Jak wynika z badania „RODO w rekrutacji” zrealizowanego przez eRecruiter, 9 na 10 pracodawców uważa, że nowe regulacje będą wymagały większego zaangażowania działów HR.
O tym, jakie działania należy podjąć, aby rekrutować zgodnie z nowym prawem, oraz czy skrzynka e‑mail lub arkusz kalkulacyjny wystarczą do zabezpieczenia danych, mówi Katarzyna Trzaska, ekspertka eRecruiter.
Wdrożenie przepisów RODO wymaga od firm wszechstronnej wiedzy – prawniczej, informatycznej oraz analitycznej. Co zrobić, aby w maju mieć poczucie, że jesteśmy w 100% przygotowani do zmian?
Katarzyna Trzaska, eRecruiter: Najlepszym podejściem jest powołanie zespołu projektowego składającego się ze specjalistów reprezentujących każdy z wymienionych obszarów. Z przeprowadzonego przez nas badania „RODO w rekrutacji” wynika, że taki zespół wyznaczyła co piąta firma w Polsce. Czterech na dziesięciu pracodawców natomiast powołało jednego eksperta ds. ochrony danych osobowych, który kompleksowo kieruje procesem wdrożenia nowych wymogów w organizacji. Prace przygotowawcze należy zacząć od zweryfikowania w firmie procesów, które wpływają na prowadzone rekrutacje pod kątem prawnym, technologicznym i bezpieczeństwa procedur. Warto np. sprawdzić, czy w organizacji obowiązuje polityka nadawania uprawnień – z naszej ankiety wynika, że brakuje jej w co drugiej firmie.
W prowadzeniu procesów rekrutacyjnych zgodnie z nowymi wymogami może pomóc skorzystanie ze specjalnych systemów. Dzięki takim narzędziom dane kandydatów będą przechowywane w jednym bezpiecznym miejscu, a pracodawca uzyska pełną kontrolę nad tym, kto ma do nich dostęp i jak długo są przechowywane. Wybór takiego systemu powinien zostać dokładnie przemyślany. Dział HR, który chce powierzyć przetwarzanie danych osobowych kandydatów zewnętrznym dostawcom, musi zweryfikować i ocenić, na ile wybrany partner jest w stanie zapewnić odpowiednie środki techniczne i organizacyjne wymagane przez RODO.
Prace nad finalnym brzmieniem przepisów ciągle trwają. Skąd firmy mogą czerpać informacje na temat tego, jak i do czego powinny się przygotować?
Rzeczywiście, choć sporo już wiemy i wiele firm rozpoczęło przygotowania – deklaruje to 81% firm – to jednak ostateczny kształt ustawy nie jest jeszcze znany. Dlatego w eRecruiter wspólnie z Pracuj.pl, GKK Gumularz Kozieł Kozik Radcowie Prawni, a także Stowarzyszeniem Agencji Zatrudnienia, Pracodawcami RP oraz zainteresowanymi ekspertami z branży pracujemy nad „Kodeksem ochrony danych osobowych w rekrutacji”. Ma on stanowić cenne wsparcie w prowadzeniu rekrutacji zgodnej z nowymi regulacjami. W dokumencie tym zostaną omówione najistotniejsze problemy związane z przetwarzaniem danych osobowych na etapie rekrutacji, a także nowoczesne metody rekrutacji wykorzystujące m.in. profilowanie lub biometrię, które w obecnej sytuacji wywołują wiele emocji. Mamy nadzieję, że możliwość sięgnięcia po sprawdzoną i rzetelną wiedzę znacząco ułatwi pracodawcom zmierzenie się z RODO.
Wspominała Pani o możliwości użycia specjalnego systemu rekrutacyjnego. Korzystając ze skrzynki e‑mailowej lub arkusza kalkulacyjnego, również mamy pełen dostęp do danych. Dlaczego w świetle nowych regulacji to za mało?
Nowe przepisy wymagają od firm dostosowania nie tylko procedur, ale też wykorzystywanych narzędzi. Jeśli pracodawca obecnie realizuje projekty rekrutacyjne w oparciu o arkusz kalkulacyjny lub skrzynkę e‑mail, może to być niewystarczające zabezpieczenie danych kandydatów – zarówno prawne, jak i techniczne – do prowadzenia tego typu procesów w przyszłości. A już na pewno jest to rozwiązanie mało wygodne. Przykładowo, jeżeli do przejrzenia mamy dziesiątki CV, które są w wiadomości e‑mail, to w przypadku kontroli trudno będzie udowodnić spełnienie obowiązku informacyjnego czy wskazać, jakie zgody i kiedy wyraził kandydat. Zarządzanie procesem rekrutacji w przeznaczonym do tego celu systemie może być o wiele prostsze.
Na co zatem zwrócić uwagę, wybierając odpowiedni system rekrutacyjny, szczególnie w kontekście RODO?
Przede wszystkim należy sprawdzić, w jaki sposób dostawca narzędzia dba o bezpieczeństwo danych kandydatów, czy dane są szyfrowane, czy firma przeprowadza regularne testy penetracyjne. Warto także zwrócić uwagę na to, czy dane rozwiązanie będzie wspierało nas w monitorowaniu zgód wyrażonych przez kandydata, czy np. „ostrzeże” nas, gdy kandydat nie wyrazi zgody na udział w przyszłych rekrutacjach i odpowiednio oznaczy takie osoby w bazie. Kolejny aspekt, który warto zweryfikować, to jak system pomoże nam w realizacji praw kandydatów, które przewiduje RODO, np. prawa dostępu do danych, ich aktualizacji czy usunięcia.
A w jaki sposób dostawcy dbają o bezpieczeństwo danych?
W eRecruiter stosujemy wiele rozwiązań, które dają rękojmię bezpiecznego przetwarzania danych osobowych zgodnie z RODO. Po pierwsze, cała komunikacja pomiędzy użytkownikiem aplikacji, kandydatem a serwerem jest szyfrowana. Dzięki temu pracodawca ma gwarancję, że nikt niepowołany nie będzie miał dostępu do przesyłanych danych. Po drugie, w aplikacji pracodawca definiuje, kto z firmy i w jakim zakresie ma dostęp do systemu, czyli danych kandydatów. W konsekwencji każdy użytkownik widzi tylko te obszary, do których nadano mu uprawnienia. Kolejnymi ważnymi rozwiązaniami są automatyczne wylogowanie po dłuższej nieaktywności oraz cykliczna zmiana hasła.
Czy system pomoże nam w momencie kontroli zgodności procesów rekrutacyjnych z RODO?
Z całą pewnością. System może np. pomóc udokumentować, jakie klauzule informacyjne widział kandydat czy jakie zgody zaakceptował. W świetle nowego obowiązku informacyjnego pracodawca będzie musiał poinformować, jak długo dane kandydata będą przetwarzane. Idealny system rekrutacyjny powinien także podpowiadać rekruterowi, które dane i kiedy należy usunąć.
Pamiętajmy jednak, że jest to tylko narzędzie i od nas zależy, jak je wykorzystamy oraz na ile pomoże ono w spełnieniu wymogów RODO. Przykładowo eRecruiter pomaga zarządzać uprawnieniami i dostępami do danych osobowych kandydatów w firmie. Jeśli jednak firma nie będzie miała odpowiednich zasad i procedur, komu, kiedy i na jaki czas przyznawać dostępy oraz sama nie określi np. terminów przechowywania danych kandydatów, posiadanie odpowiedniego systemu nie wystarczy w przypadku kontroli.
Co spotka firmę, jeśli nie zastosuje się do nowych wymogów?
Stwierdzone naruszenie zasad ochrony danych osobowych będzie się wiązać z poważnymi konsekwencjami. Najbardziej dotkliwe będą te finansowe. Organ nadzorczy będzie uprawniony do nakładania administracyjnych kar pieniężnych sięgających nawet 20 mln euro! Myślę, że na taką nieroztropność niewiele firm może sobie pozwolić.
