziców,
- data urodzenia,
- miejsce zamieszkania,
- wykształcenie,
- przebieg dotychczasowego zatrudnienia.
I nic więcej. Jedynie w uzasadnionych przypadkach pracodawca może żądać zaświadczenia o niekaralności, jeżeli takie uprawnienie wynika z przepisów prawa. Chociażby w przypadku naboru pracowników do służby cywilnej.
Zdarza się, że w kolejnych etapach rekrutacji przeprowadzane są testy psychologiczne. Ich celem jest określenie predyspozycji danej osoby, a także cech, które dla pracodawcy są kluczowe na konkretnym stanowisku. Pracodawca jest zobowiązany poprosić daną osobę o złożenie oświadczenia, wypełnienie kwestionariusza albo testu zdolności tylko wtedy, gdy nie narusza to jej praw osobistych, a informacje, jakie zostaną w ten sposób pozyskane, są istotne odnośnie nawiązania współpracy. Musi także poinformować kandydata o celu testu oraz charakterze pytań. Kandydat musi być również powiadomiony o imieniu i nazwisku osoby, która będzie analizowała dany test czy kwestionariusz. Po analizie testu mierzącego całość osobowości, wyniki powinny zostać udostępnione danej osobie, której test dotyczył. Osoba ta ma prawo ostatecznie zdecydować, czy dane wyniki mogą być przekazane osobie / osobom, które prowadzą całą procedurę rekrutacyjną. W przypadku testu sprawdzającego jedynie zdolności pracownika zgoda taka nie musi być uzyskiwana.
Jaką klauzulę powinieneś zamieścić by potwierdzić zgodę na przetwarzanie danych osobowych w procesie rekrutacji?
Każda osoba przesyłająca swoje CV do potencjalnego pracodawcy powinna zamieścić w nim zgodę na przetwarzanie przez niego swoich danych w procesie rekrutacyjnym. Taka klauzula może brzmieć następująco:
„Wyrażam zgodę na przetwarzanie moich danych osobowych przez firmę X w celu rekrutacji zgodnie z art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)”.
Jeżeli chcesz udostępnić swoje CV danej firmie również na potrzeby ponownych rekrutacji, do ponownego wykorzystania, musisz zawrzeć w dokumencie również dodatkową klauzulę o treści:
„Wyrażam zgodę na wykorzystanie mojego CV w przyszłych procesach rekrutacyjnych organizowanych przez firmę X.”
RODO a zdjęcie w CV
Katalog danych, które są wymienione w Kodeksie Pracy, nie zawiera wizerunku kandydata. By legalnie pozyskać wizerunek kandydata, należy zdobyć od niego dobrowolną zgodę, która będzie spełniała ogólne wymagania RODO w tym zakresie.
Często pracodawcy, jako jeden z kluczowych warunków do spełnienia, wyznaczają zamieszczenie zdjęcia w CV. Zdarza się też, że system wykorzystywany w procesie rekrutacyjnym nie przepuszcza CV bez załączonego zdjęcia. Od momentu wejścia w życie nowych przepisów taka praktyka jest niezgodna z prawem. Brak możliwości złożenia CV bez zdjęcia może być uznany za przejaw niekorzystnego traktowania i dyskryminacji.
Jak pracodawcy będą przechowywali dokumentu rekrutacyjne?
Dokumenty rekrutacyjne (CV, listy motywacyjne i listy referencyjne) mogą być przez pracodawcę przeglądane i selekcjonowane w celu wyboru kandydatów. Pracodawca jest natomiast zobowiązany do zachowania organizacyjnych, technicznych oraz fizycznych środków ochrony danych osobowych, które są zawarte w takich dokumentach. Dostęp do danych osobowych kandydatów powinny mieć osoby wyłącznie do tego upoważnione. Same dokumenty muszą być należycie chronione, na przykład dzięki umieszczaniu ich w metalowych szafach zamykanych na klucz. Jeśli kandydat nie zawarł w CV dodatkowej klauzuli umożliwiającej ponowne wykorzystanie dokumentu w przyszłych procesach rekrutacyjnych, wtedy takie wydrukowane CV należy skutecznie zniszczyć. W przypadku zaś elektronicznego obiegu dokumentów pracodawca jest zobowiązany zapewnić bezpieczny ich obieg, tak by trafiały one wyłącznie do osób upoważnionych. Wiadomości mailowe, które zawierają dane osobowe, powinny być szyfrowane, natomiast hasło umożliwiające odszyfrowanie dokumentów powinno być przesyłane innym kanałem komunikacyjnym.