iSecure logo
  • pl
  • en
    • Blog

    RODO a portale ogłoszeniowe – najczęstsze błędy podczas zamieszczania ogłoszeń o pracę

    Katarzyna Ułasiuk-Delamare
    Kategorie

    Pracodawco! Czy Ty też chcesz dotrzeć do kandydatów ze swoim ogłoszeniem o pracę za pośrednictwem portali ogłoszeniowych? Jeżeli tak, to ten artykuł jest zdecydowanie dla Ciebie. Wyjaśnię w nim, jakie przypadki w praktyce często generują ryzyko błędu, ale też – dla równowagi – przedstawię kilka ważnych porad, dzięki którym Twoje ogłoszenie będzie zgodne z RODO.

    O RODO w rekrutacji w szerszym zakresie pisałam m.in. tutaj. W tym wpisie skupimy się na błędach w ogłoszeniu o pracę.

    Najczęściej spotykane wady w ogłoszeniach o pracę

    Wiadomo, że portale ogłoszeniowe mają swoje własne, indywidualne rozwiązania, dlatego raczej nie ma szansy na to, żeby przy okazji jednego ogłoszenia wszystkie poniższe wady wystąpiły łącznie. Poniższe przykłady są prawdziwe i zauważyłam je po przejrzeniu kilku stron www z ogłoszeniami o pracę. Przygotowując swoje ogłoszenie do opublikowania na takiej stronie sprawdź, czy nie występuje u Ciebie któreś ze wskazanych przeze mnie ryzyk niezgodności z RODO.

    To, na co zwróciłam uwagę, to m.in.:

    • brak klauzuli informacyjnej dotyczącej pracodawcy, jako administratora danych.

    Zgodnie z RODO kandydatowi należy podać wszystkie informacje o przetwarzaniu jego danych (o zakresie tych informacji mówi art. 13 RODO) podczas pozyskiwania jego danych osobowych (w przypadku, kiedy dane są zbierane bezpośrednio od kandydata). Zamieszczenie klauzuli informacyjnej już w treści samego ogłoszenia o pracę jest idealnym rozwiązaniem, żeby obowiązek ten spełnić. Forma? Do wyboru, byleby spełniała wymagania RODO, tzn. umożliwiała przekazanie klauzuli w sposób prosty, jasny, przejrzysty, wyraźny. Może to być otwarty, pełny tekst klauzuli, ale równie dobrze można zastosować opcję tzw. warstwowego obowiązku informacyjnego, czyli podania najważniejszych informacji w tekście otwartym, a resztę zwinąć do przeczytania po kliknięciu „Czytaj więcej”.

    • brak zgody, jeżeli to ona jest podstawą prawną przetwarzania danych (zwłaszcza, jeżeli w CV kandydat poda więcej danych niż wymienione w kodeksie pracy, które można przetwarzać na podstawie przepisów prawa).

    W tym przypadku można pouczyć kandydata w samym ogłoszeniu, żeby klauzulę zgody zamieścił (przekleił) w swoim CV, ale niestety – nadal polegamy tylko na działaniu kandydata (który może prośbę zignorować lub jej nie doczytać).

    • niepełna zgoda kandydata

    Innym często spotykanym błędem jest to, że zgoda wyrażana przez kandydata jest niepełna, co oznacza, że nie spełnia w całości wymogów RODO. Może zabraknąć niektórych informacji, jak np.: pełnych danych właściwego administratora, wymienionych dokładnie wszystkich celów przetwarzania lub informacji o możliwości odwołania zgody w dowolnym czasie bez wpływu na zgodność przetwarzania przed jej odwołaniem. Bez podania ich wszystkich w komplecie nie można mówić o tym, że klauzula zgody jest zgodna z przepisami prawa.

    • sprzeczne informacje dla kandydata dotyczące dołączenia zgody

    Zauważyłam, że czasami w ogłoszeniach o pracę kandydat dostaje jednocześnie dwie różne informacje o załączeniu zgody. Np. bezpośrednio pod formularzem istnieje ręcznie dołożona przez rekrutera informacja o tym, żeby kandydat załączył do CV odpowiednią i podaną przez pracodawcę klauzulę zgody, a jednocześnie w tym samym formularzu systemowo (tzn. przez portal ogłoszeniowy) widnieje informacja o tym, że określona klauzula zgody (standardowa, „portalowa” lub spersonalizowana danymi pracodawcy), będzie dołączana do aplikacji automatycznie. Pytanie brzmi, która zgoda wygrywa? Można ciągnąć losy, ale czy to konieczne? Zwróćcie uwagę, czy w Waszych ogłoszeniach nie ma takich kwiatków, których można uniknąć.

    • brak szansy na pozyskanie zgody na rekrutacje przyszłe

    To nie jest samo w sobie ryzykiem naruszenia RODO, ale jeżeli zależy Wam na budowaniu bazy kandydatów również na cele innych rekrutacji, to – analogicznie jak w punkcie powyżej – można wykorzystać ogłoszenie jako szansę na pozyskanie od kandydata takiej zgody (która musi być dobrowolnie wyrażona).

    • profil firmowy vs prywatny? Ryzyko zachowania danych na personalnym koncie

    To jest akurat coś, o czym często można zapomnieć. Na portalach ogłoszeniowych bywa tak, że aby zamieścić ogłoszenie o pracę trzeba założyć konto. I tu się pojawia problem, bo okazuje się, że w praktyce niektórzy nadal stosują swoje konta prywatne (nie w domenie formowej). Ponadto, istotnym jest ustalenie wewnętrznych zasad rekrutacji w ten sposób, żeby wszelkie ustalenia z kandydatem były prowadzone w „centralnym” systemie, np. odpowiednio dopasowanym do tego ATS. W przeciwnym razie wyobraźmy sobie, że np. rekruter potwierdza zgody z kandydatem w swoich wiadomościach bezpośrednich na portalu i ta informacja znajduje się wyłącznie tam. Co się stanie po odejściu rekrutera? Tak, nie mylicie się – dowody na wyrażenie zgody przez kandydata przepadną.

    Inne ryzyka

    Poniżej przedstawię Wam jeszcze kilka przemyśleń na temat innych potencjalnych ryzyk, które mogą wystąpić w razie przetwarzania danych za pośrednictwem portali ogłoszeniowych (co może mieć miejsce w przypadku przetwarzania danych na samym koncie rekrutera/pracodawcy czy wiadomości wymienianych na portalu). Im szybciej się o nich dowiecie, tym większa szansa na to, że w porę uda Wam się ich uniknąć:

    • obszary przetwarzania danych (lokalizacja serwerów) – bywają trudności z ustaleniem, gdzie fizycznie dane się znajdują (czy w EOG?),
    • zabezpieczenia techniczne systemu są często poza administratorem, który przecież też jest odpowiedzialny za bezpieczne przetwarzanie danych swoich kandydatów,
    • brak jednolitego podejścia – różne portale podchodzą inaczej do kwestii zakresu danych, klauzul dla kandydata, postanowień umownych/regulaminów dla administratora, co w konsekwencji oznacza, że każde portal i możliwości zamieszczania w nim ogłoszeń trzeba skrupulatnie przejrzeć,
    • zdecentralizowanie miejsc przetwarzania danych (np. skrzynka odbiorcza portalu ogłoszeniowego, komunikator przypisany do indywidualnego konta), a co za tym idzie – np. pominięcie usunięcia danych lub utrata dostępu do danych w razie odejścia pracownika.

    Co warto zrobić?

    To jest dobre pytanie, na które chciałabym odpowiedzieć, żeby nie pozostawiać Was wyłącznie z informacją o błędach czy ryzykach. Oto kilak podpowiedzi:

    • maksymalnie jak się da uzupełnić ogłoszenie np. o klauzulę informacyjną,
    • przygotować spójne i pełne klauzule zgody,
    • tam, gdzie to możliwe, stosować konta firmowe/maile służbowe,
    • zapewnić ciągłość działania i dostępu do danych,
    • zapewnić przekazywanie danych do jednego systemu nadzorowanego przez administratora (scentralizować proces zbierania danych),
    • sprawdzić dokładnie regulaminy portali ogłoszeniowych, w tym rozwiązanie kwestii formalnych dotyczących udostępnienia/powierzenia danych,
    • zweryfikować miejsca przetwarzania danych i zminimalizować je, aby łatwiej było zarządzać danymi,
    • przygotować procedurę rekrutacji, która w przejrzysty sposób będzie zawierać informację dla rekruterów, co do zasad korzystania z. portali ogłoszeniowych.

    Głodni wiedzy?

    Jeżeli chcielibyście poszerzyć praktyczną wiedzę dotyczącą przetwarzania danych w HR, w tym kandydatów do pracy, jesteśmy do Waszej dyspozycji. Mamy m.in. przygotowane nasze autorskie szkolenie, którego agenda wynikła z potrzeb pracodawców / rekruterów. Wsłuchujemy się w pytania, które sami otrzymujemy podczas współpracy jako IOD, czy szkoleń przez nas prowadzonych. Na tej podstawie przygotowaliśmy unikalne szkolenie poświęcone wyłącznie tematom przetwarzania danych osobowych w HR. Znając tę problematykę od praktycznej strony wierzymy, że nasze doświadczenie pozwala na prawidłowe omówienie sytuacji, co do których pracownicy HR najczęściej poszukują wyjaśnień. Chętnie podzielimy się nimi także z Tobą, dlatego zapraszamy do zapisów! 🙂

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maciej Łukaszewicz

    Szczepienia przeciw COVID-19 w zakładzie pracy

    Temat szczepień w zakładach pracy jest w ostatnich tygodniach jednym z istotniejszych kwestii w każdym większym przedsiębiorstwie. Dostępność szczepionek przeciw Covid-19 stała się na tyle wysoka, że zakłady pracy starają się zapewnić swoim pracownikom możliwość zaszczepienia się. W tym czasie większość Inspektorów Ochrony Danych w Polsce zastanawia się, w jaki sposób zaprojektować proces szczepień w […]

    Czytaj więcej
    RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych
    Olga Skotnicka

    RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

    W trzeciej części cyklu o najważniejszych zmianach wprowadzanych przez RODO/GDPR  przedstawiamy obowiązki zgłaszania naruszeń danych osobowych

    Czytaj więcej
    Bartosz Migas

    PLIKI COOKIES PO POLSKU

    Ciasteczkowy zawrót głowy  Pliki cookies wykorzystywane są dzisiaj niemal na każdej stronie internetowej. Informacje o użytkowniku danego sprzętu pozwalają dostosować usługi do konkretnej osoby, zebrać informacje statystyczne i analityczne o działaniu serwisu, ale także poznać zachowania odwiedzających/kupujących, które później wyznaczają kierunki kampanii reklamowych.  Pliki cookies to technologia zbierająca dane o użytkownikach, a ich użycie jest […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki