Za niecałe dwa lata pracodawcy będą mieli więcej obowiązków związanych z gromadzeniem danych osobowych pracowników. Unijne rozporządzenie, które zacznie obowiązywać od maja 2018 r. we wszystkich krajach Unii Europejskiej, także w Polsce, wprowadza wiele nowych wymagań ważnych także dla ochrony prywatności kandydatów do pracy.
— Celem unijnej reformy jest zabezpieczenie prywatności osób fizycznych, których dane osobowe są przetwarzane. Pracodawcy będą musieli z większą troską i uwagą dbać o każdy dokument aplikacyjny, który wpłynie do nich w trakcie procesu rekrutacyjnego. Nowe warunki określone w unijnym rozporządzeniu wpłyną nie tylko na pracę działów HR, ale także na te, dla których prowadzone są rekrutacje oraz dział prawny czy IT, dbający o dane przechowywane na firmowych serwerach — podkreśla radca prawny Mirosław Gumularz, specjalista ds. ochrony danych osobowych w eRecruiter. Wyjaśnia on, że przeglądanie dokumentów aplikacyjnych, ich selekcja czy rozmowy z kandydatami są nieodłącznie związane z pozyskiwaniem danych osobowych, co wymaga spełnienia obowiązków informacyjnych wobec rekrutowanych osób. Pracodawca, przyjmując ich CV, staje się administratorem danych osobowych. Obecnie musi kandydatom podać np. cel zbierania danych, poinformować o podmiotach, którym ewentualnie zamierza je udostępnić. Unijna reforma wymaga znacznie więcej. Przy każdej rekrutacji w ogłoszeniu, bądź innym miejscu dostępnym dla kandydata, firma będzie musiała m.in. wskazać okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu, a także poinformować o prawie wniesienia skargi do organu nadzorczego. Osoba, której dane dotyczą, ma prawo żądać ich usunięcia, a administrator danych musi to zrobić niezwłocznie. Zwłaszcza gdy nie są już one konieczne do celów, dla których zostały zebrane.
— Nowe przepisy będą wymagać od rekruterów zautomatyzowania procesów przetwarzania danych, aby móc sprawnie realizować tego typu żądania — twierdzi Mirosław Gomularz. Zwraca też uwagę, że dane należy usunąć na stałe, co oznacza zaangażowanie działu IT. W takich przypadkach administrator będzie też musiał poinformować pozostałych administratorów przetwarzających te same dane, że osoba, której dotyczą, żąda usunięcia wszelkich łączy do tych danych czy ich kopii. Według nowych przepisów, pracodawca ma ponadto informować kandydata o przypadku naruszeniu ochrony jego danych, jeśli może to spowodować wysokie ryzyko naruszenia jego praw lub wolności. Jednocześnie generalny inspektor ochrony danych osobowych (GIODO) otrzyma prawo ukarania za naruszenie prywatności kandydata do pracy. Maksymalna kara ma sięgać 4 proc. całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. © Ⓟ