GDPR in HR: ce trebuie sa stii cand recrutezi

Cum facem recrutarea?

Ca organizatie ai doua modalitati clasice de a face recrutarea: fie o faci (a) intern, prin intermediul unor oameni dedicati acestui proces full-time sau part-time, (b) extern, atunci cand apelezi la (b1) firme de recrutare sau (b2) site-uri dedicate gasirii candidatilor.

Ce calitate ai?

Daca iti faci recrutarea in mod intern, atunci esti operator de date cu caracter personal, care implica anumite obligatii pe GDPR, acesta fiind ”persoana fizica sau juridica, autoritatea publica, agentia sau alt organism care, singur sau impreuna cu altele, stabileste scopurile si mijloacele de prelucrare a datelor cu caracter personal; atunci cand scopurile si mijloacele prelucrarii sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevazute in dreptul Uniunii sau in dreptul intern”.

Daca iti faci recrutarea in mod extern, se pune intrebarea legitima ce calitate au ”solutiile” cu care lucrezi: (a) de operator asociat sau (b) de persoana imputernicita.

Raspunsul este: depinde.

Daca ne uitam pe platformele de recrutare existente la noi pe piata, vom vedea ca toti au scris in politica lor de confidentialitate (desi mai degraba ar fi trebuit o politica de prelucrare a datelor cu caracter personal) ca sunt persoane imputernicite prin relatie cu mandatul acordat de companie. Din perspectiva noastra, lucrurile nu stau chiar asa: ar trebui ca prin relatie cu candidatii care se inscriu pe respectivele platforme sa aiba calitatea de operator de date cu caracter personal, intrucat aceste platforme decid exact ce date sa ceara, in ce maniera le cer si pentru ce le cer. Din perspectiva relatiei companie care cauta candidati vs. o platforma de recrutare, cel mai corect ar fi sa consideram aceste platforme ca fiind operatori asociati, iar nicidecum persoane imputernicite, insa aceasta dezbatere va face obiectul unei alte postari, unde vom detalia si implicatiile.

Cu toate astea, este important de la bun inceput sa iti setezi calitatea prin raportare la candidati, indiferent ca esti operator, operator asociat sau persoana imputernicita conform GDPR.

Cum afecteaza regulamentul GDPR recrutarea?

• Aveti nevoie de un interes legitim pentru a prelucra datele candidatului - sa ii spuneti exact de ce prelucrati datele, in ce scop, pentru ce perioada le tineti si ce faceti cu ele.
• Trebuie sa aveti consimtamantul candidatilor pentru a procesa date sensibile, precum date de sanatate, opinii, viziuni politice, date biometrice etc.
• Trebuie sa fiti transparent in privinta procesarii datelor candidatului, adica sa ii spuneti foarte clar ce faceti cu datele lor personale, in scop le prelucrati, daca le transferati catre altcineva sau nu etc.
• Trebuie sa va asumati responsabilitatea pentru conformitate, adica sa demonstrati ca sunteti conformi cu GDPR.

De asemenea, si ca vrem si ca nu vrem, trebuie sa ne conformam atunci cand candidatii isi exercita drepturile in temeiul Regulamentului GDPR, cele mai importante fiind:

• Candidatii au dreptul de a fi uitati. Candidatii au dreptul sa va ceara sa stergeti si sa opriti prelucrarea datelor cu caracter personal ale acestora si trebuie sa localizati datele si sa le stergeti in maxim o luna de la primirea cererii (ca regula).
• Candidatii au dreptul sa acceseze datele lor si sa va ceara sa le rectificati. Candidatii au dreptul sa ceara acces la datele pe care le detineti despre ei si sa va ceara sa le modificati daca sunt incomplete sau inexacte (poate ca o persoana s-a casatorit si nu mai are acelasi nume sau dintr-o eroare a scris ca a absolvit facultatea in alt an).

Ce ar trebui sa faca angajatorii pentru a fi conformi cu GDPR?

Pasul 1: Cartografiatia (mapati) datele personale ale candidatilor

Pe romaneste, trebuie sa faceti un audit al datelor personale pe care le prelucrati in cadrul companiei si care privesc procesul de recrutare (fluxuri, ce tipuri de date sunt, care sunt persoanele vizate, unde sunt stocate, pe ce perioada, cine are acces la ele etc.).

Pasul 2: Creati o politica de confidentialitate si prelucrare a datelor in cadrul procesului de recrutare

Ne place sau nu, GDPR inseamna mult scris - care vine cu o responsabilitate. Politica de confidentialitate (de fapt de privacy mai exact), precum si politica de prelucrare a datelor cu caracter personal trebuie sa fie scrise in linie cu principiile companiei - nu luate copy-paste de pe alte site-uri. Prin asemenea politici aduceti la cunostinta candidatilor respectul vostru fata de drepturile si datele lor personale, ceea ce pe termen lung se va traduce intr-o incredere pe care vi-o acorda atat candidatii, cat si alte firme de recrutare.

Pe langa asta, conform GDPR trebuie sa notificam candidatii de la bun inceput ca le prelucram niste date, ceea ce o se face printr-o notificare, care trebuie sa contina:

• Numele si datele de contact ale organizatiei dvs.
• Datele de contact ale DPO (daca aveti)
• O declaratie conform careia toate datele solicitate vor fi utilizate numai in scopuri de recrutare.
• Cu cine veti imparti datele.
• Unde gasiti datele despre candidati.
• Unde se face prelucrarea si unde stocati datele.
• Cat timp organizatia dvs. intentioneaza sa stocheze datele fiecarui candidat.
• Drepturile candidatilor.
• Instructiuni privind modul in care candidatii pot lua masuri privind prelucrarea datelor lor personale.
• Cum protejati datele candidatului.
• Cum recrutam pe online?
• Raspunsul este: cu grija.

Contrar opiniilor si zvonurilor care circula pe internet, putem recruta in continuare candidati pe care ii gasim in spatiul public, cum ar fi pe LinkedIn sau Facebook, cu conditia ca putem banui, in mod rezonabil, ca acel candidat se asteapta sa fie contactat (de exemplu are optiunea bifata in acest sens pe LinkedIn sau a postat anunturi ca isi doreste schimbarea locului de munca).

Ce ar trebui sa avem in vedere cand vrem sa recrutam pe online?

Chiar sa contactam acei candidati, adica nu doar sa facem o baza de date pe care sa o avem sa fie acolo.

• Sa contactam candidatii cat mai repede cu putinta, nu sa ii bagam in baza de date in ianuarie si sa ii contactam in septembrie, ca deja e un timp prea mare pentru a spune ca suntem in cautarea unei persoane pentru un anumit loc de munca liber.
• Sa colectam doar datele de care avem nevoie (este oricum un principiu general al GDPR - de ce sa prelucram mai multe date decat folosim?).

Creati un template de text pe care sa il adaugati la emailurile de prospectare. Daca aveti o politica specifica de recrutare, puteti furniza denumirea si datele de contactele ale organizatiei, sa spuneti ca intentionati sa pastrati datele doar pentru procesul de recrutare si sa oferiti un link catre politica de confidentialitate si de prelucrare a datelor pentru restul de informatii necesare. Acest template ar trebui sa includa oricum toate informatiile regasite in notificarea de mai sus.

Avem intotdeauna nevoie de consimtamant?

Ei bine, am raspuns la aceasta dilema aici, iar pe scurt raspunsul este ca nu, poti merge pe interes legitim (e chiar recomandat, doar ca trebuie depus un efort mai mare pentru a documenta acest interes si a demonstra ca interesele companiei sunt mai mari decat eventualele interese lezate ale persoanei vizate).

Cu toate astea, pentru datele sensibile ai nevoie de consimtamant din partea candidatului, iar aici iti explicam cum sa obtii un consimtamant valabil ca sa nu ai probleme pe mai departe.

Ce facem daca nu luam un candidat acum, dar vrem sa il tinem in baza de date pentru viitor?

Simplu: aduceti la zi emailurile de respingere, prin care:

• Explicati candidatului de ce vreti sa ii stocati datele;
• Mentionati cat timp vreti sa le stocati datele;
• Oferiti link catre politicile de confidentialitate si prelucrare a datelor personale;
• Informati candidatii ca va pot cere sa le stergeti datele in orice moment.

Am baze de date vechi, de ani de zile. Ce fac cu ele?

Le revizuiti, le aduceti la zi si stergeti din proprie initiativa candidatii care sunt acolo de cativa ani buni - doar nu o sa ii mai recrutati dupa doi ani - majoritatea lor deja au alt loc de munca sau poate nici macar nu mai lucreaza in domeniu. Pana la urma toate companiile isi doresc o baza de date cat mai actuala si mai recenta, de care sa se foloseasca cu succes cand are nevoie.

Fiti pregatiti sa raspundeti cererilor din partea candidatilor

Dupa cum afirmam in nenumarate randuri, GDPR vine sa responsabilizeze companiile si sa ofere drepturi de protectie persoanelor vizate cu privire la datele lor personale. De aceea trebuie sa fiti in orice moment pregatiti sa implementati masuri tehnice care sa:

• Permita candidatilor sa acceseze datele lor personale la cerere.
• Stearga datele personale ale candidatilor sau sa restrictioneze prelucrarea la cererea lor.
• Permita rectificarea datelor candidatilor.
• Permita candidatilor sa-si retraga consimtamantul (in cazul in care ati decis sa utilizati consimtamantul pentru prelucrare).
• Lucrez cu firme de recrutare/site-uri. Ce fac?
• Va asigurati ca respecta politicile si cerintele GDPR.

Nu uitati: Asigurati-va ca transmiteti aceste informatii candidatilor in mod clar si inteligibil pe website si/sau termeni si conditii.

Materialul in detaliu poate fi gasit aici

Calculator Salariu: Află câți bani primești în mână în funcție de salariul brut »

Te-ar putea interesa și: