Documente Academic
Documente Profesional
Documente Cultură
GDPR in Recrutare
GDPR in Recrutare
• Candidații sau "persoanele vizate". Candidații sunt persoanele vizate, deoarece pot fi
identificate prin intermediul datelor cu caracter personal pe care le furnizează companiilor. De
exemplu, CV-urile lor pot include numele, adresele fizice sau numerele de telefon. GDPR
există pentru a proteja acest tip de date.
• Angajatorii sau "operatorii de date". Angajatorii sau persoanele care se ocupă de recrutare
și acționează ca un reprezentant al societății în relația cu candidații scopul colectării datelor cu
caracter personal ale candidaților. Acest lucru este făcută de operatorii de date cu caracter
personal care sunt pe deplin responsabili pentru protejarea datelor candidatului și folosirea
acestor date în mod legal.
• Sistemele de urmărire a candidatului și alte programe similare/servicii de recrutare sau
"persoanele împuternicite". Cum ar fi de exemplu sistemele de software care fac tracking
intern al candidaților și care sunt persoane împuternicite deoarece prelucrează datele
candidatului în numele companiei dvs., în conformitate cu instrucțiunile companiei.
Persoanele împuternicite au deseori "persoane subîmputernicite" (de exemplu, este posibil
ca o platformă de genul acesta să folosească o platformă cloud pentru a-și implementa
sistemul.)
Mai jos găsești câteva elemente-cheie care afectează activitatea zilnică a persoanelor care se ocupă de
recrutare:
De asemenea, sunteți obligat să vă conformați atunci când candidații își exercită drepturile în
temeiul Regulamentului GDPR:
Unul dintre primele lucruri pe care compania dvs. trebuie să le facă pentru a se pregăti pentru GDPR
este să efectueze un audit de date la nivelul întregii companii. Acest proces va arăta ce fel de date
colectează organizația dvs., cum, de ce și de unde.
În ceea ce privește datele în cadrul procesului de recrutare, trebuie să fiți foarte clari despre locul și
modul în care găsiți și unde stocați numele candidatului și detaliile de contact, precum și alte
informații de identificare. Iată câteva întrebări la care ar trebui să puteți răspunde la finalizarea
auditului de date:
• Care sunt sursele de unde găsim candidații și cum colectăm datele personale? Un
exemplu ar fi colectarea datelor candidaților prin intermediul formularelor de candidatură
legate de anunțurile dvs. privind locurile de muncă vacante.
• Ce fel de date colectăm și cât de mult folosim din ele de fapt? Un exemplu este
solicitarea către candidați să furnizeze adresa de e-mail, adresa de domiciliu
și numărul de telefon (dar avem nevoie și de adresa de domiciliu în etapa asta?).
Trebuie să fiți sigur că toate aceste informații sunt necesare pentru recrutarea dvs.
(pe baza interesului legitim), altfel nu ar trebui să le colectați.
• Cum folosim datele personale în operațiunile noastre? Un exemplu ar fi utilizarea
datelor candidaților pentru a examina candidații și a analiza capacitatea lor de a merge
mai departe la interviu.
• Unde stocăm datele și cine are acces la ele? Un exemplu ar fi stocarea datelor
candidaților în tabele în excel sau o aplicație specifică și partajarea (împărțirea) acestora
cu echipe care se ocupă de procesul de angajare.
• Cum funcționează fluxul de date în cadrul
companiei/proceselor/funcțiilor/departamentelor? Un exemplu ar fi modul în care
informația candidatului este transferată de la sursele care colectează la angajatori, apoi la
echipele care se ocupă efectiv de recrutare astfel încât acestea să poată contacta efectiv
candidații.
• Care sunt procesele noastre pentru partajare, transfer, modificare și ștergere de
date? Din nou, dacă utilizați tabele în excel pentru a urmări datele candidatului, ce proces
aveți implementat pentru corectarea inexactităților privind datele sau partajarea
documentelor?
Compania dvs. trebuie să dispună de o politică de confidențialitate transparentă care să explice modul
în care colectează, procesează și protejează datele și oferă instrucțiuni persoanelor vizate cu privire la
modul de a solicita companiei dvs. să șteargă și să rectifice datele. În plus față de această politică de
confidențialitate, compania dvs. poate considera util să aibă o notificare de confidențialitate pentru
recrutare. Această notă va adresată direct candidaților și ar trebui să includă toate informațiile
solicitate de articolul 13 și articolul 14 din GDPR, precum și o trecere în revistă a acțiunilor
companiei dvs. pentru a asigura protecția datelor, precum:
• Numele și datele de contact ale organizației dvs. Dacă ați desemnat un responsabil de
protecție a datelor (DPO), includeți și datele de contact ale acestuia.
• O declarație conform căreia toate datele solicitate vor fi utilizate numai în scopuri
de recrutare. Trebuie să explicați inclusiv interesul legitim.
• Tipurile de informații despre un candidat care se află în compania dvs.
Acestea ar putea fi detalii de contact, profiluri pe rețelele sociale și profesionale, educație
și experiență de lucru.
• Cu cine veți împărți datele. De exemplu, dacă sunteți un consultant de recrutare, puteți
împărtăși aceste date clienților dvs.
• Unde găsiți datele despre candidați. Este important să menționați că utilizați în mod
legal sursele respective.
• Unde se face prelucrarea și unde stocați datele. Acest lucru este important în special
dacă transferați date în afara UE.
• Cât timp organizația dvs. intenționează să stocheze datele fiecărui candidat. Dacă
acest lucru nu este posibil, trebuie să explicați ce criterii aveți în vedere cânt stabiliți
această perioadă.
• Drepturile candidaților. Acestea includ dreptul de a fi uitat, de a rectifica sau de a
accesa date, de a limita prelucrarea, de a retrage consimțământul, de a fi informat cu
privire la prelucrarea datelor lor.
• Instrucțiuni privind modul în care candidații pot lua măsuri privind prelucrarea
datelor lor personale. Lăsați-i să știe cum să acceseze datele sau să solicite să ștergeți, să
rectificați sau să restricționați prelucrarea datelor acestora.
• Cum protejați datele candidatului. Puteți rezuma sau să furnizați un link la politica
generală de confidențialitate a companiei dvs., care ar trebui să includă toate modurile în
care compania protejează datele (de exemplu, criptarea, pseudonimizarea etc.).
Prospectarea este o activitate esențială pentru organizațiile care doresc să găsească oameni buni. Cu
toate acestea, prospectarea necesită găsirea și stocarea datelor personale ale candidaților, astfel încât
respectarea GDPR este esențială.
Mai întâi, rețineți că aveți nevoie de un interes legitim pentru a prospecta candidații și a prelucra
datele personale ale acestora. Asigurați-vă că:
• Chiar intenționați să contactați acești candidați. Doar construirea unei baze de date
prin adăugarea datelor candidaților în cazul în care veți avea nevoie de ele în viitor nu
este în conformitate cu GDPR.
• Plănuiți să contactați candidații cât mai repede cu putință. Puteți stoca profilului unui
candidat fără a-l informa doar pentru o perioadă scurtă de timp (cel mult o lună).
Contactați acești candidați cât mai repede cu putință și ștergeți datele acestora dacă vi se
cere. Dacă vă răzgândiți în privința unui candidat și decideți să nu îl contactați, ștergeți
imediat datele acestuia.
• Colectați doar datele de care chiar aveți nevoie. Veți vrea să prelucrați datele
candidaților privind educația, istoricul de muncă sau competente, precum și date de
contact. Aceste tipuri de date au sens pentru procesul de recrutare. Cu toate acesta, nu ar
trebui să prelucrați date irelevante (ie. informații despre apartenența politică) pentru
procesul de recrutare. Dacă chiar trebuie să prelucrați aceste date, asigurați-vă că oferiți
candidaților explicații în acest sens și le cereți consimțământul.
• Obțineți datele în mod legitim. Obținerea datelor din profilele de pe rețelele sociale
(LinkedIn) este legală conform GDPR, dacă acele profile sunt accesibile
publicului și puteți prezuma în mod rezonabil că acel candidat se așteaptă să fie
contactat (de exemplu are opțiunea bifată în acest sens pe LinkedIn sau a postat anunțuri
că își dorește schimbarea locului de muncă).
Creați un template de text pe care să îl adăugați la emailurile de prospectare. Dacă aveți o politică specifică
de recrutare, puteți furniza denumirea și datele de contactele ale organizației, să spuneți că intenționați să
păstrați datele doar pentru procesul de recrutare și să oferiți un link către politica de confidențialitate și de
prelucrare a datelor pentru restul de informații
necesare.
Dacă nu aveți o asemenea politică, trebuie să includeți toate informațiile necesare din articolul 14 din
Regulamentul GDPR (explicate mai sus) în e-mailul vostru.
XYZ SRL [adresă, telefon, e-mail] colectează și stochează CV-ul tău și datele de contact.
Procesăm aceste date doar în scopuri de recrutare. Am găsit datele acestea pe [LinkedIn] când căutam
candidați care să ocupe o poziție vacantă în cadrul companiei noastre. Stocăm aceste date în aplicația
dedicată [care stochează datele în UE și este pe deplin conformă cu legile UE privind protecția datelor]
și nu vom transfera aceste date cu nimeni altcineva.
Am dori să păstrăm aceste date până în momentul ocupării poziției vacante. [Nu putem estima cu
exactitate perioada, dar vom considera perioada ca fiind încheiată atunci când un candidat
acceptă propunerea noastră pentru poziția unde te avem în vedere]. Când perioada respectivă s-a
încheiat, fie îți vom șterge datele, fie te vom informa că le vom menține în baza noastră de date
pentru poziții viitoare.
Aici este link-ul către politica noastră de confidențialitate și prelucrare a datelor personale. Aici
vei găsi informații privind conformitatea noastră cu Regulamentul GDPR. Poți afla cum să ne
trimiți o cerere de acces privind datele pe care le-am colectat sau cum să ne ceri să îți ștergem
datele, să corectăm orice inexactitate sau să restricționăm procesarea datelor tale.
Ai dreptul de a depune o plângere privind modul în care tratăm datele tale la autoritatea de
supraveghere, ANSPDCP sau poți lua legătură cu responsabilul nostru cu protecția datelor (DPO)
la [detalii de contact] pentru mai multe informații.
Atunci când candidații completează formularele de recrutare (fie online, fie offline), vă furnizează
datele lor personale. Dat fiind că acele candidaturi corespund efectiv unor locuri vacante, aveți un
interes legitim în prelucrarea acestor date și nu este necesar să obțineți consimțământul explicit.
Dar, ca să fiți foarte conformi cu GDPR, asigurați-vă că:
• Cereți doar datele personale de care aveți nevoie. Datele pe care le colectați de la candidați
trebuie să fie ”necesare și relevante pentru performanța locului de muncă pentru care se
aplică” (opinia Grupului de Lucru Articolul 29).
• Fiți transparenți. În anunțurile de recrutare, informații candidații că intenționați să folosiți
datele lor doar pentru procesul de recrutare și spuneți-le cât aveți nevoie să stocați aceste date.
Dacă aveți de gând să adunați mai multe informații despre candidați (spre exemplu, informații
de pe rețelele de socializare), ca parte a procesului de profilare, va trebui să spuneți asta
explicit și să explicați cum și de ce.
• Oferiți linkuri către politicile de confidențialitate și prelucrare a datelor personale.
Politicile acestea ale companiei ar trebui să fie ușor accesibile. Ar trebui de asemenea să
includă instrucțiuni către candidați despre cum vă pot cere să ștergeți, rectificați sau să nu mai
transferați datele lor personale. În anunțurile de recrutare, informați candidații depsre unde
pot găsi aceste informații în politici.
Câteodată ai mai mult de un candidat pentru o poziție. Dacă nu îi poți angaja pe toți, poate ai vrea să îi
ții pe cei pe care nu i-ai angajat în vizor pentru poziții viitoare. Pentru a fi conform cu GDPR, trebuie
să vă asigurați că nu veți stoca aceste date pentru o perioadă mai lungă de timp decât cea menționată
inițial către candidați. Dacă de exemplu le-ați spus candidaților că le veți stoca datele pentru o
perioadă de un an după ce au aplicat, nu trebuie să le mai trimiteți un alt email până ce perioada
respectivă nu a trecut. Tot așa, dacă le-ați spus candidaților că le veți ține datele până când veți ocupa
o poziție specifică, atunci trebuie să îi informați din nou că vreți să le stocați datele pe care le-ați
prelucrat.
Faceți asta prin intermediul emailurilor de respingere. Adăugați câteva propoziții care să:
3.6. Fiți pregătiți să informații candidații despre prelucrarea datelor oricând primiți
datele lor
Deseori vă veți afla în situația în care veți prelucra datele personale ale candidatului prin mai mule
metode decât candidaturi pe online sau prospectare. Candidații vă pot lăsa CV-ul la un târg de joburi
sau la un eveniment de networking. Sau vă pot cere să îi contactați cu privire la noi posturi
disponibile. Toate aceste scenarii sunt legale conform GDPR; dar trebuie să demonstrați că ați fost
transparenți.
Puteți face asta prin pregătirea unor formulare standard care conțin toate informațiile cerute de
Regulamentul GDPR și să le cereți candidaților să le semneze (fie fizic, fie pe o tabletă, de exemplu).
Sau le puteți furniza ulterior pe email la pachet cu politica de confidențialitate și toate celelalte
informații necesare.
Regulamentul GDPR acoperă inclusiv datele personale pe care compania le-a colectat în trecut. Asta
înseamnă că trebuie să vă revizuiți bazele de date, tabelele în excel și alte fișiere unde stocați datele
candidaților. De preferat ar fi fost să o faceți până în mai 2018, dar niciodată nu este prea târziu.
Aceasta este o oportunitate excelentă pentru a vă asigura că baza de date este actuală și relevantă.
Determinați ce candidați chiar s-ar potrivit în posturi viitoare și care nu și aveți în vedere următoarele:
Dacă ajungeți la concluzia că un candidat este puțin probabil să se califice pentru poziții
viitoare în cadrul companiei sau că nu ma este relevant sau că ați obținut informațiile despre ei
acum prea mult timp, atunci trebuie să îi ștergeți datele.
procesați
Dacă ați dori să mai țineți candidații în vizor, ar trebui să îi contactați și să îi informați că le
datele.
Pentru candidații pe care doriți să îi țineți în baza de date, pregătiți un email prin care le dați
informațiile necesare. Acest e-mail ar trebui să fie similar cu emailul pe care îl trimiteți către
candidații posibili, arătat în secțiunea 3.3 de mai sus, inclusiv cu link către politica de confidențialitate
și prelucrare a datelor personale.
Persoanele împuternicite au acces complet la datele candidaților tăi. De aceea Regulamentul GDPR se
așteaptă să fii sigur și convins că partenerii tăi protejează aceste date în aceeași manieră în care o faci
și tu.
Cel mai important aspect în recrutare este cel care îți oferă soluția de recrutare. Softul respectiv este
locul în care vei stoca aproape toate datele candidaților, trimite emailuri și șterge sau modifica
informații. Dacă acest soft este conform cu GDPR; va fi un aliat desăvârșit și pentru conformitatea
companiei dvs.
În ceea ce privește fișierele în excel, care sunt cea mai comună alternativă la softuri, ar putea să vă
expună la riscuri în ceea ce privește conformitatea cu GDPR întrucât furnizează o posibilitate redusă
de a urmări tot procesul și de a aplica controale de acces. Acestea pot fi ușor duplicate, modificate și
transferate fără cunoștința proprietarului.
Dacă dețineți un soft de recrutare sau plănuiți să implementați unul, întrebați următoarele:
Asigurați-vă că transmiteți aceste informații candidaților în mod clar și inteligibil pe website și/sau
termeni și condiții.