Nowe przepisy, które wejdą w maju 2018 roku wpłyną na wiele aspektów procesów rekrutacyjnych, w tym na te, w których firmy pozyskują kandydatów przez polecenia rekrutacyjne. Pracodawca gromadząc w czasie trwania procesu rekrutacyjnego aplikacje kandydatów staje się administratorem danych osobowych. Zanim z nich skorzysta, musi wypełnić szereg obowiązków informacyjnych. Reguluje to ustawa o ochronie danych osobowych z 1997 roku, która w obecnym kształcie będzie obowiązywać tylko do 25 maja 2018 roku, bowiem zastąpi ją Rozporządzenie Parlamentu Europejskiego i Rady UE, stanowiące największą w historii zmianę regulacji w tym obszarze.
- Obecnie rynek pracy w Polsce w zdecydowanej większości należy do pracownika. Taka sytuacja wymusza na firmach poszukiwanie nowych rozwiązań wspierających procesy rekrutacyjne. Część z nich już wdrożyło lub zastanawia się nad wdrożeniem programu poleceń rekrutacyjnych. Takie rozwiązanie świetnie wspiera proces dotarcia do potencjalnych kandydatów, jednocześnie jednak stawia przed działami HR, IT i prawnymi sporo wyzwań natury prawnej. Szczególnie teraz, kiedy do wejścia nowych regulacji w zakresie ochrony danych osobowych, pozostał tylko rok. Dwanaście miesięcy to niewiele biorąc pod uwagę, że nadchodzące zmiany dotyczą wielu obszarów rekrutacyjnych i obejmują wszystkich kandydatów do pracy, niezależnie od sposobu ich rekrutacji – mówi Artur Sibera, project leader w ShareHire.
Na administratorze danych spoczywa szereg obowiązków, które obecnie wynikają z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 992) dalej: UODO. Od 25 maja 2018 r. zastąpi je Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej: RODO. W stosunku do obecnego stanu prawnego, RODO wprowadza w zakresie ochrony kandydatów do pracy kilka istotnych zmian. Będą one dotyczyć także osób, które w ramach programów poleceń rekrutacyjnych zostały zarekomendowane do pracy.
1. Pełniejsza informacja dla kandydata
Nowe regulacje rozszerzają zakres informacji, które pracodawca (administrator danych) musi przekazać kandydatowi, również temu z polecenia. Obecnie należy informować m.in. o adresie swojej siedziby, pełnej nazwie firmy, celu i zakresie zbierania danych, odbiorcach lub kategoriach odbiorców danych. Zgodnie z nowymi przepisami, katalog będzie musiał zawierać również m.in. dane kontaktowe inspektora ochrony danych (o ile taka osoba będzie w podmiocie wyznaczona), informacje o prawie wniesienia skargi do organu nadzorczego (GIODO) czy informacje o okresie, przez który dane osobowe będą przechowywane. Ponadto, pracodawca będzie miał obowiązek podania powyższych informacji przy pierwszej komunikacji z potencjalnym pracownikiem.
2. Dane gromadzone tylko na czas konkretnej rekrutacji
Administrator danych powinien przetwarzać dane osobowe potencjalnych pracowników zgodnie z zasadami rzetelności, celowości, adekwatności oraz czasowości. Jeżeli zatem rekrutacja dobiegnie końca, to dane osobowe osób polecanych do pracy należy usunąć o ile nie wyraziły zgody na przetwarzanie danych w celu realizacji przyszłych procesów rekrutacyjnych. Co ważne, dotyczy to dokumentów zarówno w formie papierowej, jak i elektronicznej. Względnie dla celu obrony przed roszczeniami w związku z naruszeniem zakazu dyskryminacji, możliwe jest przechowanie danych osobowych osób biorących udział w rekrutacji przez okres roku od dnia jej zakończenia.
Zgoda na przetwarzanie danych pracownika
Pracodawcy korzystający z programów poleceń rekrutacyjnych muszą uzyskać zgodę na przetwarzanie danych osobowych potencjalnego pracownika, który został polecony. Stąd najlepiej, jeżeli zaaplikuje on do pracy w taki sam sposób, jakby robił to bez polecenia. W tym celu osoba polecająca zamiast wyręczać polecanego w wysłaniu CV, powinna przekazać link do ogłoszenia o pracy, na które ten może zaaplikować samodzielnie akceptując wymagane oświadczenia. Jest to model, który zabezpiecza w sposób kompleksowy interesy zarówno pracodawcy, kandydata, jak i osoby polecającej, która nie dysponuje wbrew prawu danymi kandydata.
Obowiązki prawno-informacyjne wobec osób polecających
Wyzwaniem dla pracodawców pozostaje również kwestia gromadzenia danych osób polecających kandydatów do pracy. Sytuacja wydaje się być czytelna, kiedy mówimy o zamkniętym programie poleceń rekrutacyjnych, w którym role polecającego pełni pracownik danego pracodawcy. W przypadku, w którym pracodawca rozszerza zakres programu poleceń o alumnów, pracowników firm partnerskich czy dostawców, pojawia się szereg nowych obowiązków prawno-informacyjnych. Pracodawca jest zobowiązany m.in. zgłosić do GIODO dodatkowy zbiór osób polecających nie będących pracownikami. Jak wskazują eksperci ShareHire, kwestie organizacyjno-informatyczne, ale i prawne, warto zlecić firmom specjalizującym się w kompleksowej obsłudze programów poleceń rekrutacyjnych. Oferują one kompleksowe rozwiązania pozwalające zadbać o bezpieczeństwo wszystkich uczestników procesu: polecających, potencjalnych kandydatów oraz pracodawców.
Potencjalne zmiany ustawodawcy krajowego
Nowe regulacje prawne dotyczące ochrony danych osobowych zostaną również zweryfikowane przez ustawodawcę krajowego. – Zgodnie z unijnym rozporządzeniem, może on zawrzeć w ustawodawstwie krajowym bardziej szczegółowe przepisy mające zapewnić ochronę praw i wolności w przypadku przetwarzania danych osobowych pracowników w związku z zatrudnieniem, w szczególności do celów rekrutacji. Tego rodzaju regulacje mogłyby na przykład doprecyzowywać zakres danych, które potencjalny pracodawca może przetwarzać w związku z prowadzoną rekrutacją. Ale, czy i w jakim zakresie zostaną wprowadzone, dowiemy się w ciągu najbliższych miesięcy – podkreśla Piotr Janiszewski, Radca Prawny, Prezes Zarządu Auraco.
(źr. opr. ShareHire)
