iSecure logo
Blog

RODO a portale ogłoszeniowe – najczęstsze błędy podczas zamieszczania ogłoszeń o pracę

Pracodawco! Czy Ty też chcesz dotrzeć do kandydatów ze swoim ogłoszeniem o pracę za pośrednictwem portali ogłoszeniowych? Jeżeli tak, to ten artykuł jest zdecydowanie dla Ciebie. Wyjaśnię w nim, jakie przypadki w praktyce często generują ryzyko błędu, ale też – dla równowagi – przedstawię kilka ważnych porad, dzięki którym Twoje ogłoszenie będzie zgodne z RODO.

O RODO w rekrutacji w szerszym zakresie pisałam m.in. tutaj. W tym wpisie skupimy się na błędach w ogłoszeniu o pracę.

Najczęściej spotykane wady w ogłoszeniach o pracę

Wiadomo, że portale ogłoszeniowe mają swoje własne, indywidualne rozwiązania, dlatego raczej nie ma szansy na to, żeby przy okazji jednego ogłoszenia wszystkie poniższe wady wystąpiły łącznie. Poniższe przykłady są prawdziwe i zauważyłam je po przejrzeniu kilku stron www z ogłoszeniami o pracę. Przygotowując swoje ogłoszenie do opublikowania na takiej stronie sprawdź, czy nie występuje u Ciebie któreś ze wskazanych przeze mnie ryzyk niezgodności z RODO.

To, na co zwróciłam uwagę, to m.in.:

  • brak klauzuli informacyjnej dotyczącej pracodawcy, jako administratora danych.

Zgodnie z RODO kandydatowi należy podać wszystkie informacje o przetwarzaniu jego danych (o zakresie tych informacji mówi art. 13 RODO) podczas pozyskiwania jego danych osobowych (w przypadku, kiedy dane są zbierane bezpośrednio od kandydata). Zamieszczenie klauzuli informacyjnej już w treści samego ogłoszenia o pracę jest idealnym rozwiązaniem, żeby obowiązek ten spełnić. Forma? Do wyboru, byleby spełniała wymagania RODO, tzn. umożliwiała przekazanie klauzuli w sposób prosty, jasny, przejrzysty, wyraźny. Może to być otwarty, pełny tekst klauzuli, ale równie dobrze można zastosować opcję tzw. warstwowego obowiązku informacyjnego, czyli podania najważniejszych informacji w tekście otwartym, a resztę zwinąć do przeczytania po kliknięciu „Czytaj więcej”.

  • brak zgody, jeżeli to ona jest podstawą prawną przetwarzania danych (zwłaszcza, jeżeli w CV kandydat poda więcej danych niż wymienione w kodeksie pracy, które można przetwarzać na podstawie przepisów prawa).

W tym przypadku można pouczyć kandydata w samym ogłoszeniu, żeby klauzulę zgody zamieścił (przekleił) w swoim CV, ale niestety – nadal polegamy tylko na działaniu kandydata (który może prośbę zignorować lub jej nie doczytać).

  • niepełna zgoda kandydata

Innym często spotykanym błędem jest to, że zgoda wyrażana przez kandydata jest niepełna, co oznacza, że nie spełnia w całości wymogów RODO. Może zabraknąć niektórych informacji, jak np.: pełnych danych właściwego administratora, wymienionych dokładnie wszystkich celów przetwarzania lub informacji o możliwości odwołania zgody w dowolnym czasie bez wpływu na zgodność przetwarzania przed jej odwołaniem. Bez podania ich wszystkich w komplecie nie można mówić o tym, że klauzula zgody jest zgodna z przepisami prawa.

  • sprzeczne informacje dla kandydata dotyczące dołączenia zgody

Zauważyłam, że czasami w ogłoszeniach o pracę kandydat dostaje jednocześnie dwie różne informacje o załączeniu zgody. Np. bezpośrednio pod formularzem istnieje ręcznie dołożona przez rekrutera informacja o tym, żeby kandydat załączył do CV odpowiednią i podaną przez pracodawcę klauzulę zgody, a jednocześnie w tym samym formularzu systemowo (tzn. przez portal ogłoszeniowy) widnieje informacja o tym, że określona klauzula zgody (standardowa, „portalowa” lub spersonalizowana danymi pracodawcy), będzie dołączana do aplikacji automatycznie. Pytanie brzmi, która zgoda wygrywa? Można ciągnąć losy, ale czy to konieczne? Zwróćcie uwagę, czy w Waszych ogłoszeniach nie ma takich kwiatków, których można uniknąć.

  • brak szansy na pozyskanie zgody na rekrutacje przyszłe

To nie jest samo w sobie ryzykiem naruszenia RODO, ale jeżeli zależy Wam na budowaniu bazy kandydatów również na cele innych rekrutacji, to – analogicznie jak w punkcie powyżej – można wykorzystać ogłoszenie jako szansę na pozyskanie od kandydata takiej zgody (która musi być dobrowolnie wyrażona).

  • profil firmowy vs prywatny? Ryzyko zachowania danych na personalnym koncie

To jest akurat coś, o czym często można zapomnieć. Na portalach ogłoszeniowych bywa tak, że aby zamieścić ogłoszenie o pracę trzeba założyć konto. I tu się pojawia problem, bo okazuje się, że w praktyce niektórzy nadal stosują swoje konta prywatne (nie w domenie formowej). Ponadto, istotnym jest ustalenie wewnętrznych zasad rekrutacji w ten sposób, żeby wszelkie ustalenia z kandydatem były prowadzone w „centralnym” systemie, np. odpowiednio dopasowanym do tego ATS. W przeciwnym razie wyobraźmy sobie, że np. rekruter potwierdza zgody z kandydatem w swoich wiadomościach bezpośrednich na portalu i ta informacja znajduje się wyłącznie tam. Co się stanie po odejściu rekrutera? Tak, nie mylicie się – dowody na wyrażenie zgody przez kandydata przepadną.

Inne ryzyka

Poniżej przedstawię Wam jeszcze kilka przemyśleń na temat innych potencjalnych ryzyk, które mogą wystąpić w razie przetwarzania danych za pośrednictwem portali ogłoszeniowych (co może mieć miejsce w przypadku przetwarzania danych na samym koncie rekrutera/pracodawcy czy wiadomości wymienianych na portalu). Im szybciej się o nich dowiecie, tym większa szansa na to, że w porę uda Wam się ich uniknąć:

  • obszary przetwarzania danych (lokalizacja serwerów) – bywają trudności z ustaleniem, gdzie fizycznie dane się znajdują (czy w EOG?),
  • zabezpieczenia techniczne systemu są często poza administratorem, który przecież też jest odpowiedzialny za bezpieczne przetwarzanie danych swoich kandydatów,
  • brak jednolitego podejścia – różne portale podchodzą inaczej do kwestii zakresu danych, klauzul dla kandydata, postanowień umownych/regulaminów dla administratora, co w konsekwencji oznacza, że każde portal i możliwości zamieszczania w nim ogłoszeń trzeba skrupulatnie przejrzeć,
  • zdecentralizowanie miejsc przetwarzania danych (np. skrzynka odbiorcza portalu ogłoszeniowego, komunikator przypisany do indywidualnego konta), a co za tym idzie – np. pominięcie usunięcia danych lub utrata dostępu do danych w razie odejścia pracownika.

Co warto zrobić?

To jest dobre pytanie, na które chciałabym odpowiedzieć, żeby nie pozostawiać Was wyłącznie z informacją o błędach czy ryzykach. Oto kilak podpowiedzi:

  • maksymalnie jak się da uzupełnić ogłoszenie np. o klauzulę informacyjną,
  • przygotować spójne i pełne klauzule zgody,
  • tam, gdzie to możliwe, stosować konta firmowe/maile służbowe,
  • zapewnić ciągłość działania i dostępu do danych,
  • zapewnić przekazywanie danych do jednego systemu nadzorowanego przez administratora (scentralizować proces zbierania danych),
  • sprawdzić dokładnie regulaminy portali ogłoszeniowych, w tym rozwiązanie kwestii formalnych dotyczących udostępnienia/powierzenia danych,
  • zweryfikować miejsca przetwarzania danych i zminimalizować je, aby łatwiej było zarządzać danymi,
  • przygotować procedurę rekrutacji, która w przejrzysty sposób będzie zawierać informację dla rekruterów, co do zasad korzystania z. portali ogłoszeniowych.

Głodni wiedzy?

Jeżeli chcielibyście poszerzyć praktyczną wiedzę dotyczącą przetwarzania danych w HR, w tym kandydatów do pracy, jesteśmy do Waszej dyspozycji. Mamy m.in. przygotowane nasze autorskie szkolenie, którego agenda wynikła z potrzeb pracodawców / rekruterów. Wsłuchujemy się w pytania, które sami otrzymujemy podczas współpracy jako IOD, czy szkoleń przez nas prowadzonych. Na tej podstawie przygotowaliśmy unikalne szkolenie poświęcone wyłącznie tematom przetwarzania danych osobowych w HR. Znając tę problematykę od praktycznej strony wierzymy, że nasze doświadczenie pozwala na prawidłowe omówienie sytuacji, co do których pracownicy HR najczęściej poszukują wyjaśnień. Chętnie podzielimy się nimi także z Tobą, dlatego zapraszamy do zapisów! 🙂

Pobierz wpis w wersji pdf

Podobne wpisy:

Robimy newsletter – krok po kroku

Newsletter to bardzo popularna forma budowania i podtrzymywania kontaktów tak z klientami jak i potencjalnymi klientami. Dzięki niemu możemy np. informować o nowościach, promocjach, istotnych dla nas wydarzeniach, itp. Wydaje się, że w dzisiejszych czasach ciężko sobie wyobrazić stworzenie sensownej strategii marketingowej bez sięgnięcia po tak istotne narzędzie jakim niewątpliwie jest newsletter.  W niniejszym wpisie, […]

Wytyczne organów – przypadkowe ujawnienie danych

Komunikacja elektroniczna jest dziś podstawowym sposobem przesyłania informacji. Wiążą się z nią jednak pewne ryzyka, zwłaszcza jeśli przekazywane komunikaty i dokumenty załączane do wiadomości elektronicznych zawierają dane osobowe. Dane osobowe mogą być również przesyłane pocztą tradycyjną i również ta forma komunikacji nie jest pozbawiona zagrożeń.  Główne ryzyko polega na przypadkowym przesłaniu danych osobowych przez administratora […]

10 błędów przy wdrożeniu RODO – „papierowe” wdrożenie

Dziś mijają dwa lata od wejścia w życie RODO. Czy przez ten czas przedsiębiorcom udało się osiągnąć pełną zgodność z nowymi przepisami? Z naszego doświadczenia wynika, że spora część firm dokonała wdrożenia jedynie formalnie, a przygotowana dokumentacja często nie odpowiada indywidulanym potrzebom danej organizacji. Niedawno Związek Firm Ochrony Danych Osobowych opublikował zestawienie 10 największych błędów […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki