Warto zacząć od analizy sytuacji oraz określenia obszarów, które mogą stanowić najpoważniejsze zagrożenie dla przetwarzania powierzanych nam danych.

Zgoda na przetwarzanie danych osobowych nie jest konieczna

Osoby zajmujące się rekrutacją pracowników w danej firmie bardzo często mają wątpliwości co do przetwarzania danych osobowych z CV, w którym nie zamieszczono zgody na przetwarzanie tych danych. Z przepisów prawa wynika, że firma będąca przyszłym pracodawcą przetwarza dane kandydata na podstawie przepisów prawa, a nie na podstawie zgody kandydata. Kwestię tę w sposób wyraźny regulują: art. 22 Kodeksu pracy, Rozporządzenie Ministra Pracy i Polityki Socjalnej z 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika. Według tych przepisów przyszły pracodawca może przetwarzać wyłącznie te dane osobowe kandydata, jakie zostały w przepisach wskazane. Zatem żądanie od kandydata, aby wyraził pracodawcy zgodę na przetwarzanie swoich danych osobowych, jest praktyką, która nie ma uzasadnienia w obowiązujących w Polsce przepisach.

Kandydat musi wiedzieć, kto jest administratorem danych

Pracodawca w momencie otrzymania dokumentów aplikacyjnych nadesłanych w odpowiedzi na ogłoszenie o pracę, staje się administratorem danych osobowych kandydatów. Gromadząc je zgodnie z przepisami ustawy o ochronie danych osobowych jest zobowiązany do poinformowania kandydatów o podstawowych faktach związanych z przetwarzaniem ich danych osobowych. Aplikujący kandydat powinien otrzymać od firmy będącej administratorem danych osobowych m.in. takie informacje jak pełna nazwa firmy oraz adres jej siedziby, cel zbierania danych osobowych czy informacja o podmiotach, którym administrator danych ewentualnie zamierza udostępnić dane osobowe kandydata.

Nie trzeba zgłaszać bazy kandydatów do GIODO

Obowiązek rejestracji zbiorów danych osobowych nie dotyczy pracodawców. Zgodnie z art. 43 ust. 1 punkt 4. ustawy o ochronie danych osobowych z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich oraz świadczeniem im usług na podstawie umów cywilnoprawnych. Zgodnie ze stanowiskiem Generalnego Inspektora Ochrony Danych Osobowych do takich danych należą również dane kandydatów. Odstępstwo to nie dotyczy sytuacji, gdy administratorem danych jest podmiot inny niż pracodawca, np. agencja zatrudnienia.

Zgoda kandydata konieczna do ponownego wykorzystanie aplikacji

Pracodawca może ponownie wykorzystać zgromadzone dokumenty aplikacyjne do innych procesów rekrutacyjnych pod warunkiem, że kandydat został o tym wcześniej poinformowany i wyraził na to zgodę. Informację na ten temat najlepiej zamieścić w treści tzw. klauzuli informacyjnej, czyli zestawie informacji dotyczących przetwarzania danych osobowych kandydata, jakie należy przedstawić kandydatowi na podstawie art. 24 ustawy o ochronie danych osobowych. Zgoda na udział w przyszłych rekrutacjach może być przez kandydata udzielona zarówno pisemnie, jak i ustnie, np. w rozmowie z osobą rekrutującą.

Dokumenty drukowane najlepiej zniszczyć

W czasie trwania procesu rekrutacyjnego materiały drukowane należy przechowywać w zamkniętych szafkach, do których nie mają dostępu osoby trzecie, które nie są zaangażowane w rekrutację. Jeżeli natomiast osoba rekrutująca posiada dokumenty, których już nie będzie potrzebować z uwagi na zakończony proces naboru pracowników, należy je zniszczyć. Nie wystarczy tylko podrzeć CV czy listu motywacyjnego na kilka części i wyrzucić do kosza - bez wyjątku takie dokumenty należy utylizować w niszczarce. Takie działanie uchroni przed odczytaniem i wykorzystaniem tych materiałów przez niepowołane osoby.

Odpowiednia ochrona dokumentacji online

Żeby zapewnić maksymalną ochronę dokumentacji rekrutacyjnej w formie elektronicznej, warto w pierwszej kolejności odpowiedzieć sobie na kilka pytań. Kto ma dostęp do skrzynki e-mail, w której gromadzone są CV kandydatów? Co się dzieje z aplikacjami, które przesyłane są do kierowników działów poszukujących osób do swoich zespołów? Czy nasz komputer jest odpowiednio zabezpieczony przed wirusami i atakami hakerów? Czy inne osoby mają dostęp do naszego komputera i elektronicznej skrzynki pocztowej, na przykład administratorzy firmy czy osoby nas zastępujące podczas naszego wyjazdu urlopowego. Wszystkie aspekty trzeba wziąć pod uwagę, a niepotrzebne już dokumenty i maile rekrutacyjne z danymi osobowymi kandydatów usuwać ze skrzynki pocztowej i komputera.

Ochroniarz danych osobowych

Aby mieć pewność, że elektroniczne dane naszych kandydatów są bezpieczne, warto pomyśleć o skorzystaniu z swoistego „ochroniarzem danych”, czyli wdrożyć profesjonalne narzędzie do zarządzania procesami rekrutacyjnymi. Dzięki tego rodzaju rozwiązaniom można mieć pewność, że zbieranie i przechowywanie danych będzie odbywało się zgodnie z obowiązującymi przepisami regulującymi ochronę danych osobowych. Warto zaopatrzyć się w aplikację lub program, który ochroni dane osobowe wszystkimi środkami technicznymi i organizacyjnymi wymaganymi obowiązującymi przepisami prawnymi. Taki program jest szyfrowany podobnie jak internetowe konta bankowe, ma także wdrożoną specjalną politykę haseł i zagwarantuje firmie bezpieczeństwo zbieranych danych kandydatów np. poprzez połączenie szyfrowane SSL.