iSecure logo
Blog

RODO a portale ogłoszeniowe – najczęstsze błędy podczas zamieszczania ogłoszeń o pracę

Pracodawco! Czy Ty też chcesz dotrzeć do kandydatów ze swoim ogłoszeniem o pracę za pośrednictwem portali ogłoszeniowych? Jeżeli tak, to ten artykuł jest zdecydowanie dla Ciebie. Wyjaśnię w nim, jakie przypadki w praktyce często generują ryzyko błędu, ale też – dla równowagi – przedstawię kilka ważnych porad, dzięki którym Twoje ogłoszenie będzie zgodne z RODO.

O RODO w rekrutacji w szerszym zakresie pisałam m.in. tutaj. W tym wpisie skupimy się na błędach w ogłoszeniu o pracę.

Najczęściej spotykane wady w ogłoszeniach o pracę

Wiadomo, że portale ogłoszeniowe mają swoje własne, indywidualne rozwiązania, dlatego raczej nie ma szansy na to, żeby przy okazji jednego ogłoszenia wszystkie poniższe wady wystąpiły łącznie. Poniższe przykłady są prawdziwe i zauważyłam je po przejrzeniu kilku stron www z ogłoszeniami o pracę. Przygotowując swoje ogłoszenie do opublikowania na takiej stronie sprawdź, czy nie występuje u Ciebie któreś ze wskazanych przeze mnie ryzyk niezgodności z RODO.

To, na co zwróciłam uwagę, to m.in.:

  • brak klauzuli informacyjnej dotyczącej pracodawcy, jako administratora danych.

Zgodnie z RODO kandydatowi należy podać wszystkie informacje o przetwarzaniu jego danych (o zakresie tych informacji mówi art. 13 RODO) podczas pozyskiwania jego danych osobowych (w przypadku, kiedy dane są zbierane bezpośrednio od kandydata). Zamieszczenie klauzuli informacyjnej już w treści samego ogłoszenia o pracę jest idealnym rozwiązaniem, żeby obowiązek ten spełnić. Forma? Do wyboru, byleby spełniała wymagania RODO, tzn. umożliwiała przekazanie klauzuli w sposób prosty, jasny, przejrzysty, wyraźny. Może to być otwarty, pełny tekst klauzuli, ale równie dobrze można zastosować opcję tzw. warstwowego obowiązku informacyjnego, czyli podania najważniejszych informacji w tekście otwartym, a resztę zwinąć do przeczytania po kliknięciu „Czytaj więcej”.

  • brak zgody, jeżeli to ona jest podstawą prawną przetwarzania danych (zwłaszcza, jeżeli w CV kandydat poda więcej danych niż wymienione w kodeksie pracy, które można przetwarzać na podstawie przepisów prawa).

W tym przypadku można pouczyć kandydata w samym ogłoszeniu, żeby klauzulę zgody zamieścił (przekleił) w swoim CV, ale niestety – nadal polegamy tylko na działaniu kandydata (który może prośbę zignorować lub jej nie doczytać).

  • niepełna zgoda kandydata

Innym często spotykanym błędem jest to, że zgoda wyrażana przez kandydata jest niepełna, co oznacza, że nie spełnia w całości wymogów RODO. Może zabraknąć niektórych informacji, jak np.: pełnych danych właściwego administratora, wymienionych dokładnie wszystkich celów przetwarzania lub informacji o możliwości odwołania zgody w dowolnym czasie bez wpływu na zgodność przetwarzania przed jej odwołaniem. Bez podania ich wszystkich w komplecie nie można mówić o tym, że klauzula zgody jest zgodna z przepisami prawa.

  • sprzeczne informacje dla kandydata dotyczące dołączenia zgody

Zauważyłam, że czasami w ogłoszeniach o pracę kandydat dostaje jednocześnie dwie różne informacje o załączeniu zgody. Np. bezpośrednio pod formularzem istnieje ręcznie dołożona przez rekrutera informacja o tym, żeby kandydat załączył do CV odpowiednią i podaną przez pracodawcę klauzulę zgody, a jednocześnie w tym samym formularzu systemowo (tzn. przez portal ogłoszeniowy) widnieje informacja o tym, że określona klauzula zgody (standardowa, „portalowa” lub spersonalizowana danymi pracodawcy), będzie dołączana do aplikacji automatycznie. Pytanie brzmi, która zgoda wygrywa? Można ciągnąć losy, ale czy to konieczne? Zwróćcie uwagę, czy w Waszych ogłoszeniach nie ma takich kwiatków, których można uniknąć.

  • brak szansy na pozyskanie zgody na rekrutacje przyszłe

To nie jest samo w sobie ryzykiem naruszenia RODO, ale jeżeli zależy Wam na budowaniu bazy kandydatów również na cele innych rekrutacji, to – analogicznie jak w punkcie powyżej – można wykorzystać ogłoszenie jako szansę na pozyskanie od kandydata takiej zgody (która musi być dobrowolnie wyrażona).

  • profil firmowy vs prywatny? Ryzyko zachowania danych na personalnym koncie

To jest akurat coś, o czym często można zapomnieć. Na portalach ogłoszeniowych bywa tak, że aby zamieścić ogłoszenie o pracę trzeba założyć konto. I tu się pojawia problem, bo okazuje się, że w praktyce niektórzy nadal stosują swoje konta prywatne (nie w domenie formowej). Ponadto, istotnym jest ustalenie wewnętrznych zasad rekrutacji w ten sposób, żeby wszelkie ustalenia z kandydatem były prowadzone w „centralnym” systemie, np. odpowiednio dopasowanym do tego ATS. W przeciwnym razie wyobraźmy sobie, że np. rekruter potwierdza zgody z kandydatem w swoich wiadomościach bezpośrednich na portalu i ta informacja znajduje się wyłącznie tam. Co się stanie po odejściu rekrutera? Tak, nie mylicie się – dowody na wyrażenie zgody przez kandydata przepadną.

Inne ryzyka

Poniżej przedstawię Wam jeszcze kilka przemyśleń na temat innych potencjalnych ryzyk, które mogą wystąpić w razie przetwarzania danych za pośrednictwem portali ogłoszeniowych (co może mieć miejsce w przypadku przetwarzania danych na samym koncie rekrutera/pracodawcy czy wiadomości wymienianych na portalu). Im szybciej się o nich dowiecie, tym większa szansa na to, że w porę uda Wam się ich uniknąć:

  • obszary przetwarzania danych (lokalizacja serwerów) – bywają trudności z ustaleniem, gdzie fizycznie dane się znajdują (czy w EOG?),
  • zabezpieczenia techniczne systemu są często poza administratorem, który przecież też jest odpowiedzialny za bezpieczne przetwarzanie danych swoich kandydatów,
  • brak jednolitego podejścia – różne portale podchodzą inaczej do kwestii zakresu danych, klauzul dla kandydata, postanowień umownych/regulaminów dla administratora, co w konsekwencji oznacza, że każde portal i możliwości zamieszczania w nim ogłoszeń trzeba skrupulatnie przejrzeć,
  • zdecentralizowanie miejsc przetwarzania danych (np. skrzynka odbiorcza portalu ogłoszeniowego, komunikator przypisany do indywidualnego konta), a co za tym idzie – np. pominięcie usunięcia danych lub utrata dostępu do danych w razie odejścia pracownika.

Co warto zrobić?

To jest dobre pytanie, na które chciałabym odpowiedzieć, żeby nie pozostawiać Was wyłącznie z informacją o błędach czy ryzykach. Oto kilak podpowiedzi:

  • maksymalnie jak się da uzupełnić ogłoszenie np. o klauzulę informacyjną,
  • przygotować spójne i pełne klauzule zgody,
  • tam, gdzie to możliwe, stosować konta firmowe/maile służbowe,
  • zapewnić ciągłość działania i dostępu do danych,
  • zapewnić przekazywanie danych do jednego systemu nadzorowanego przez administratora (scentralizować proces zbierania danych),
  • sprawdzić dokładnie regulaminy portali ogłoszeniowych, w tym rozwiązanie kwestii formalnych dotyczących udostępnienia/powierzenia danych,
  • zweryfikować miejsca przetwarzania danych i zminimalizować je, aby łatwiej było zarządzać danymi,
  • przygotować procedurę rekrutacji, która w przejrzysty sposób będzie zawierać informację dla rekruterów, co do zasad korzystania z. portali ogłoszeniowych.

Głodni wiedzy?

Jeżeli chcielibyście poszerzyć praktyczną wiedzę dotyczącą przetwarzania danych w HR, w tym kandydatów do pracy, jesteśmy do Waszej dyspozycji. Mamy m.in. przygotowane nasze autorskie szkolenie, którego agenda wynikła z potrzeb pracodawców / rekruterów. Wsłuchujemy się w pytania, które sami otrzymujemy podczas współpracy jako IOD, czy szkoleń przez nas prowadzonych. Na tej podstawie przygotowaliśmy unikalne szkolenie poświęcone wyłącznie tematom przetwarzania danych osobowych w HR. Znając tę problematykę od praktycznej strony wierzymy, że nasze doświadczenie pozwala na prawidłowe omówienie sytuacji, co do których pracownicy HR najczęściej poszukują wyjaśnień. Chętnie podzielimy się nimi także z Tobą, dlatego zapraszamy do zapisów! 🙂

Pobierz wpis w wersji pdf

Podobne wpisy:

RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania

Jak „podejść” do przetwarzania danych osobowych w swojej organizacji?

Przetwarzanie danych osobowych jest nieodłączną częścią prowadzenia biznesu. Dane osobowe mogą znajdować się w każdym jego aspekcie. Nie ważne czy prowadzimy jednoosobową działalność gospodarczą czy kierujemy giełdową spółką. Niemal codziennie dokonujemy operacji przetwarzania, czyniąc to choćby nieświadomie – a to organizujemy rekrutację, a to wysyłamy maila do naszego kontrahenta. Jak więc podejść do przetwarzania danych […]

Dane osobowe w kopiach zapasowych

Dane osobowe w kopiach zapasowych

Po wejściu w życie RODO, administratorzy danych nie mają łatwego zadania – praktyczne wdrożenie przepisów unijnej regulacji jest bowiem czasochłonne i dotyka wielu sfer funkcjonowania firmy, w tym także w obszarze IT. Za przykład niech posłuży pionierska aplikacja na telefon za pomocą której można umawiać się na wizytę do usługodawców, takich jak zakłady fryzjerskie, czy […]

Czy powinienem wyznaczyć Inspektora Ochrony Danych?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) określa przypadki, w których wyznaczenie Inspektora Ochrony Danych (IOD) przez Administratora Danych Osobowych (ADO) jest obowiązkowe.
Nawet gdy przepisy nie nakładają konkretnego obowiązku wyznaczenia IOD lub gdy nie jesteśmy do końca pewni czy obowiązek dotyczy naszej organizacji czy też nie, zaleca się rozważenie dobrowolnego wyznaczenia takiej osoby.

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki