RODO spowodowało swego rodzaju rewolucję w dotychczasowym podejściu do ochrony danych osobowych. Wymusiło wiele poważnych zmian organizacyjnych i technologicznych po stronie przedsiębiorców. Konieczność wdrożenia nowych rozwiązań nie ominęła obszaru rekrutacji, nierozerwalnie związanego z przetwarzaniem danych osobowych kandydatów do pracy. Jaką postawę wobec RODO przyjęli pracodawcy? Czy przygotowali się do funkcjonowania w nowej rzeczywistości i co stanowiło dla nich największe wyzwanie? Na początku roku eRecruiter przeprowadził badanie „RODO w rekrutacji 2018”, którego celem było znalezienie odpowiedzi na zadane pytania, a także zweryfikowanie poziomu wiedzy kandydatów w obszarze ochrony ich danych osobowych w procesie rekrutacyjnym.

Wyzwania dla pracodawców w obliczu RODO

Aż 89 proc. firm prognozuje, że rozpoczęcie stosowania nowych przepisów wpłynie na większe niż dotychczas zaangażowanie działów HR w kwestie związane z ochroną i przetwarzaniem danych osobowych kandydatów, a ponad połowa rekruterów spodziewa się wzrostu liczby obowiązków informacyjnych i prawnych po stronie organizacji.

Według respondentów badania „RODO w rekrutacji 2018” największy wpływ na realizowane działania rekrutacyjne mają przepisy związane z koniecznością zapewniania środków technicznych i organizacyjnych ochrony danych osobowych (24 proc.), dokumentowania zgód kandydatów (21 proc.), a także obsługa nowych praw kandydatów (21 proc.).

Zdaniem osób odpowiedzialnych za przebieg procesu rekrutacji w firmach kluczowymi warunkami, które mają zapewnić jego zgodność z przepisami RODO, są przede wszystkim: dostosowanie wewnętrznych procedur (33 proc.), dostosowanie posiadanego systemu rekrutacyjnego (32 proc.) oraz odpowiednie zarządzanie klauzulami i zgodami (27 proc.).

– Pracodawcy objęci naszym badaniem zwrócili uwagę na to, że dostosowanie się do nowych wymogów prawa może utrudnić niedostateczny poziom wiedzy dotyczącej wdrożenia zasad RODO w rekrutacji (30 proc.) oraz brak szkoleń dla pracowników z tego zakresu (36 proc.). Niepokój rekruterów budzi także brak osoby odpowiedzialnej za ochronę danych w firmie (30 proc.), która mogłaby wesprzeć ich w rozwiązywaniu bieżących problemów związanych ze zbieraniem i przetwarzaniem danych osobowych kandydatów – wskazuje Julia Urbańska, ekspert
eRecruiter.

Rozszerzone obowiązki pracodawców, czyli jakie?

Firmy prowadzące rekrutacje w świetle nowych przepisów o ochronie danych osobowych są zobowiązane do przykładania – jeszcze większej niż dotychczas – wagi do kwestii wypełniania obowiązków informacyjnych wobec kandydatów. Pracodawcy w klauzulach informacyjnych powinni poinformować aplikujących m.in. o tym, kto będzie administratorem przekazanych danych, jak długo będą one przetwarzane i jakie prawa przysługują kandydatowi w zakresie dostępu, edycji czy usunięcia dotyczących go informacji. Jak wynika z badania eRecruiter „RODO w rekrutacji 2018”, 85 proc. kandydatów z reguły zapoznaje się z treścią klauzuli informacyjnej i zgód zamieszczonych w ofertach lub formularzach aplikacyjnych. Jednak aż 34 proc. z nich nie rozumie lub nie jest pewnych, jaka jest między tymi treściami
różnica.

– Katalog informacji, które pracodawca powinien przekazać podczas pozyskiwania danych od kandydata, został rozszerzony w świetle nowego prawa. Ilość informacji, które firma musi przedstawić kandydatowi, została zwiększona, co jest jednoznaczne z rozbudowaniem i wydłużeniem treści klauzuli informacyjnej. Sformułowanie klauzul tak, by były zgodne z przepisami i jednocześnie zrozumiałe dla kandydatów, może stanowić dodatkowe wyzwanie dla rekruterów. Warto także zwrócić uwagę, czy rozwiązania, z których korzystamy jako rekrutujący, pozwalają nam monitorować, jakie informacje zostały przekazane kandydatowi i kiedy miało to miejsce, by na wypadek kontroli móc udokumentować działanie zgodne z prawem – mówi Patrycja Wyszyńska z firmy Mazi Zoo.

Zdaniem Izabeli Ulatowskiej-Bierlet z PassionHR świadomość kandydatów dotycząca procesów rekrutacji wzrasta. Z reguły wiedzą oni, czego mogą oczekiwać od potencjalnych pracodawców, a także jakie przysługują im prawa. Kwestie administrowania danymi i bezpieczeństwa informacji przekazywanych w procesach rekrutacyjnych nie leżą jednak w polu ich zainteresowań. – Przeprowadziłam tysiące rozmów rekrutacyjnych i nie zdarzyło się, aby kandydat zapytał mnie, kto jest administratorem jego danych osobowych i czy będą one dalej udostępniane – mówi Izabela Ulatowska-Bierlet. – Nie sądzę, aby zmiany, które niebawem wejdą w życie, zasadniczo zmieniły świadomość kandydatów. Obostrzeniom będą podlegały przede wszystkim agencje pracy oraz pracodawcy. Dla osób starających się o pracę niewiele się zmieni. Naszym zadaniem – podmiotów prowadzących działania rekrutacyjne – jest edukowanie kandydatów i uczulanie ich na wszystkie kwestie związane z ochroną ich danych osobowych – dodaje.

Jak długo przechowywać dane kandydatów?

Wiele wątpliwości wśród firm budzi kwestia czasu przechowywania danych osobowych kandydatów. Jak pokazują wyniki badania, jest on bardzo zróżnicowany i zależy od wielu kryteriów, np. od tego, czy kandydat wyraził zgodę na wykorzystanie jego CV w przyszłych procesach rekrutacyjnych. Niecałe 30 proc. pracodawców, posiadając zgody na przetwarzanie danych dla celów przyszłych rekrutacji, przechowuje je rok, a 17 proc. – do trzech lat. W przypadku braku takiej zgody połowa praco­dawców usuwa dane zaraz po zakończeniu procesu rekrutacji. Tylko co dziesiąty przechowuje je przez kilkanaście miesięcy.

Co drugi kandydat zapytany o oczekiwany czas przetwarzania danych w sytuacji, w której wyraził zgodę na wykorzystanie danych po zakończeniu procesu rekrutacyjnego, na który aplikował, chciałby, żeby jego dane były przetwarzane jeszcze przez rok (47 proc.), a co trzeci specjalista zgodziłby się na wykorzystanie jego kandydatury w ciągu trzech lat (28 proc.). Na podstawie wyników możemy stwierdzić, że co drugi kandydat, który nie wyraził zgody na udział w innych procesach rekrutacyjnych, oczekuje usunięcia jego danych zaraz po zakończeniu rekrutacji, którą był zainteresowany (46 proc.).

 [-OFERTA_HTML-]

– Bardzo często firmy zadają sobie pytanie, w jaki sposób i jak długo przechowywać dane osobowe kandydatów. Zgodnie z RODO pracodawca ma obowiązek określić, jak długo będzie przechowywał dane osobowe aplikujących także w sytuacji, gdy kandydat wyrazi zgodę na udział w przyszłych procesach rekrutacyjnych. Rozporządzenie nie wskazuje jednak, jaki czas jest optymalny. Pracodawca jako administrator danych kandydatów musi to ocenić samodzielnie, biorąc pod uwagę zarówno oczekiwania kandydatów w tym zakresie, jak i aktualność tych danych oraz możliwość ich faktycznego wykorzystania do jakichś przyszłych procesów rekrutacyjnych – komentuje Agnieszka Witaszek, radca prawny, administrator bezpieczeństwa informacji w Grupie Pracuj.

Jak przechowywać dane i zapewnić im bezpieczeństwo?

By mieć pewność, że działania w zakresie rekrutacji nie narażą firmy na dotkliwe sankcje, pracodawcy będą musieli zapewnić bezpieczeństwo informacji we wszystkich miejscach i narzędziach, które w tym celu wykorzystują. Wyniki badania eRecruiter potwierdzają, że rekrutujący często równolegle wykorzystują kilka rozwiązań do przechowywania i przetwarzania danych osobowych. W większości jest to system rekrutacyjny (66 proc.) oraz specjalnie do tego przeznaczona skrzynka e-mail (49 proc.).

Mnogość narzędzi, choć wynikająca często z przyzwyczajeń rekruterów czy wygody codziennej pracy z danymi, rodzi obawy o możliwość zapewnienia należytego poziomu bezpieczeństwa informacji. Dlatego warto zastanowić się nad wybraniem jednej metody przechowywania i przetwarzania danych i zapewnienie jej stosownych zabezpieczeń.

– Przechowywanie informacji o kandydatach w zdefiniowanym i prawidłowo monitorowanym miejscu jest dla nas podstawą. Konsekwentnie wdrażamy koncepcję „security by design”. Przyjęty przez naszą firmę model postępowania skutkuje większą efektywnością prowadzonych procesów i zmniejszeniem ryzyka wystąpienia zagrożeń związanych z nieuprawnionym dostępem – wskazuje Edyta Stocka z Gemius.

Przyzwyczajenia kandydatów

Zdecydowana większość (58 proc.) kandydatów zamieszcza w swoich CV zgodę na przetwarzanie danych osobowych przez firmę, w której chcieliby podjąć pracę, 37 proc. zaś dodaje ją tylko wtedy, gdy pracodawca wymaga tego w ogłoszeniu. Warto zauważyć, że co trzeci aplikujący na oferty pracy nie edytuje zgody zamieszczonej w swoim CV przed wysłaniem dokumentu do różnych pracodawców.

W świetle wymagań RODO zgoda powinna być konkretna i odnosić się do przetwarzania danych przez określonego administratora. Dla osoby, która wyraża zgodę, musi być jasne, kto i w jakim celu będzie przetwarzał jej dane osobowe. Zgoda niezawierająca informacji komu jest udzielana, nie spełnia wymagań RODO. Oznacza to, że szablonowe formuły zgód, niedostosowane do potrzeb konkretnego administratora i prowadzonego przez niego procesu rekrutacyjnego, nie zabezpieczają odpowiednio pracodawców w kontekście nowych wymagań. W przypadku kontroli to pracodawca jako administrator danych będzie musiał wykazać, kto, kiedy i jakiej treści wyraził zgodę. Będzie to trudne w przypadku zamieszczenia w CV treści zgody, która nie jest dostosowana do zasad przetwarzania danych kandydatów przyjętych u określonego pracodawcy – komentuje Agnieszka Witaszek, radca prawny, administrator bezpieczeństwa informacji w Grupie Pracuj.

Nowe przepisy a nastroje wśród pracodawców

W sumie niemal 70 proc. pracodawców nie potrafi jednoznacznie określić, czy zmiany wynikające z RODO pozytywnie wpłyną na kwestię ochrony danych osobowych. Tylko co trzecia firma uważa, że nowe przepisy są korzystne.

– Działy HR, przygotowując się do RODO, wdrażają odpowiednie rozwiązania organizacyjne i techniczne, które mają zapewnić zgodność procesu rekrutacji z nowymi przepisami. U większości firm, z którymi współ­pracujemy, przygotowania są już zaawansowane – wskazuje Julia Urbańska, ekspert eRecruiter.

– Tak naprawdę dopiero po kilku miesiącach będzie można ocenić, w jaki sposób unijna regulacja wpłynęła na praktyki pracodawców oraz zwiększenie bezpieczeństwa danych osobowych kandydatów. Na stosunek do RODO rzutować będą ponadto zmiany, które zostaną wprowadzone w kodeksie pracy, oraz akty wykonawcze do projektowanej ustawy o ochronie danych osobowych – uzupełnia Patrycja Wyszyńska z Maxi Zoo.

Przed największym wyzwaniem staną firmy, które do tej pory w ogóle nie zwracały uwagi na kwestie przetwarzania danych ani nie posiadają odpowiednich rozwiązań techno­logicznych. Natomiast te, które korzystają już ze sprawdzonych systemów, będą musiały zadbać wyłącznie o to, aby podprocesorzy dostosowali swoje narzędzia do wymogów RODO.

Mieszane uczucia wśród pracodawców budzą przede wszystkim kwestie związane z odpowiedzialnością za naruszanie przepisów oraz z nakładaniem kar.

Ponad ⅓ firm nie zdaje sobie sprawy, że za bezpieczeństwo przetwarzanych danych odpowiada zarówno pracodawca (jako administrator), jak i procesor, np. dostawca narzędzia wspierającego rekrutację; 65 proc. uczestników badania eRecruiter „RODO w rekrutacji 2018” ma świadomość odpowiedzialności zarówno administratora, jak i procesora danych za przestrzeganie nowych regulacji oraz ewentualne naruszenia przepisów.

Pracodawcy po 25.05.2018 r. zobowiązani będą do przestrzegania nowych przepisów ochrony danych osobowych. W innym wypadku narażają się na surowe kary finansowe – nawet do 4 proc. całkowitego światowego rocznego obrotu przedsiębiorstwa lub 20 mln euro.

Więcej artykułów nt. RODO w kadrach i rekrutacji tutaj >>

W odpowiednim czasie

Jak wynika z raportu, zmiany prawa, z którymi przyszło się zmierzyć rekruterom, wywoływały niemało emocji. Należy jednak pamiętać, że celem tych zmian jest poprawa jakości i bezpieczeństwa przetwarzania danych osobowych.
Do 25.05.2018 r. pracodawcy mają czas na przygotowanie się do funkcjonowania w nowej rzeczywistości. Gwarancją sukcesu w tym obszarze w dużej mierze jest precyzyjne przeanalizowanie swoich działań, procesów i procedur, zidentyfikowanie problemów w zakresie przetwarzania danych osobowych i wdrożenie stosownych rozwiązań zarówno organizacyjnych, jak i technicznych. Jeśli praco­dawcy w odpowiednim czasie podjęli takie kroki, to ich organizacje, w tym działy rekrutacji, powinny być już dostosowane do wymogów RODO.

Badanie „RODO w rekrutacji 2018” zostało przeprowadzone przez eRecruiter w ramach inicjatywy stworzenia „Kodeksu ochrony danych osobowych w rekrutacji”. Badanie zrealizowano przy pomocy ankiet on-line i objęło 618 specjalistów (osób, które w ostatnim roku aplikowały na oferty pracy) i 720 praco­dawców. Badanie zrealizowano w styczniu 2018 r.

Raport „RODO w rekrutacji 2018”

Czy wiesz, że 8 na 10 pracodawców przygotowuje się do rozpoczęcia stosowania RODO, jednak aż 1/4 firm nie wyznaczyło osoby lub zespołu odpowiedzialnego za ochronę danych osobowych. Pobierz raport, by dowiedzieć się m.in., jakie praktyki ochrony danych osobowych dominują wśród pracodawców, jak długo przetwarzają dane kandydatów oraz jakie są oczekiwania aplikujących w tym zakresie.

Katarzyna Trzaska
ekspert eRecruiter, koordynator inicjatywy stworzenia „Kodeksu ochrony danych osobowych w rekrutacji”, w ramach której zrealizowane zostało badanie „RODO w rekrutacji 2018”.

Artykuł pochodzi z majowego numeru miesięcznika Personel Plus >>