GDPR in HR: ce trebuie sa facem pentru a fi conformi cand recrutam
21 minute • Ana-Maria Udriste • 02 iunie 2018
În conformitate cu Regulamentul general privind protecția datelor (GDPR), noua lege a Uniunii Europene privind confidențialitatea, care se aplică de la 25 mai 2018 (regulamentul este în vigoare din 2016, dar UE a considerat necesar un termen de aproape 2 ani pentru ca statele membre sa se adapteze noilor reguli), este oportun ca persoanele care se ocupă de recrutare, fie că vorbim de persoane in-house, fie de firme externalizate, să se asigure că politica lor este în linie cu cea de la nivelul UE.
Pentru asta, ți-am pregătit mai jos un ghid de care să ții cont atunci când ai de gând să începi un nou proces de recrutare sau sa revizuiești politicile deja existente.
GDPR in HR/recrutare by Avocatoo on Scribd
Am mai scris despre GDPR si recrutare/angajați aici:
- GDPR in HR: Notificări privind informarea angajaților privind datele personale
- GDPR angajati: cum gestionam relatiile de munca in contextul GDPR?
- GDPR HR: 8 pași pentru respectare GDPR
GDPR & HR
Ce trebuie să știm când recrutăm?
1. Care sunt principiile de bază ale GDPR și cum se leagă de recrutare?
În ceea ce privește activitatea de recrutare, Regulamentul GDPR se referă la:
- Candidații sau “persoanele vizate”. Candidații sunt persoanele vizate, deoarece pot fi identificate prin intermediul datelor cu caracter personal pe care le furnizează companiilor. De exemplu, CV-urile lor pot include numele, adresele fizice sau numerele de telefon. GDPR există pentru a proteja acest tip de date.
- Angajatorii sau “operatorii de date”. Angajatorii sau persoanele care se ocupă de recrutare și acționează ca un reprezentant al societății în relația cu candidații scopul colectării datelor cu caracter personal ale candidaților. Acest lucru este făcută de operatorii de date cu caracter personal care sunt pe deplin responsabili pentru protejarea datelor candidatului și folosirea acestor date în mod legal.
- Sistemele de urmărire a candidatului și alte programe similare/servicii de recrutare sau “persoanele împuternicite”. Cum ar fi de exemplu software-urile de tracking intern ale candidaților care sunt persoane împuternicite deoarece prelucrează datele candidatului în numele companiei dvs., în conformitate cu instrucțiunile companiei. Persoanele împuternicite au deseori “persoane subîmputernicite” (de exemplu, este posibil ca o platformă de genul acesta să folosească o platformă cloud pentru a-și implementa sistemul.)
2. Cum afectează GDPR recrutarea?
Mai jos găsești câteva elemente-cheie care afectează activitatea zilnică a persoanelor care se ocupă de recrutare:
- Aveți nevoie de un interes legitim pentru a prelucra datele candidatului. Regulamentul GDPR vă obligă să colectați date numai pentru “scopuri specifice, explicite și legitime“. Aceasta înseamnă, de exemplu, că puteți să obțineți date candidaților, atâta timp cât colectați informații legate de serviciu și intenționați să contactați candidații vizați în termen de 30 de zile, de exemplu.
- Trebuie să aveți consimțământul candidaților pentru a procesa date sensibile. Regulamentul GDPR vă cere să solicitați consimțământul atunci când doriți să procesați informații precum date de sănătate, opinii, viziuni politice, date biometrice etc. În aceste cazuri, trebuie să cereți consimțământul într-un mod clar și inteligibil și să oferiți candidaților instrucțiuni clare cu privire la modul de retragere a consimțământului, în cazul în care aceștia își doresc.
- Trebuie să fiți transparent în privința procesării datelor candidatului. Companiile trebuie să aibă politici clare de confidențialitate, iar persoanele care se ocupă de recrutare sunt obligate să pună aceste politici la dispoziția candidaților și să îi informeze despre prelucrarea datelor personale anterior prelucrării datelor. De asemenea, trebuie să dezvăluiți unde veți stoca datele candidaților și să precizați că veți utiliza aceste date numai în scopuri de recrutare.
- Trebuie să vă asumați responsabilitatea pentru conformitate (responsabilitate). Compania dvs. trebuie să poată demonstra conformitatea cu Regulamentul GDPR. De exemplu, conform Regulamentului GDPR, compania dvs. este responsabilă pentru securitatea datelor în cazul colaboratorilor săi (cum ar fi platformele de intermediere angajați-candidați). În cazul în care partenerii comerciali ai dvs. nu respectă legea, compania dvs. este responsabilă.
De asemenea, sunteți obligat să vă conformați atunci când candidații își exercită drepturile în temeiul Regulamentului GDPR:
- Candidații au dreptul de a fi uitați. Candidații au dreptul să vă ceară să ștergeți și să opriți prelucrarea datelor cu caracter personal ale acestora. Trebuie să localizați fiecare loc în care păstrați informațiile (de exemplu, tabele în excel) și să ștergeți informațiile în termen de o lună de la primirea solicitării candidatului.
- Candidații au dreptul să acceseze datele lor și să vă ceară să le rectificați. Candidații au dreptul să ceară acces la datele pe care le dețineți despre ei. Ei pot cere să modificați orice neconcordanță (fie că vorbim de modificare propriu-zisă a datelor sau de completarea acestora). Trebuie să răspundeți ambelor solicitări în termen de o lună și să le oferiți candidaților o copie gratuită, electronică a propriilor date personale.
3. Ce ar trebui să facă angajatorii pentru a fi conformi cu GDPR?
3.1. Cartografiați (mapați) datele de recrutare
Unul dintre primele lucruri pe care compania dvs. trebuie să le facă pentru a se pregăti pentru GDPR este să efectueze un audit de date la nivelul întregii companii. Acest proces va arăta ce fel de date colectează organizația dvs., cum, de ce și de unde.
În ceea ce privește datele în cadrul procesului de recrutare, trebuie să fiți foarte clari despre locul și modul în care găsiți și unde stocați numele candidatului și detaliile de contact, precum și alte informații de identificare. Iată câteva întrebări la care ar trebui să puteți răspunde la finalizarea auditului de date:
- Care sunt sursele de unde găsim candidații și cum colectăm datele personale? Un exemplu ar fi colectarea datelor candidaților prin intermediul formularelor de candidatură legate de anunțurile dvs. privind locurile de muncă vacante.
- Ce fel de date colectăm și cât de mult folosim din ele de fapt? Un exemplu este solicitarea către candidați să furnizeze adresa de e-mail, adresa de domiciliu și numărul de telefon (dar avem nevoie și de adresa de domiciliu în etapa asta?). Trebuie să fiți sigur că toate aceste informații sunt necesare pentru recrutarea dvs. (pe baza interesului legitim), altfel nu ar trebui să le colectați.
- Cum folosim datele personale în operațiunile noastre? Un exemplu ar fi utilizarea datelor candidaților pentru a examina candidații și a analiza capacitatea lor de a merge mai departe la interviu.
- Unde stocăm datele și cine are acces la ele? Un exemplu ar fi stocarea datelor candidaților în tabele în excel sau o aplicație specifică și partajarea (împărțirea) acestora cu echipe care se ocupă de procesul de angajare.
- Cum funcționează fluxul de date în cadrul companiei/proceselor/funcțiilor/departamentelor? Un exemplu ar fi modul în care informația candidatului este transferată de la sursele care colectează la angajatori, apoi la echipele care se ocupă efectiv de recrutare astfel încât acestea să poată contacta efectiv candidații.
- Care sunt procesele noastre pentru partajare, transfer, modificare și ștergere de date? Din nou, dacă utilizați tabele în excel pentru a urmări datele candidatului, ce proces aveți implementat pentru corectarea inexactităților privind datele sau partajarea documentelor?
3.2. Creați o politică de confidențialitate și prelucrare a datelor în cadrul procesului de recrutare
Compania dvs. trebuie să dispună de o politică de confidențialitate transparentă care să explice modul în care colectează, procesează și protejează datele și oferă instrucțiuni persoanelor vizate cu privire la modul de a solicita companiei dvs. să șteargă și să rectifice datele. În plus față de această politică de confidențialitate, compania dvs. poate considera util să aibă o notificare de confidențialitate pentru recrutare. Această notă va adresată direct candidaților și ar trebui să includă toate informațiile solicitate de articolul 13 și articolul 14 din GDPR, precum și o trecere în revistă a acțiunilor companiei dvs. pentru a asigura protecția datelor, precum:
- Numele și datele de contact ale organizației dvs. Dacă ați desemnat un responsabil de protecție a datelor (DPO), includeți și datele de contact ale acestuia.
- O declarație conform căreia toate datele solicitate vor fi utilizate numai în scopuri de recrutare. Trebuie să explicați inclusiv interesul legitim.
- Tipurile de informații despre un candidat care se află în compania dvs. Acestea ar putea fi detalii de contact, profiluri pe rețelele sociale și profesionale, educație și experiență de lucru.
- Cu cine veți împărți datele. De exemplu, dacă sunteți un consultant de recrutare, puteți împărtăși aceste date clienților dvs.
- Unde găsiți datele despre candidați. Este important să menționați că utilizați în mod legal sursele respective.
- Unde se face prelucrarea și unde stocați datele. Acest lucru este important în special dacă transferați date în afara UE.
- Cât timp organizația dvs. intenționează să stocheze datele fiecărui candidat. Dacă acest lucru nu este posibil, trebuie să explicați ce criterii aveți în vedere cânt stabiliți această perioadă.
- Drepturile candidaților. Acestea includ dreptul de a fi uitat, de a rectifica sau de a accesa date, de a limita prelucrarea, de a retrage consimțământul, de a fi informat cu privire la prelucrarea datelor lor.
- Instrucțiuni privind modul în care candidații pot lua măsuri privind prelucrarea datelor lor personale. Lăsați-i să știe cum să acceseze datele sau să solicite să ștergeți, să rectificați sau să restricționați prelucrarea datelor acestora.
- Cum protejați datele candidatului. Puteți rezuma sau să furnizați un link la politica generală de confidențialitate a companiei dvs., care ar trebui să includă toate modurile în care compania protejează datele (de exemplu, criptarea, pseudonimizarea etc.).
3.3. Prospectați candidații în mediul online cu grijă
Prospectarea este o activitate esențială pentru organizațiile care doresc să găsească oameni buni. Cu toate acestea, prospectarea necesită găsirea și stocarea datelor personale ale candidaților, astfel încât respectarea GDPR este esențială.
Mai întâi, rețineți că aveți nevoie de un interes legitim pentru a prospecta candidații și a prelucra datele personale ale acestora. Asigurați-vă că:
- Chiar intenționați să contactați acești candidați. Doar construirea unei baze de date prin adăugarea datelor candidaților în cazul în care veți avea nevoie de ele în viitor nu este în conformitate cu GDPR.
- Plănuiți să contactați candidații cât mai repede cu putință. Puteți stoca profilului unui candidat fără a-l informa doar pentru o perioadă scurtă de timp (cel mult o lună). Contactați acești candidați cât mai repede cu putință și ștergeți datele acestora dacă vi se cere. Dacă vă răzgândiți în privința unui candidat și decideți să nu îl contactați, ștergeți imediat datele acestuia.
- Colectați doar datele de care chiar aveți nevoie. Veți vrea să prelucrați datele candidaților privind educația, istoricul de muncă sau competente, precum și date de contact. Aceste tipuri de date au sens pentru procesul de recrutare. Cu toate acesta, nu ar trebui să prelucrați date irelevante (ie. informații despre apartenența politică) pentru procesul de recrutare. Dacă chiar trebuie să prelucrați aceste date, asigurați-vă că oferiți candidaților explicații în acest sens și le cereți consimțământul.
- Obțineți datele în mod legitim. Obținerea datelor din profilele de pe rețelele sociale (LinkedIn) este legală conform GDPR, dacă acele profile sunt accesibile publicului și puteți prezuma în mod rezonabil că acel candidat se așteaptă să fie contactat (de exemplu are opțiunea bifată în acest sens pe LinkedIn sau a postat anunțuri că își dorește schimbarea locului de muncă).
Creați un template de text pe care să îl adăugați la emailurile de prospectare. Dacă aveți o politică specifică de recrutare, puteți furniza denumirea și datele de contactele ale organizației, să spuneți că intenționați să păstrați datele doar pentru procesul de recrutare și să oferiți un link către politica de confidențialitate și de prelucrare a datelor pentru restul de informații necesare.
Dacă nu aveți o asemenea politică, trebuie să includeți toate informațiile necesare din articolul 14 din Regulamentul GDPR (explicate mai sus) în e-mailul vostru.
Mai jos regăsiți un exemplu de asemenea e-mail:
XYZ SRL [adresă, telefon, e-mail] colectează și stochează CV-ul tău și datele de contact. Procesăm aceste date doar în scopuri de recrutare. Am găsit datele acestea pe [LinkedIn] când căutam candidați care să ocupe o poziție vacantă în cadrul companiei noastre. Stocăm aceste date în aplicația dedicată [care stochează datele în UE și este pe deplin conformă cu legile UE privind protecția datelor] și nu vom transfera aceste date cu nimeni altcineva. Am dori să păstrăm aceste date până în momentul ocupării poziției vacante. [Nu putem estima cu exactitate perioada, dar vom considera perioada ca fiind încheiată atunci când un candidat acceptă propunerea noastră pentru poziția unde te avem în vedere]. Când perioada respectivă s-a încheiat, fie îți vom șterge datele, fie te vom informa că le vom menține în baza noastră de date pentru poziții viitoare. Aici este link-ul către politica noastră de confidențialitate și prelucrare a datelor personale. Aici vei găsi informații privind conformitatea noastră cu Regulamentul GDPR. Poți afla cum să ne trimiți o cerere de acces privind datele pe care le-am colectat sau cum să ne ceri să îți ștergem datele, să corectăm orice inexactitate sau să restricționăm procesarea datelor tale. Ai dreptul de a depune o plângere privind modul în care tratăm datele tale la autoritatea de supraveghere, ANSPDCP sau poți lua legătură cu responsabilul nostru cu protecția datelor (DPO) la [detalii de contact] pentru mai multe informații. |
3.4. Asigurați-vă că procesul de recrutare este conform cu GDPR
Atunci când candidații completează formularele de recrutare (fie online, fie offline), vă furnizează datele lor personale. Dat fiind că acele candidaturi corespund efectiv unor locuri vacante, aveți un interes legitim în prelucrarea acestor date și nu este necesar să obțineți consimțământul explicit.
Dar, ca să fiți foarte conformi cu GDPR, asigurați-vă că:
- Cereți doar datele personale de care aveți nevoie. Datele pe care le colectați de la candidați trebuie să fie ”necesare și relevante pentru performanța locului de muncă pentru care se aplică” (opinia Grupului de Lucru Articolul 29).
- Fiți transparenți. În anunțurile de recrutare, informații candidații că intenționați să folosiți datele lor doar pentru procesul de recrutare și spuneți-le cât aveți nevoie să stocați aceste date. Dacă aveți de gând să adunați mai multe informații despre candidați (spre exemplu, informații de pe rețelele de socializare), ca parte a procesului de profilare, va trebui să spuneți asta explicit și să explicați cum și de ce.
- Oferiți linkuri către politicile de confidențialitate și prelucrare a datelor personale. Politicile acestea ale companiei ar trebui să fie ușor accesibile. Ar trebui de asemenea să includă instrucțiuni către candidați despre cum vă pot cere să ștergeți, rectificați sau să nu mai transferați datele lor personale. În anunțurile de recrutare, informați candidații depsre unde pot găsi aceste informații în politici.
3.5. Aduceți la zi template-urile de emailuri de respingere
Câteodată ai mai mult de un candidat pentru o poziție. Dacă nu îi poți angaja pe toți, poate ai vrea să îi ții pe cei pe care nu i-ai angajat în vizor pentru poziții viitoare. Pentru a fi conform cu GDPR, trebuie să vă asigurați că nu veți stoca aceste date pentru o perioadă mai lungă de timp decât cea menționată inițial către candidați. Dacă de exemplu le-ați spus candidaților că le veți stoca datele pentru o perioadă de un an după ce au aplicat, nu trebuie să le mai trimiteți un alt email până ce perioada respectivă nu a trecut. Tot așa, dacă le-ați spus candidaților că le veți ține datele până când veți ocupa o poziție specifică, atunci trebuie să îi informați din nou că vreți să le stocați datele pe care le-ați prelucrat.
Faceți asta prin intermediul emailurilor de respingere. Adăugați câteva propoziții care să:
- Explice de ce vreți să stocați datele candidatului;
- Menționeze cât timp vreți să le stocați datele;
- Ofere link către politicile de confidențialitate și prelucrare a datelor personale;
- Informați candidații că vă pot cere să le ștergeți datele în orice moment.
Dacă candidații vă cer să le ștergeți datele, faceți-o imediat!
3.6. Fiți pregătiți să informații candidații despre prelucrarea datelor oricând primiți datele lor
Deseori vă veți afla în situația în care veți prelucra datele personale ale candidatului prin mai mule metode decât candidaturi pe online sau prospectare. Candidații vă pot lăsa CV-ul la un târg de joburi sau la un eveniment de networking. Sau vă pot cere să îi contactați cu privire la noi posturi disponibile. Toate aceste scenarii sunt legale conform GDPR; dar trebuie să demonstrați că ați fost transparenți.
Puteți face asta prin pregătirea unor formulare standard care conțin toate informațiile cerute de Regulamentul GDPR și să le cereți candidaților să le semneze (fie fizic, fie pe o tabletă, de exemplu). Sau le puteți furniza ulterior pe email la pachet cu politica de confidențialitate și toate celelalte informații necesare.
3.7. Revizuiți bazele de date pe care le aveți
Regulamentul GDPR acoperă inclusiv datele personale pe care compania le-a colectat în trecut. Asta înseamnă că trebuie să vă revizuiți bazele de date, tabelele în excel și alte fișiere unde stocați datele candidaților. De preferat ar fi fost să o faceți până în mai 2018, dar niciodată nu este prea târziu.
Aceasta este o oportunitate excelentă pentru a vă asigura că baza de date este actuală și relevantă. Determinați ce candidați chiar s-ar potrivit în posturi viitoare și care nu și aveți în vedere următoarele:
! Dacă ajungeți la concluzia că un candidat este puțin probabil să se califice pentru poziții viitoare în cadrul companiei sau că nu ma este relevant sau că ați obținut informațiile despre ei acum prea mult timp, atunci trebuie să îi ștergeți datele.
! Dacă ați dori să mai țineți candidații în vizor, ar trebui să îi contactați și să îi informați că le procesați datele.
Pentru candidații pe care doriți să îi țineți în baza de date, pregătiți un email prin care le dați informațiile necesare. Acest e-mail ar trebui să fie similar cu emailul pe care îl trimiteți către candidații posibili, arătat în secțiunea 3.3 de mai sus, inclusiv cu link către politica de confidențialitate și prelucrare a datelor personale.
3.8. Asigurați-vă că partenerii care vă oferă softul de recrutare sunt conformi cu GDPR
Persoanele împuternicite au acces complet la datele candidaților tăi. De aceea Regulamentul GDPR se așteaptă să fii sigur și convins că partenerii tăi protejează aceste date în aceeași manieră în care o faci și tu.
Cel mai important aspect în recrutare este cel care îți oferă soluția de recrutare. Softul respectiv este locul în care vei stoca aproape toate datele candidaților, trimite emailuri și șterge sau modifica informații. Dacă acest soft este conform cu GDPR; va fi un aliat desăvârșit și pentru conformitatea companiei dvs.
În ceea ce privește fișierele în excel, care sunt cea mai comună alternativă la softuri, ar putea să vă expună la riscuri în ceea ce privește conformitatea cu GDPR întrucât furnizează o posibilitate redusă de a urmări tot procesul și de a aplica controale de acces. Acestea pot fi ușor duplicate, modificate și transferate fără cunoștința proprietarului.
Dacă dețineți un soft de recrutare sau plănuiți să implementați unul, întrebați următoarele:
- Dacă li se aplică GDPR în calitate de persoană împuternicită. Dacă nu sunt o companie din EU, ar trebui să fie parte la Scutul de Securitate EU-SUA (pentru companiile din SUA) sau să fie dispuși să semneze acorduri de prelucrare a datelor cu caracter personal care să îi oblige să se adapteze la cerințele GDPR.
- Cum au de gând să devină conformi cu GDPR. Ar trebui de asemenea să vă fie capabili să vă spună unde vor stoca datele și cum se vor asigura că aceste date vor fi protejate.
- Dacă folosesc sau nu parteneri conformi. Ar trebui să aibă de asemenea acorduri de prelucrare cu toți acești subcontractori.
- Dacă au politici de confidențialitate și prelucrare a datelor clare. Revizuiți politicile lor pentru a vă asigura că sunt conforme cu GDPR și că pot să protejeze în mod adecvat datele candidaților.
3.9. Fiți pregătiți să răspundeți cererilor din partea candidaților
O parte semnificativă pentru a fi conform cu GDPR este de a fi capabil să oferiți candidaților posibilitatea și ajutorul de a-și exercita drepturile. Pentru a face asta, trebuie să oferiți îndrumări și să implementați soluții tehnice care să:
- Permită candidaților să acceseze datele lor personale la cerere.
- Determinați formatul electronic al datelor pe care le veți furniza candidaților.
- Stabiliți un proces automat de extragere și trimitere a acestor date.
- Șteargă datele personale ale candidaților sau să restricționeze prelucrarea la cererea lor.
- Identificați toate locurile în care stocați datele (ar fi trebuit să faceți acest lucru în primul pas, auditul) și stabiliți un proces pentru a șterge datele din toate aceste locuri.
- Permită rectificarea datelor candidaților.
- Asigurați-vă că aveți implementate proceduri pentru a controla diferitele versiuni ale datelor candidaților. De exemplu, nu ar trebui să completați datele candidaților în același tabel în excel, ci în altul.
- Permită candidaților să-și retragă consimțământul (în cazul în care ați decis să utilizați consimțământul pentru prelucrare).
- Comparați acest proces cu cel al obținerii consimțământul. Regulamentul GDPR solicită că procesul de obținere și retragere a consimțământului să fie la fel de simplu și de ușor atât la obținere, cât și la retragere.
Asigurați-vă că transmiteți aceste informații candidaților în mod clar și inteligibil pe website și/sau termeni și condiții.
Material tradus și adaptat de aici.
Un răspuns