iSecure logo
  • pl
  • en
    • Blog

    Retencja w rekrutacji, czyli o usuwaniu danych kandydatów do pracy

    Agnieszka Dominiak
    Kategorie

    W grudniowym wpisie Katarzyna Ułasiuk-Delamare opracowała obszerne podsumowanie zagadnień związanych z ochroną danych osobowych w procesach rekrutacyjnych. Dzisiaj rozszerzę wątek, któremu poświęcony został ostatni akapit tego opracowania, mianowicie: usuwanie danych osobowych w procesach rekrutacyjnych.

    Obowiązek ograniczonego przetwarzania danych osobowych wynika wprost z przepisów RODO, tj. artykułu 5 oraz motywu 39, których fragmenty brzmią jak poniżej:

    Art. 5 ust. 1: „Dane osobowe muszą być: (…) e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane teprzetwarzane; (…)”

    Motyw 39: „(…) Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest toniezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. (…)”

    Temat wydaje się prozaiczny, jednak nie jest oczywisty dla wielu organizacji. Pracownicy spoza struktur jednostek odpowiedzialnych za sprawy pracownicze są angażowani w procesy rekrutacyjne (np. dyrektorzy, kierownicy, menadżerowie) i z tego powodu nie powinni zostać pomijani w procesie usuwania danych.

    Pozyskiwanie danych kandydatów do pracy

    Obecnie pracodawcy dysponują szeregiem możliwości w rekrutowaniu pracowników. Procesy rekrutacyjne mogą być prowadzone zarówno przez zatrudnionych specjalistów do spraw rekrutacji w strukturze firmy bądź zlecane firmom zewnętrznym, które profesjonalnie świadczą usługi związane z rekrutacją kandydatów do pracy (outsourcing). Jest wiele możliwych rozwiązań dotyczących pozyskiwania danych kandydatów do pracy. Mogą to być m.in.:

    • własna strona internetowa z zakładką „Oferty pracy”. Popularnym rozwiązaniem zaszytym w taką funkcjonalność jest przesyłanie aplikacji kandydatów na skrzynkę e-mail, funkcyjną np. rekrutacje@nazwafirmy.pl lub imienną – osoby odpowiedzialnej za procesy rekrutacyjne;
    • korzystanie z rozwiązania dostarczanego przez firmę zewnętrzną, oferującą zarządzanie ofertami pracy na dedykowanej platformie internetowej. Najbardziej popularnymi rozwiązaniami są: udostępnienie ogłoszenia, które przekierowuje do aplikowania za pośrednictwem strony internetowej pracodawcy (jak opisano w pierwszym przykładzie) lub zarządzanie dokumentami aplikacyjnymi za pośrednictwem serwisu, do którego pracodawca ma dostęp;
    • system poleceń pracowników – osoba zatrudniona w firmie poleca kandydata do pracy i może przesłać CV osoby do działu kadr lub bezpośrednio do osoby rekrutującej do swojego zespołu. W takiej sytuacji, obrót dokumentami zazwyczaj odbywa się na wymianie e-maili;
    • osobiste złożenie dokumentów aplikacyjnych przez kandydata w tradycyjnej formie papierowej;
    • zlecenie procesów rekrutacyjnych na zewnątrz firmy (outsourcing).

    Niezależnie od przyjętego rozwiązania, niezmienne pozostają zasady przetwarzania danych osobowych określone w RODO. Na potrzeby niniejszego opracowania załóżmy, iż spełniliśmy przesłanki:

    1. zgodności z prawem, rzetelności, przejrzystości,
    2. ograniczonego celu przetwarzania,
    3. minimalizacji danych,
    4. prawidłowości danych,
    5. zapewnienia integralności i poufności.

    W ramach realizacji zasady przejrzystości, spełniliśmy wobec kandydata obowiązek informacyjny. Co do zasady, klauzula powinna zawierać informację, iż dane kandydata do pracy usuwamy niezwłocznie po zakończeniu procesu rekrutacyjnego.

     „Dane zgromadzone wprocesie rekrutacyjnym usuniemy niezwłocznie po zakończeniu rekrutacji.”

    Jeżeli korzystamy z rozwiązań technologicznych dostarczanych przez firmę zewnętrzną, która ma zaszyty mechanizm retencji tj. automatycznego usuwania danych po konkretnym okresie – na przykład trzech miesięcy – możemy taką informację zawrzeć w obowiązku informacyjnym:

    „Dane zgromadzone wprocesach rekrutacyjnych będziemy przetwarzać przez okres nie dłuższy niż 3 miesiące od dnia zakończenia procesu rekrutacji.”

    Faktycznie usunięcie danych

    Wydaje się, iż zlecając czynności rekrutacyjne na zewnątrz organizacji lub korzystając z gotowych rozwiązań technologicznych, kwestię retencji danych, czyli ich usuwania mamy zabezpieczoną. Jednak należy pamiętać o tych zasobach, z których dane nie są automatycznie usuwane, czyli m.in.:

    • dokumenty przechowywane na skrzynkach pocztowych. Należy pamiętać o każdej skrzynce mailowej, tj. funkcyjnej i imiennej, o skrzynkach odbiorczej (jeżeli otrzymaliśmy CV), nadawczej (jeżeli przesłaliśmy aplikację kandydata do innej osoby) i elementach usuniętych;
    • zasoby sieciowe – lokalne i współdzielone:
    • foldery: „Pobrane”, „Dokumenty” oraz wszelkie pozostałe, w których zapisywaliśmy dane kandydatów,
    • „Kosz”,
    • dane na serwerze firmowym.

    Jeżeli analizujemy dane z CV w odrębnym arkuszu, wprowadzając zbiorczo informacje w celu porównania doświadczenia i kwalifikacji kandydatów, również w tej sytuacji należy przeanalizować zakres zapisywanych danych pod kątem ewentualnego usunięcia.

    Przechowywanie danych kandydata w celu przyszłych rekrutacji powinno również być zabezpieczone posiadaniem odpowiedniej zgody na przetwarzanie danych osobowych w tym celu. Należy zweryfikować, czy kandydat udzielił nam takiej zgody lub o takową poprosić.

    Właściciel biznesowy czynności

    Zazwyczaj czynności związane z procesami rekrutacyjnymi przypisywane są pracownikom działów HR. W zakresie usuwania danych należy weryfikować, czy zobowiązanie do usuwania danych znajduje się w postanowieniach umownych w związku ze współpracą z innym podmiotem lub czy rozwiązania systemowe, z których korzystamy, uwzględniają automatyczne usuwanie danych lub pozwalają usuwać dane ręcznie. Jeżeli w organizacji praktykuje się przesyłanie aplikacji kandydatów w e-mailach, dobrym rozwiązaniem jest dodanie do wiadomości zdania:

    Pamiętaj o usunięciu wiadomości wraz z załącznikiem po zakończeniu procesu rekrutacyjnego.

    Takie przypomnienie może być realizowane cyklicznie przez pracownika działu HR do kadry kierowniczej lub do wszystkich pracowników, jeżeli w organizacji funkcjonuje program poleceń. Jeżeli klauzula na potrzeby rekrutacji zawiera informację o okresie trzech miesięcy przetwarzania danych osobowych, taki monit również może być realizowany kwartalnie.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maria Lothamer

    Uregulowanie stosunku powierzenia

    Każda współpraca pomiędzy podmiotami, polegająca na wykonywaniu czynności na danych osobowych, które to czynności określa jeden z tych podmiotów (administrator danych osobowych), a wykonuje je drugi w jego imieniu (podmiot przetwarzający), musi zostać uregulowana umową powierzenia. Zdarza się, że podmioty powierzając dane, nie do końca zdają sobie sprawę, że dana czynność jest właśnie powierzeniem danych […]

    Czytaj więcej
    Karolina Żebrowska

    Brak zgłoszenia naruszenia oraz niepowiadomienie osób o incydencie – przegląd kar Prezesa Urzędu Ochrony Danych Osobowych

    Obowiązek zgłoszenia naruszenia do organu nadzorczego wynika wprost z art. 33 RODO. Zgodnie z przywołanym przepisem, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, […]

    Czytaj więcej
    Katarzyna Ułasiuk-Delamare

    RODO w rekrutacji

    Za nami cykl webinarów „Akademia RODO w rekrutacji”, które prowadziliśmy wspólnie z elevato S.A. (dostawcą przyjaznego i bezpiecznego systemu do rekrutacji). Podczas trzech spotkań poruszyliśmy wiele tematów istotnych ze strony praktycznej. Zdajemy sobie sprawę, że w codziennej pracy rekrutera są kwestie wymagające pochylenia się i zastanowienia, jak faktycznie przetwarzać dane osobowe kandydatów zgodnie z RODO, jednocześnie z […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki