GDPR & HR

CE TREBUIE SĂ ȘTIM CÂND RECRUTĂM?

1. Care sunt principiile de bază ale GDPR și cum se leagă de recrutare?

În ceea ce privește activitatea de recrutare, Regulamentul GDPR se referă la:

• Candidații sau "persoanele vizate". Candidații sunt persoanele vizate, deoarece pot fi
identificate prin intermediul datelor cu caracter personal pe care le furnizează companiilor. De
exemplu, CV-urile lor pot include numele, adresele fizice sau numerele de telefon. GDPR
există pentru a proteja acest tip de date.
• Angajatorii sau "operatorii de date". Angajatorii sau persoanele care se ocupă de recrutare
și acționează ca un reprezentant al societății în relația cu candidații scopul colectării datelor cu
caracter personal ale candidaților. Acest lucru este făcută de operatorii de date cu caracter
personal care sunt pe deplin responsabili pentru protejarea datelor candidatului și folosirea
acestor date în mod legal.
• Sistemele de urmărire a candidatului și alte programe similare/servicii de recrutare sau
"persoanele împuternicite". Cum ar fi de exemplu sistemele de software care fac tracking
intern al candidaților și care sunt persoane împuternicite deoarece prelucrează datele
candidatului în numele companiei dvs., în conformitate cu instrucțiunile companiei.
Persoanele împuternicite au deseori "persoane subîmputernicite" (de exemplu, este posibil
ca o platformă de genul acesta să folosească o platformă cloud pentru a-și implementa
sistemul.)

2. Cum afectează GDPR recrutarea?

Mai jos găsești câteva elemente-cheie care afectează activitatea zilnică a persoanelor care se ocupă de
recrutare:

• Aveți nevoie de un interes legitim pentru a prelucra datele candidatului. Regulamentul

GDPR vă obligă să colectați date numai pentru "scopuri specifice, explicite și legitime".
Aceasta înseamnă, de exemplu, că puteți să obțineți date candidaților, atâta timp cât colectați
informații legate de serviciu și intenționați să contactați candidații vizați în termen de 30 de
zile, de exemplu.
• Trebuie să aveți consimțământul candidaților pentru a procesa date sensibile.
Regulamentul GDPR vă cere să solicitați consimțământul atunci când doriți să procesați
informații precum date de sănătate, opinii, viziuni politice, date biometrice etc. În aceste
cazuri, trebuie să cereți consimțământul într-un mod clar și inteligibil și să oferiți candidaților
instrucțiuni clare cu privire la modul de retragere a consimțământului, în cazul în care aceștia
își doresc.
• Trebuie să fiți transparent în privința procesării datelor candidatului. Companiile trebuie
să aibă politici clare de confidențialitate, iar persoanele care se ocupă de
 recrutare sunt obligate să pună aceste politici la dispoziția candidaților și să îi informeze
despre prelucrarea datelor personale anterior prelucrării datelor. De asemenea, trebuie să
dezvăluiți unde veți stoca datele candidaților și să precizați că veți utiliza aceste date numai în
scopuri de recrutare.
• Trebuie să vă asumați responsabilitatea pentru conformitate (responsabilitate).
Compania dvs. trebuie să poată demonstra conformitatea cu Regulamentul GDPR. De
exemplu, conform Regulamentului GDPR, compania dvs. este responsabilă pentru securitatea
datelor în cazul colaboratorilor săi (cum ar fi platformele de intermediere angajați-candidați).
În cazul în care partenerii comerciali ai dvs. nu respectă legea, compania dvs. este
responsabilă.

De asemenea, sunteți obligat să vă conformați atunci când candidații își exercită drepturile în
temeiul Regulamentului GDPR:

• Candidații au dreptul de a fi uitați. Candidații au dreptul să vă ceară să ștergeți și să

opriți prelucrarea datelor cu caracter personal ale acestora. Trebuie să localizați fiecare
loc în care păstrați informațiile (de exemplu, tabele în excel) și să ștergeți informațiile în
termen de o lună de la primirea solicitării candidatului.
• Candidații au dreptul să acceseze datele lor și să vă ceară să le rectificați.
Candidații au dreptul să ceară acces la datele pe care le dețineți despre ei. Ei pot cere să
modificați orice neconcordanță (fie că vorbim de modificare propriu-zisă a datelor sau de
completarea acestora). Trebuie să răspundeți ambelor solicitări în termen de o lună și să le
oferiți candidaților o copie gratuită, electronică a propriilor date personale.

3. Ce ar trebui să facă angajatorii pentru a fi conformi cu GDPR?

3.1. Cartografiați (mapați) datele de recrutare

Unul dintre primele lucruri pe care compania dvs. trebuie să le facă pentru a se pregăti pentru GDPR
este să efectueze un audit de date la nivelul întregii companii. Acest proces va arăta ce fel de date
colectează organizația dvs., cum, de ce și de unde.

În ceea ce privește datele în cadrul procesului de recrutare, trebuie să fiți foarte clari despre locul și
modul în care găsiți și unde stocați numele candidatului și detaliile de contact, precum și alte
informații de identificare. Iată câteva întrebări la care ar trebui să puteți răspunde la finalizarea
auditului de date:

• Care sunt sursele de unde găsim candidații și cum colectăm datele personale? Un
exemplu ar fi colectarea datelor candidaților prin intermediul formularelor de candidatură
legate de anunțurile dvs. privind locurile de muncă vacante.
• Ce fel de date colectăm și cât de mult folosim din ele de fapt? Un exemplu este
solicitarea către candidați să furnizeze adresa de e-mail, adresa de domiciliu
 și numărul de telefon (dar avem nevoie și de adresa de domiciliu în etapa asta?).
Trebuie să fiți sigur că toate aceste informații sunt necesare pentru recrutarea dvs.
(pe baza interesului legitim), altfel nu ar trebui să le colectați.
• Cum folosim datele personale în operațiunile noastre? Un exemplu ar fi utilizarea
datelor candidaților pentru a examina candidații și a analiza capacitatea lor de a merge
mai departe la interviu.
• Unde stocăm datele și cine are acces la ele? Un exemplu ar fi stocarea datelor
candidaților în tabele în excel sau o aplicație specifică și partajarea (împărțirea) acestora
cu echipe care se ocupă de procesul de angajare.
• Cum funcționează fluxul de date în cadrul
companiei/proceselor/funcțiilor/departamentelor? Un exemplu ar fi modul în care
informația candidatului este transferată de la sursele care colectează la angajatori, apoi la
echipele care se ocupă efectiv de recrutare astfel încât acestea să poată contacta efectiv
candidații.
• Care sunt procesele noastre pentru partajare, transfer, modificare și ștergere de
date? Din nou, dacă utilizați tabele în excel pentru a urmări datele candidatului, ce proces
aveți implementat pentru corectarea inexactităților privind datele sau partajarea
documentelor?

3.2. Creați o politică de confidențialitate și prelucrare a datelor în cadrul

procesului de recrutare

Compania dvs. trebuie să dispună de o politică de confidențialitate transparentă care să explice modul
în care colectează, procesează și protejează datele și oferă instrucțiuni persoanelor vizate cu privire la
modul de a solicita companiei dvs. să șteargă și să rectifice datele. În plus față de această politică de
confidențialitate, compania dvs. poate considera util să aibă o notificare de confidențialitate pentru
recrutare. Această notă va adresată direct candidaților și ar trebui să includă toate informațiile
solicitate de articolul 13 și articolul 14 din GDPR, precum și o trecere în revistă a acțiunilor
companiei dvs. pentru a asigura protecția datelor, precum:

• Numele și datele de contact ale organizației dvs. Dacă ați desemnat un responsabil de
protecție a datelor (DPO), includeți și datele de contact ale acestuia.
• O declarație conform căreia toate datele solicitate vor fi utilizate numai în scopuri
de recrutare. Trebuie să explicați inclusiv interesul legitim.
• Tipurile de informații despre un candidat care se află în compania dvs.
Acestea ar putea fi detalii de contact, profiluri pe rețelele sociale și profesionale, educație
și experiență de lucru.
• Cu cine veți împărți datele. De exemplu, dacă sunteți un consultant de recrutare, puteți
împărtăși aceste date clienților dvs.
• Unde găsiți datele despre candidați. Este important să menționați că utilizați în mod
legal sursele respective.
 • Unde se face prelucrarea și unde stocați datele. Acest lucru este important în special
dacă transferați date în afara UE.
• Cât timp organizația dvs. intenționează să stocheze datele fiecărui candidat. Dacă
acest lucru nu este posibil, trebuie să explicați ce criterii aveți în vedere cânt stabiliți
această perioadă.
• Drepturile candidaților. Acestea includ dreptul de a fi uitat, de a rectifica sau de a
accesa date, de a limita prelucrarea, de a retrage consimțământul, de a fi informat cu
privire la prelucrarea datelor lor.
• Instrucțiuni privind modul în care candidații pot lua măsuri privind prelucrarea
datelor lor personale. Lăsați-i să știe cum să acceseze datele sau să solicite să ștergeți, să
rectificați sau să restricționați prelucrarea datelor acestora.
• Cum protejați datele candidatului. Puteți rezuma sau să furnizați un link la politica
generală de confidențialitate a companiei dvs., care ar trebui să includă toate modurile în
care compania protejează datele (de exemplu, criptarea, pseudonimizarea etc.).

3.3. Prospectați candidații în mediul online cu grijă

Prospectarea este o activitate esențială pentru organizațiile care doresc să găsească oameni buni. Cu
toate acestea, prospectarea necesită găsirea și stocarea datelor personale ale candidaților, astfel încât
respectarea GDPR este esențială.

Mai întâi, rețineți că aveți nevoie de un interes legitim pentru a prospecta candidații și a prelucra
datele personale ale acestora. Asigurați-vă că:

• Chiar intenționați să contactați acești candidați. Doar construirea unei baze de date
prin adăugarea datelor candidaților în cazul în care veți avea nevoie de ele în viitor nu
este în conformitate cu GDPR.
• Plănuiți să contactați candidații cât mai repede cu putință. Puteți stoca profilului unui
candidat fără a-l informa doar pentru o perioadă scurtă de timp (cel mult o lună).
Contactați acești candidați cât mai repede cu putință și ștergeți datele acestora dacă vi se
cere. Dacă vă răzgândiți în privința unui candidat și decideți să nu îl contactați, ștergeți
imediat datele acestuia.
• Colectați doar datele de care chiar aveți nevoie. Veți vrea să prelucrați datele
candidaților privind educația, istoricul de muncă sau competente, precum și date de
contact. Aceste tipuri de date au sens pentru procesul de recrutare. Cu toate acesta, nu ar
trebui să prelucrați date irelevante (ie. informații despre apartenența politică) pentru
procesul de recrutare. Dacă chiar trebuie să prelucrați aceste date, asigurați-vă că oferiți
candidaților explicații în acest sens și le cereți consimțământul.
• Obțineți datele în mod legitim. Obținerea datelor din profilele de pe rețelele sociale
(LinkedIn) este legală conform GDPR, dacă acele profile sunt accesibile
 publicului și puteți prezuma în mod rezonabil că acel candidat se așteaptă să fie
contactat (de exemplu are opțiunea bifată în acest sens pe LinkedIn sau a postat anunțuri
că își dorește schimbarea locului de muncă).

Creați un template de text pe care să îl adăugați la emailurile de prospectare. Dacă aveți o politică specifică
de recrutare, puteți furniza denumirea și datele de contactele ale organizației, să spuneți că intenționați să
păstrați datele doar pentru procesul de recrutare și să oferiți un link către politica de confidențialitate și de
prelucrare a datelor pentru restul de informații
necesare.

Dacă nu aveți o asemenea politică, trebuie să includeți toate informațiile necesare din articolul 14 din
Regulamentul GDPR (explicate mai sus) în e-mailul vostru.

Mai jos regăsiți un exemplu de asemenea e-mail:

XYZ SRL [adresă, telefon, e-mail] colectează și stochează CV-ul tău și datele de contact.

Procesăm aceste date doar în scopuri de recrutare. Am găsit datele acestea pe [LinkedIn] când căutam
candidați care să ocupe o poziție vacantă în cadrul companiei noastre. Stocăm aceste date în aplicația
dedicată [care stochează datele în UE și este pe deplin conformă cu legile UE privind protecția datelor]
și nu vom transfera aceste date cu nimeni altcineva.

Am dori să păstrăm aceste date până în momentul ocupării poziției vacante. [Nu putem estima cu
exactitate perioada, dar vom considera perioada ca fiind încheiată atunci când un candidat
acceptă propunerea noastră pentru poziția unde te avem în vedere]. Când perioada respectivă s-a
încheiat, fie îți vom șterge datele, fie te vom informa că le vom menține în baza noastră de date
pentru poziții viitoare.

Aici este link-ul către politica noastră de confidențialitate și prelucrare a datelor personale. Aici
vei găsi informații privind conformitatea noastră cu Regulamentul GDPR. Poți afla cum să ne
trimiți o cerere de acces privind datele pe care le-am colectat sau cum să ne ceri să îți ștergem
datele, să corectăm orice inexactitate sau să restricționăm procesarea datelor tale.

Ai dreptul de a depune o plângere privind modul în care tratăm datele tale la autoritatea de
supraveghere, ANSPDCP sau poți lua legătură cu responsabilul nostru cu protecția datelor (DPO)
la [detalii de contact] pentru mai multe informații.

3.4. Asigurați-vă că procesul de recrutare este conform cu GDPR

Atunci când candidații completează formularele de recrutare (fie online, fie offline), vă furnizează
datele lor personale. Dat fiind că acele candidaturi corespund efectiv unor locuri vacante, aveți un
interes legitim în prelucrarea acestor date și nu este necesar să obțineți consimțământul explicit.
Dar, ca să fiți foarte conformi cu GDPR, asigurați-vă că:

• Cereți doar datele personale de care aveți nevoie. Datele pe care le colectați de la candidați
trebuie să fie ”necesare și relevante pentru performanța locului de muncă pentru care se
aplică” (opinia Grupului de Lucru Articolul 29).
• Fiți transparenți. În anunțurile de recrutare, informații candidații că intenționați să folosiți
datele lor doar pentru procesul de recrutare și spuneți-le cât aveți nevoie să stocați aceste date.
Dacă aveți de gând să adunați mai multe informații despre candidați (spre exemplu, informații
de pe rețelele de socializare), ca parte a procesului de profilare, va trebui să spuneți asta
explicit și să explicați cum și de ce.
• Oferiți linkuri către politicile de confidențialitate și prelucrare a datelor personale.
Politicile acestea ale companiei ar trebui să fie ușor accesibile. Ar trebui de asemenea să
includă instrucțiuni către candidați despre cum vă pot cere să ștergeți, rectificați sau să nu mai
transferați datele lor personale. În anunțurile de recrutare, informați candidații depsre unde
pot găsi aceste informații în politici.

3.5. Aduceți la zi template-urile de emailuri de respingere

Câteodată ai mai mult de un candidat pentru o poziție. Dacă nu îi poți angaja pe toți, poate ai vrea să îi
ții pe cei pe care nu i-ai angajat în vizor pentru poziții viitoare. Pentru a fi conform cu GDPR, trebuie
să vă asigurați că nu veți stoca aceste date pentru o perioadă mai lungă de timp decât cea menționată
inițial către candidați. Dacă de exemplu le-ați spus candidaților că le veți stoca datele pentru o
perioadă de un an după ce au aplicat, nu trebuie să le mai trimiteți un alt email până ce perioada
respectivă nu a trecut. Tot așa, dacă le-ați spus candidaților că le veți ține datele până când veți ocupa
o poziție specifică, atunci trebuie să îi informați din nou că vreți să le stocați datele pe care le-ați
prelucrat.

Faceți asta prin intermediul emailurilor de respingere. Adăugați câteva propoziții care să:

• Explice de ce vreți să stocați datele candidatului;

• Menționeze cât timp vreți să le stocați datele;
• Ofere link către politicile de confidențialitate și prelucrare a datelor personale;
• Informați candidații că vă pot cere să le ștergeți datele în orice moment.

Dacă candidații vă cer să le ștergeți datele, faceți-o imediat!

3.6. Fiți pregătiți să informații candidații despre prelucrarea datelor oricând primiți
datele lor

Deseori vă veți afla în situația în care veți prelucra datele personale ale candidatului prin mai mule
metode decât candidaturi pe online sau prospectare. Candidații vă pot lăsa CV-ul la un târg de joburi
sau la un eveniment de networking. Sau vă pot cere să îi contactați cu privire la noi posturi
disponibile. Toate aceste scenarii sunt legale conform GDPR; dar trebuie să demonstrați că ați fost
transparenți.
Puteți face asta prin pregătirea unor formulare standard care conțin toate informațiile cerute de
Regulamentul GDPR și să le cereți candidaților să le semneze (fie fizic, fie pe o tabletă, de exemplu).
Sau le puteți furniza ulterior pe email la pachet cu politica de confidențialitate și toate celelalte
informații necesare.

3.7. Revizuiți bazele de date pe care le aveți

Regulamentul GDPR acoperă inclusiv datele personale pe care compania le-a colectat în trecut. Asta
înseamnă că trebuie să vă revizuiți bazele de date, tabelele în excel și alte fișiere unde stocați datele
candidaților. De preferat ar fi fost să o faceți până în mai 2018, dar niciodată nu este prea târziu.

Aceasta este o oportunitate excelentă pentru a vă asigura că baza de date este actuală și relevantă.
Determinați ce candidați chiar s-ar potrivit în posturi viitoare și care nu și aveți în vedere următoarele:

 Dacă ajungeți la concluzia că un candidat este puțin probabil să se califice pentru poziții
viitoare în cadrul companiei sau că nu ma este relevant sau că ați obținut informațiile despre ei
acum prea mult timp, atunci trebuie să îi ștergeți datele.

procesați
Dacă ați dori să mai țineți candidații în vizor, ar trebui să îi contactați și să îi informați că le
datele.

Pentru candidații pe care doriți să îi țineți în baza de date, pregătiți un email prin care le dați
informațiile necesare. Acest e-mail ar trebui să fie similar cu emailul pe care îl trimiteți către
candidații posibili, arătat în secțiunea 3.3 de mai sus, inclusiv cu link către politica de confidențialitate
și prelucrare a datelor personale.

3.8. Asigurați-vă că partenerii care vă oferă softul de recrutare sunt conformi

cu GDPR

Persoanele împuternicite au acces complet la datele candidaților tăi. De aceea Regulamentul GDPR se
așteaptă să fii sigur și convins că partenerii tăi protejează aceste date în aceeași manieră în care o faci
și tu.

Cel mai important aspect în recrutare este cel care îți oferă soluția de recrutare. Softul respectiv este
locul în care vei stoca aproape toate datele candidaților, trimite emailuri și șterge sau modifica
informații. Dacă acest soft este conform cu GDPR; va fi un aliat desăvârșit și pentru conformitatea
companiei dvs.

În ceea ce privește fișierele în excel, care sunt cea mai comună alternativă la softuri, ar putea să vă
expună la riscuri în ceea ce privește conformitatea cu GDPR întrucât furnizează o posibilitate redusă
de a urmări tot procesul și de a aplica controale de acces. Acestea pot fi ușor duplicate, modificate și
transferate fără cunoștința proprietarului.

Dacă dețineți un soft de recrutare sau plănuiți să implementați unul, întrebați următoarele:

• Dacă li se aplică GDPR în calitate de persoană împuternicită. Dacă nu sunt o

companie din EU, ar trebui să fie parte la Scutul de Securitate EU-SUA (pentru
companiile din SUA) sau să fie dispuși să semneze acorduri de prelucrare a datelor cu
caracter personal care să îi oblige să se adapteze la cerințele GDPR.
 • Cum au de gând să devină conformi cu GDPR. Ar trebui de asemenea să vă fie
capabili să vă spună unde vor stoca datele și cum se vor asigura că aceste date vor fi
protejate.
• Dacă folosesc sau nu parteneri conformi. Ar trebui să aibă de asemenea acorduri de
prelucrare cu toți acești subcontractori.
• Dacă au politici de confidențialitate și prelucrare a datelor clare. Revizuiți politicile
lor pentru a vă asigura că sunt conforme cu GDPR și că pot să protejeze în mod adecvat
datele candidaților.

3.9. Fiți pregătiți să răspundeți cererilor din partea candidaților

O parte semnificativă pentru a fi conform cu GDPR este de a fi capabil să oferiți candidaților

posibilitatea și ajutorul de a-și exercita drepturile. Pentru a face asta, trebuie să oferiți îndrumări și să
implementați soluții tehnice care să:

• Permită candidaților să acceseze datele lor personale la cerere.

o Determinați formatul electronic al datelor pe care le veți furniza candidaților. o
Stabiliți un proces automat de extragere și trimitere a acestor date.
• Șteargă datele personale ale candidaților sau să restricționeze prelucrarea la cererea
lor.
o Identificați toate locurile în care stocați datele (ar fi trebuit să faceți acest lucru în
primul pas, auditul) și stabiliți un proces pentru a șterge datele din toate aceste locuri.
• Permită rectificarea datelor candidaților.
o Asigurați-vă că aveți implementate proceduri pentru a controla diferitele versiuni ale
datelor candidaților. De exemplu, nu ar trebui să completați datele candidaților în
același tabel în excel, ci în altul.
• Permită candidaților să-și retragă consimțământul (în cazul în care ați decis să
utilizați consimțământul pentru prelucrare).
o Comparați acest proces cu cel al obținerii consimțământul. Regulamentul GDPR
solicită că procesul de obținere și retragere a consimțământului să fie la fel de simplu
și de ușor atât la obținere, cât și la retragere.

Asigurați-vă că transmiteți aceste informații candidaților în mod clar și inteligibil pe website și/sau
termeni și condiții.