iSecure logo
  • pl
  • en
    • Blog

    Zbyt wiele zgód w procesie rekrutacji – case study

    Urszula Koc
    Kategorie

    W trakcie realizacji opisanego poniżej case study spotkałam się z sytuacją, w której klient stosował nadmiar zgód w formularzu rekrutacyjnym, wierząc, że zapewnia to większe bezpieczeństwo w kontekście RODO. W praktyce jednak takie podejście prowadziło do niepotrzebnej komplikacji procesu, obniżało jego przejrzystość i komfort dla kandydatów, a także generowało dodatkowe ryzyka prawne i organizacyjne.

    Stan faktyczny

    Klient, u którego – jako IOD – przeprowadziłam audyt procesu rekrutacyjnego był przekonany, że zbierając aż pięć różnych zgód działa zgodnie z wymogami wynikającymi z przepisów prawa, w tym RODO. Poniżej wskazuję jakie zgody pojawiły się w formularzu stosowanym do gromadzenia CV, co – moim zdaniem – dobrze pokazuje problem nadmiaru zgód. Otóż pojawiły się tam następujące klauzule:

    Wyrażam zgodę na przetwarzanie moich danych osobowych w procesie rekrutacji.

    Wyrażam zgodę na przetwarzanie mojego wizerunku znajdującego się w CV.

    Wyrażam zgodę na przechowywanie mojego CV w bazie danych w celu kontaktu w przyszłych rekrutacjach.

    Wyrażam zgodę na kontakt telefoniczny i e-mailowy w sprawach rekrutacyjnych.

    Wyrażam zgodę na przekazywanie moich danych osobom trzecim współpracującym przy procesie rekrutacji.

    Gdzie leżał problem?

    Oczywiście jest zrozumiałe, że działy HR chcą mieć podstawę do przetwarzania informacji przekazywanych przez kandydatów oraz do kontaktu z nimi, jednak jedyną zgodą, którą warto pozostawić w tym przypadku, jest zgoda na wykorzystanie CV w przyszłych rekrutacjach, ponieważ umożliwia legalny kontakt z kandydatem. W pozostałych przypadkach podstawy przetwarzania danych wynikają z przepisów RODO oraz Kodeksu pracy, i to one powinny być jasno wskazane w klauzuli informacyjnej. Nadmierna liczba zgód może wprowadzać kandydatów w dezorientację i utrudniać pozyskanie CV od właściwych osób.

    Ciekawe było również to, że obowiązek informacyjny został u klienta wdrożony prawidłowo, jednak w praktyce okazał się nieskuteczny. Treść klauzuli była bardzo długa i przez to mało czytelna, a dodatkowo brakowało w niej kilku istotnych punktów wymaganych przez art. 13 RODO, takich jak informacji o odbiorcach danych czy wszystkich celów przetwarzania. Jest to kolejny dowód na to, że „więcej” nie zawsze oznacza „lepiej”.

    Działania korygujące i naprawcze

    Finalnie, wspólnie z klientem przebudowaliśmy cały proces. Liczbę zgód zredukowaliśmy do jednej (dotyczącej przyszłych rekrutacji), a pozostałe obszary odpowiednio opisaliśmy w klauzuli informacyjnej dołączonej do dokumentów rekrutacyjnych.

    Omówiliśmy okres retencji danych i ustaliliśmy, że dane kandydatów w bazie na potrzeby przyszłych rekrutacji będą przechowywane maksymalnie przez 12 miesięcy. Dzięki temu klient będzie postępował zgodnie z zasadą minimalizacji danych, a także zmniejszy ryzyko wynikające z nadmiernego przechowywania informacji, które w przypadku wycieku lub nieuprawnionego dostępu mogłyby powodować poważniejsze skutki dla kandydatów oraz zwiększoną odpowiedzialność prawną firmy.

    Dodatkowo, przeprowadziliśmy szkolenia dla zespołu HR, aby pracownicy szybko mogli wdrożyć się w zmiany i zrozumieć ich przyczynę, a także mogli być czujni na przyszłość.

    Dzięki tym działaniom proces stał się przejrzysty i prostszy dla kandydatów, a jednocześnie bezpieczniejszy i wygodniejszy dla organizacji.

    Podsumowując, jeśli miałabym wskazać jedną krótką radę dla działu HR, powiedziałabym: dokładnie przemyślcie, czy każda zgoda w formularzu jest naprawdę potrzebna – zarządzanie nimi jest skomplikowane, a sama zgoda stanowi najmniej pewną podstawę prawną z uwagi na łatwość jej wycofania. Zastanówcie się lub skonsultujcie z IOD, czy nie istnieje inne rozwiązanie, a następnie skupcie się na jasnym opisaniu wszystkich informacji w klauzuli informacyjnej. Regularnie przeglądajcie formularze i procedury pod kątem retencji danych, a proces stanie się prostszy w zarządzaniu i znacznie skuteczniejszy.

     

    Już 18 listopada br. planujemy zorganizować bezpłatny webinar pt. „Czy HR potrzebuje IOD-a bardziej niż myśli? Praktyczne przykłady wsparcia”. Jeśli nie chcecie przegapić informacji o rozpoczęciu rejestracji na to wydarzenie, zachęcam do dołączenia do grona subskrybentów naszego firmowego newslettera edukacyjnego: https://www.isecure.pl/newsletter/

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Urszula Koc

    Co transparentność wynagrodzeń oznacza w praktyce? Fakty, wyobrażenia i mity wokół nowych przepisów

    W związku ze zbliżającym się terminem wejścia w życie nowych obowiązków coraz częściej trafiają do nas rozbieżne interpretacje Dyrektywy 2023/970. Wielu pracodawców odbiera je jako sygnał nadchodzącej rewolucji i obawia się, że nowe przepisy nałożą na organizacje obowiązki zarówno trudne do wdrożenia, jak i do egzekwowania w codziennej praktyce. Sytuacji nie ułatwia fakt, że implementacja […]

    Czytaj więcej
    Ewelina Mańkowska

    Elektronizacja prawa pracy od 2026 r. – co zmienia nowelizacja Kodeksu Pracy i jak wpływa ona na ochronę danych

    Od 7 stycznia 2026 r. weszła w życie istotna nowelizacja Kodeksu Pracy, która znacząco poszerza możliwości korzystania z postaci elektronicznej przy wybranych czynnościach z zakresu prawa pracy. To nie tylko techniczna zmiana przepisów, ale realny krok w stronę nowoczesnej, cyfrowej administracji kadrowej, bowiem ustawodawca otwiera pracodawcom i pracownikom drogę do sprawniejszej wymiany informacji, szybszego obiegu […]

    Czytaj więcej
    Marcin Stryszko

    Jak IOD może pomóc działowi HR poradzić sobie z wnioskami o udostępnienie danych?

    Współpraca działu kadr (czy może nowocześniej: HR), z Inspektorem Ochrony Danych nie kończy się na etapie wdrożenia RODO (choć łatwo początkowo odnieść takie wrażenie, zwłaszcza gdy otrzymaliśmy zweryfikowane i zatwierdzone wzory dokumentów do stosowania). Audyt, zarówno początkowy, jak i okresowy, to czas wyjątkowo intensywnej współpracy, pełnej spotkań i konsultacji. W końcu to właśnie w dziale […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki