W trakcie realizacji opisanego poniżej case study spotkałam się z sytuacją, w której klient stosował nadmiar zgód w formularzu rekrutacyjnym, wierząc, że zapewnia to większe bezpieczeństwo w kontekście RODO. W praktyce jednak takie podejście prowadziło do niepotrzebnej komplikacji procesu, obniżało jego przejrzystość i komfort dla kandydatów, a także generowało dodatkowe ryzyka prawne i organizacyjne.
Stan faktyczny
Klient, u którego – jako IOD – przeprowadziłam audyt procesu rekrutacyjnego był przekonany, że zbierając aż pięć różnych zgód działa zgodnie z wymogami wynikającymi z przepisów prawa, w tym RODO. Poniżej wskazuję jakie zgody pojawiły się w formularzu stosowanym do gromadzenia CV, co – moim zdaniem – dobrze pokazuje problem nadmiaru zgód. Otóż pojawiły się tam następujące klauzule:
Wyrażam zgodę na przetwarzanie moich danych osobowych w procesie rekrutacji.
Wyrażam zgodę na przetwarzanie mojego wizerunku znajdującego się w CV.
Wyrażam zgodę na przechowywanie mojego CV w bazie danych w celu kontaktu w przyszłych rekrutacjach.
Wyrażam zgodę na kontakt telefoniczny i e-mailowy w sprawach rekrutacyjnych.
Wyrażam zgodę na przekazywanie moich danych osobom trzecim współpracującym przy procesie rekrutacji.
Gdzie leżał problem?
Oczywiście jest zrozumiałe, że działy HR chcą mieć podstawę do przetwarzania informacji przekazywanych przez kandydatów oraz do kontaktu z nimi, jednak jedyną zgodą, którą warto pozostawić w tym przypadku, jest zgoda na wykorzystanie CV w przyszłych rekrutacjach, ponieważ umożliwia legalny kontakt z kandydatem. W pozostałych przypadkach podstawy przetwarzania danych wynikają z przepisów RODO oraz Kodeksu pracy, i to one powinny być jasno wskazane w klauzuli informacyjnej. Nadmierna liczba zgód może wprowadzać kandydatów w dezorientację i utrudniać pozyskanie CV od właściwych osób.
Ciekawe było również to, że obowiązek informacyjny został u klienta wdrożony prawidłowo, jednak w praktyce okazał się nieskuteczny. Treść klauzuli była bardzo długa i przez to mało czytelna, a dodatkowo brakowało w niej kilku istotnych punktów wymaganych przez art. 13 RODO, takich jak informacji o odbiorcach danych czy wszystkich celów przetwarzania. Jest to kolejny dowód na to, że „więcej” nie zawsze oznacza „lepiej”.
Działania korygujące i naprawcze
Finalnie, wspólnie z klientem przebudowaliśmy cały proces. Liczbę zgód zredukowaliśmy do jednej (dotyczącej przyszłych rekrutacji), a pozostałe obszary odpowiednio opisaliśmy w klauzuli informacyjnej dołączonej do dokumentów rekrutacyjnych.
Omówiliśmy okres retencji danych i ustaliliśmy, że dane kandydatów w bazie na potrzeby przyszłych rekrutacji będą przechowywane maksymalnie przez 12 miesięcy. Dzięki temu klient będzie postępował zgodnie z zasadą minimalizacji danych, a także zmniejszy ryzyko wynikające z nadmiernego przechowywania informacji, które w przypadku wycieku lub nieuprawnionego dostępu mogłyby powodować poważniejsze skutki dla kandydatów oraz zwiększoną odpowiedzialność prawną firmy.
Dodatkowo, przeprowadziliśmy szkolenia dla zespołu HR, aby pracownicy szybko mogli wdrożyć się w zmiany i zrozumieć ich przyczynę, a także mogli być czujni na przyszłość.
Dzięki tym działaniom proces stał się przejrzysty i prostszy dla kandydatów, a jednocześnie bezpieczniejszy i wygodniejszy dla organizacji.
Podsumowując, jeśli miałabym wskazać jedną krótką radę dla działu HR, powiedziałabym: dokładnie przemyślcie, czy każda zgoda w formularzu jest naprawdę potrzebna – zarządzanie nimi jest skomplikowane, a sama zgoda stanowi najmniej pewną podstawę prawną z uwagi na łatwość jej wycofania. Zastanówcie się lub skonsultujcie z IOD, czy nie istnieje inne rozwiązanie, a następnie skupcie się na jasnym opisaniu wszystkich informacji w klauzuli informacyjnej. Regularnie przeglądajcie formularze i procedury pod kątem retencji danych, a proces stanie się prostszy w zarządzaniu i znacznie skuteczniejszy.
Już 18 listopada br. planujemy zorganizować bezpłatny webinar pt. „Czy HR potrzebuje IOD-a bardziej niż myśli? Praktyczne przykłady wsparcia”. Jeśli nie chcecie przegapić informacji o rozpoczęciu rejestracji na to wydarzenie, zachęcam do dołączenia do grona subskrybentów naszego firmowego newslettera edukacyjnego: https://www.isecure.pl/newsletter/
