iSecure logo
Blog

RODO a portale ogłoszeniowe – najczęstsze błędy podczas zamieszczania ogłoszeń o pracę

Pracodawco! Czy Ty też chcesz dotrzeć do kandydatów ze swoim ogłoszeniem o pracę za pośrednictwem portali ogłoszeniowych? Jeżeli tak, to ten artykuł jest zdecydowanie dla Ciebie. Wyjaśnię w nim, jakie przypadki w praktyce często generują ryzyko błędu, ale też – dla równowagi – przedstawię kilka ważnych porad, dzięki którym Twoje ogłoszenie będzie zgodne z RODO.

O RODO w rekrutacji w szerszym zakresie pisałam m.in. tutaj. W tym wpisie skupimy się na błędach w ogłoszeniu o pracę.

Najczęściej spotykane wady w ogłoszeniach o pracę

Wiadomo, że portale ogłoszeniowe mają swoje własne, indywidualne rozwiązania, dlatego raczej nie ma szansy na to, żeby przy okazji jednego ogłoszenia wszystkie poniższe wady wystąpiły łącznie. Poniższe przykłady są prawdziwe i zauważyłam je po przejrzeniu kilku stron www z ogłoszeniami o pracę. Przygotowując swoje ogłoszenie do opublikowania na takiej stronie sprawdź, czy nie występuje u Ciebie któreś ze wskazanych przeze mnie ryzyk niezgodności z RODO.

To, na co zwróciłam uwagę, to m.in.:

  • brak klauzuli informacyjnej dotyczącej pracodawcy, jako administratora danych.

Zgodnie z RODO kandydatowi należy podać wszystkie informacje o przetwarzaniu jego danych (o zakresie tych informacji mówi art. 13 RODO) podczas pozyskiwania jego danych osobowych (w przypadku, kiedy dane są zbierane bezpośrednio od kandydata). Zamieszczenie klauzuli informacyjnej już w treści samego ogłoszenia o pracę jest idealnym rozwiązaniem, żeby obowiązek ten spełnić. Forma? Do wyboru, byleby spełniała wymagania RODO, tzn. umożliwiała przekazanie klauzuli w sposób prosty, jasny, przejrzysty, wyraźny. Może to być otwarty, pełny tekst klauzuli, ale równie dobrze można zastosować opcję tzw. warstwowego obowiązku informacyjnego, czyli podania najważniejszych informacji w tekście otwartym, a resztę zwinąć do przeczytania po kliknięciu „Czytaj więcej”.

  • brak zgody, jeżeli to ona jest podstawą prawną przetwarzania danych (zwłaszcza, jeżeli w CV kandydat poda więcej danych niż wymienione w kodeksie pracy, które można przetwarzać na podstawie przepisów prawa).

W tym przypadku można pouczyć kandydata w samym ogłoszeniu, żeby klauzulę zgody zamieścił (przekleił) w swoim CV, ale niestety – nadal polegamy tylko na działaniu kandydata (który może prośbę zignorować lub jej nie doczytać).

  • niepełna zgoda kandydata

Innym często spotykanym błędem jest to, że zgoda wyrażana przez kandydata jest niepełna, co oznacza, że nie spełnia w całości wymogów RODO. Może zabraknąć niektórych informacji, jak np.: pełnych danych właściwego administratora, wymienionych dokładnie wszystkich celów przetwarzania lub informacji o możliwości odwołania zgody w dowolnym czasie bez wpływu na zgodność przetwarzania przed jej odwołaniem. Bez podania ich wszystkich w komplecie nie można mówić o tym, że klauzula zgody jest zgodna z przepisami prawa.

  • sprzeczne informacje dla kandydata dotyczące dołączenia zgody

Zauważyłam, że czasami w ogłoszeniach o pracę kandydat dostaje jednocześnie dwie różne informacje o załączeniu zgody. Np. bezpośrednio pod formularzem istnieje ręcznie dołożona przez rekrutera informacja o tym, żeby kandydat załączył do CV odpowiednią i podaną przez pracodawcę klauzulę zgody, a jednocześnie w tym samym formularzu systemowo (tzn. przez portal ogłoszeniowy) widnieje informacja o tym, że określona klauzula zgody (standardowa, „portalowa” lub spersonalizowana danymi pracodawcy), będzie dołączana do aplikacji automatycznie. Pytanie brzmi, która zgoda wygrywa? Można ciągnąć losy, ale czy to konieczne? Zwróćcie uwagę, czy w Waszych ogłoszeniach nie ma takich kwiatków, których można uniknąć.

  • brak szansy na pozyskanie zgody na rekrutacje przyszłe

To nie jest samo w sobie ryzykiem naruszenia RODO, ale jeżeli zależy Wam na budowaniu bazy kandydatów również na cele innych rekrutacji, to – analogicznie jak w punkcie powyżej – można wykorzystać ogłoszenie jako szansę na pozyskanie od kandydata takiej zgody (która musi być dobrowolnie wyrażona).

  • profil firmowy vs prywatny? Ryzyko zachowania danych na personalnym koncie

To jest akurat coś, o czym często można zapomnieć. Na portalach ogłoszeniowych bywa tak, że aby zamieścić ogłoszenie o pracę trzeba założyć konto. I tu się pojawia problem, bo okazuje się, że w praktyce niektórzy nadal stosują swoje konta prywatne (nie w domenie formowej). Ponadto, istotnym jest ustalenie wewnętrznych zasad rekrutacji w ten sposób, żeby wszelkie ustalenia z kandydatem były prowadzone w „centralnym” systemie, np. odpowiednio dopasowanym do tego ATS. W przeciwnym razie wyobraźmy sobie, że np. rekruter potwierdza zgody z kandydatem w swoich wiadomościach bezpośrednich na portalu i ta informacja znajduje się wyłącznie tam. Co się stanie po odejściu rekrutera? Tak, nie mylicie się – dowody na wyrażenie zgody przez kandydata przepadną.

Inne ryzyka

Poniżej przedstawię Wam jeszcze kilka przemyśleń na temat innych potencjalnych ryzyk, które mogą wystąpić w razie przetwarzania danych za pośrednictwem portali ogłoszeniowych (co może mieć miejsce w przypadku przetwarzania danych na samym koncie rekrutera/pracodawcy czy wiadomości wymienianych na portalu). Im szybciej się o nich dowiecie, tym większa szansa na to, że w porę uda Wam się ich uniknąć:

  • obszary przetwarzania danych (lokalizacja serwerów) – bywają trudności z ustaleniem, gdzie fizycznie dane się znajdują (czy w EOG?),
  • zabezpieczenia techniczne systemu są często poza administratorem, który przecież też jest odpowiedzialny za bezpieczne przetwarzanie danych swoich kandydatów,
  • brak jednolitego podejścia – różne portale podchodzą inaczej do kwestii zakresu danych, klauzul dla kandydata, postanowień umownych/regulaminów dla administratora, co w konsekwencji oznacza, że każde portal i możliwości zamieszczania w nim ogłoszeń trzeba skrupulatnie przejrzeć,
  • zdecentralizowanie miejsc przetwarzania danych (np. skrzynka odbiorcza portalu ogłoszeniowego, komunikator przypisany do indywidualnego konta), a co za tym idzie – np. pominięcie usunięcia danych lub utrata dostępu do danych w razie odejścia pracownika.

Co warto zrobić?

To jest dobre pytanie, na które chciałabym odpowiedzieć, żeby nie pozostawiać Was wyłącznie z informacją o błędach czy ryzykach. Oto kilak podpowiedzi:

  • maksymalnie jak się da uzupełnić ogłoszenie np. o klauzulę informacyjną,
  • przygotować spójne i pełne klauzule zgody,
  • tam, gdzie to możliwe, stosować konta firmowe/maile służbowe,
  • zapewnić ciągłość działania i dostępu do danych,
  • zapewnić przekazywanie danych do jednego systemu nadzorowanego przez administratora (scentralizować proces zbierania danych),
  • sprawdzić dokładnie regulaminy portali ogłoszeniowych, w tym rozwiązanie kwestii formalnych dotyczących udostępnienia/powierzenia danych,
  • zweryfikować miejsca przetwarzania danych i zminimalizować je, aby łatwiej było zarządzać danymi,
  • przygotować procedurę rekrutacji, która w przejrzysty sposób będzie zawierać informację dla rekruterów, co do zasad korzystania z. portali ogłoszeniowych.

Głodni wiedzy?

Jeżeli chcielibyście poszerzyć praktyczną wiedzę dotyczącą przetwarzania danych w HR, w tym kandydatów do pracy, jesteśmy do Waszej dyspozycji. Mamy m.in. przygotowane nasze autorskie szkolenie, którego agenda wynikła z potrzeb pracodawców / rekruterów. Wsłuchujemy się w pytania, które sami otrzymujemy podczas współpracy jako IOD, czy szkoleń przez nas prowadzonych. Na tej podstawie przygotowaliśmy unikalne szkolenie poświęcone wyłącznie tematom przetwarzania danych osobowych w HR. Znając tę problematykę od praktycznej strony wierzymy, że nasze doświadczenie pozwala na prawidłowe omówienie sytuacji, co do których pracownicy HR najczęściej poszukują wyjaśnień. Chętnie podzielimy się nimi także z Tobą, dlatego zapraszamy do zapisów! 🙂

Pobierz wpis w wersji pdf

Podobne wpisy:

Obowiązki pracodawcy w zakresie ochrony danych osobowych, który wprowadził PPK dla swoich pracowników

Zgodnie z ustawą z dnia 4 października 2018 r. o pracowniczych planach kapitałowych każda organizacja, która zatrudnia co najmniej jedną osobę podlegającą obowiązkowo ubezpieczeniom emerytalnemu i rentowemu, musi otworzyć pracownicze plany kapitałowe (PPK) dla swoich pracowników i zleceniobiorców. PPK są prowadzone przez instytucję finansową na podstawie umowy o prowadzenie PPK, zawieranej przez pracodawcę w imieniu […]

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Dlaczego RODO nie zabije blockchain i technologii rejestrów rozproszonych

Wśród specjalistów, którzy pracują na styku prawa i nowych technologii trwa dyskusja czy przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) stoją w sprzeczności z fundamentami działania technologii rejestrów rozproszonych, jak Bitcoin, Ethereum czy Ripple. Jeśli jednak przyjrzeć się fundamentom działania rejestrów rozproszonych, to okaże się, że obawy dotyczące RODO nie mają podstaw. Mało tego, przepisy RODO w wielu wypadkach w ogóle mogą nie mieć zastosowania w odniesieniu do rejestrów rozproszonych.

O ochronie danych osobowych w Nowoczesnej Firmie

Nieoczywiste korzyści z audytu RODO

Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki