Życiorys i list motywacyjny tylko w powołanych rękach

W czasach, kiedy internet pełni funkcję podstawowego środka komunikacji i wymiany informacji, bezpieczeństwo danych to prawdziwe wyzwanie dla firm. Trudno jednak zapewnić poufność danych i dokumentów, jeśli przechowuje się je w segregatorach na półce lub w ogólnej skrzynce mejlowej, do której dostęp mają różne osoby. Jakie są najpoważniejsze zagrożenia w obszarze przetwarzania danych osobowych kandydatów do pracy?

Zniszcz i zapomnij

W czasie procesu rekrutacyjnego materiały należy przechowywać w zamkniętych szafkach, do których nie mają dostępu osoby trzecie, niezaangażowane w nabór. W praktyce jednak rekruterzy często nie odkładają papierów na miejsce i w natłoku codziennych zadań pozostawiają je w łatwo dostępnym miejscu, np. na biurku.

Jeżeli pracodawca czy firma rekrutująca ma dokumenty, których już nie potrzebuje, bo nabór już się skończył, trzeba je w odpowiedni sposób zniszczyć. Nie wystarczy podrzeć na kilka kawałków CV czy listu motywacyjnego aplikującego i wyrzucić do kosza na śmieci. Nie ma wówczas pewności, że dane kandydatów nie zostaną odczytane przez osoby trzecie. Bez wyjątku dokumenty rekrutacyjne trzeba utylizować w niszczarce. Uchroni to przed ich wykorzystaniem przez niepowołane osoby.

Poufność w online

Maksymalną ochronę trzeba też zapewnić dokumentom aplikacyjnym w wersji elektronicznej. W pierwszej kolejności pracodawca lub rekruter ustala, kto ma dostęp do skrzynki mejlowej, w której gromadzone są życiorysy kandydatów, co się dzieje z aplikacjami, które przesyłane są kierownikom działów poszukujących osób do zespołów. Ważne jest też, aby komputer był odpowiednio zabezpieczony przed wirusami i atakiem hakerskim oraz ustalenie miejsca, w którym trzymane są zapasowe kopie materiałów rekrutacyjnych. Należy także określić, kto poza osobami zaangażowanymi w proces rekrutacyjny może mieć dostęp do komputera specjalisty ds. HR i jego skrzynki online, np. administrator czy zastępcy podczas urlopu. Wszystkie te sytuacje potencjalnie zagrażają bezpieczeństwu danych kandydatów. Rekruter musi więc dokładnie prześledzić proces dostępu do nich w firmie i opracować odpowiednie procedury, a także zwrócić uwagę pracownikom spoza działu rekrutacji na ochronę danych. Szefowie działów niekoniecznie pamiętają o usuwaniu informacji o kandydatach ze swoich komputerów.

Ochroniarz czuwa

Aby mieć pewność, że elektroniczny zasób wiedzy o zgłaszających się do pracy jest bezpieczny, warto wdrożyć profesjonalne narzędzie do zarządzania procesami rekrutacyjnymi, które m.in. pełni rolę tzw. ochroniarza danych. Dzięki temu zbieranie i przechowywanie informacji odbywa się zgodnie z przepisami regulującymi ochronę danych osobowych.

Warto korzystać z takich aplikacji, które poza kompleksowym wsparciem w przeprowadzeniu procesu rekrutacyjnego pomagają chronić dane osobowe wszystkimi środkami technicznymi i organizacyjnymi wymaganymi ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. DzU z 2014 r., poz. 1182, dalej ustawa) oraz rozporządzeniem ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024). Taki program jest szyfrowany podobnie jak internetowe konta bankowe. Ma także wdrożoną specjalną politykę haseł i gwarantuje bezpieczeństwo zbieranych danych kandydatów przez m.in. połączenie szyfrowane SSL.

Największe wątpliwości

Pierwsze pytanie, które najczęściej zadają przedstawiciele działów HR, dotyczy zgłaszania bazy kandydatów do pracy generalnemu inspektorowi ochrony danych osobowych. Obowiązek rejestracji zbiorów danych osobowych, który co do zasady spoczywa na administratorze danych, nie dotyczy pracodawców. W myśl art. 43 ust. 1 punkt 4 ustawy z wymogu rejestracji zbioru są zwolnieni administratorzy danych przetwarzanych w związku z zatrudnieniem u nich oraz świadczeniem im usług na podstawie umów cywilnoprawnych. Zgodnie ze stanowiskiem GIODO do takich danych należą też dane kandydatów. Odstępstwo to nie dotyczy również sytuacji, gdy administratorem danych jest podmiot inny niż pracodawca, np. agencja zatrudnienia.

Druga wątpliwość rekrutów wiąże się z ponownym wykorzystaniem zgromadzonych aplikacji kandydatów do innych procesów rekrutacyjnych. Tu odpowiedź jest pozytywna, pod warunkiem że kandydat został o tym wcześniej powiadomiony i wyraził na to zgodę. Informację na ten temat najlepiej zamieścić w tzw. klauzuli informacyjnej, czyli zestawie wiadomości dotyczących przetwarzania danych osobowych aplikującego, jakie przedstawia on na podstawie art. 24 ustawy.

Jeżeli firma chce przetwarzać dane osobowe zawarte w CV kandydata także przy innych naborach, to informacja z klauzuli o „celu zbierania danych" musi wyraźnie stwierdzać, że dane kandydatów mogą być przez firmę przetwarzane na potrzeby przyszłych rekrutacji. Zgody na udział w tych procesach kandydat może udzielić zarówno pisemnie, jak i ustnie, np. w rozmowie kwalifikacyjnej.

Rekruterzy pytają też o przetwarzanie danych z CV, w którym nie zamieszczono zgody na takie działania. Wbrew powszechnej opinii z przepisów wynika, że firma będąca przyszłym pracodawcą przetwarza dane kandydata na podstawie prawa, a nie na podstawie zgody kandydata. Wyraźnie regulują to:

- art. 221 kodeksu pracy,

- rozporządzenie ministra pracy i polityki socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (DzU nr 62, poz. 286), a często też

- przepisy szczegółowe dotyczące procesów rekrutacyjno-kadrowych w określonym sektorze gospodarki czy biznesu.

Z regulacji tych wynika także, że przyszłemu szefowi wolno przetwarzać wyłącznie takie dane osobowe kandydata, jakie zostały w nich wskazane. Zatem wymaganie od osoby aplikującej, aby wyraziła pracodawcy zgodę na przetwarzanie swoich danych osobowych, to praktyka nieuzasadniona przepisami i sądy mogą ją uznać za naruszenie prawa.

Zdaniem autorki

Anna Kamińska, menedżer działu prawnego eRecruiter

Kandydat zna administratora

Pracodawca, który rozpoczyna rekrutację, w chwili otrzymania dokumentów nadesłanych w odpowiedzi na ogłoszenie o pracę staje się administratorem danych osobowych kandydatów. Gromadząc je zgodnie z ustawą, musi powiadomić aplikujących o podstawowych faktach związanych z przetwarzaniem ich danych osobowych. Obowiązek ten dotyczy wszystkich pracodawców bez względu na formę ogłoszenia i reguluje to art. 24 ustawy. Obejmuje także firmy prowadzące rekrutacje za pomocą tzw. ogłoszeń ukrytych.

Od pracodawcy – administratora danych osobowych aplikujący powinien uzyskać m.in. następujące informacje: