GDPR: Ce ar trebui să aibă în vedere firmele, la recrutări, cu privire la datele candidaților

Informarea adecvată a candidaților, respectarea drepturilor lor, identificarea celor mai bune temeiuri de prelucrare a datelor și ștergerea unor sau tuturor datelor personale ale unor candidați sunt cele mai importante aspecte de luat în considerare de recrutori.

Continuarea articolului este exclusivă pentru abonații avocatnet.ro premium. Aceștia pot afla mai multe despre recomandările specialiștilor privind prelucrările de date făcute de companiile de recrutare, precum și despre situația angajatorilor care-și recrutează candidații pe cont propriu.

A devenit evident pentru firmele de recrutare că GDPR-ul este un instrument care le vizează în mod deosebit activitatea, pentru că se ocupă în principal cu prelucrările de date ale candidaților, colectate în special prin prisma CV-urilor pe care le primesc de la aceștia.

În abordarea conformării cu acest regulament, avocații britanici de la Mayer Brown recomandă firmelor de recrutare să revizuiască temeiul legal pentru care prelucrează datele, întâi de toate. Consimțământul pe care s-au bazat până acum la prelucrarea datelor trebuie să îndeplinească anumite cerințe, iar firmele ar putea să se răzgândească în privința folosirii acestui temei de prelucrare, din moment ce consimțământul poate fi retras de candidat. Prin urmare, ar trebui mers pe calea prelucrărilor care au la bază alte temeiuri legale: interesul legitim, contractul, poate chiar prevederi legale, în funcție de situație.

"La activitățile de prelucrare care au mai multe scopuri, atunci când se merge pe obținerea consimțământului pentru prelucrare, e necesar ca acesta să fie dat pentru fiecare scop în parte. Asta înseamnă, de exemplu, că atunci când o firmă de recrutare vrea să folosească datele unui candidat pentru un post pentru care acesta nu a aplicat, atunci trebuie să-l informeze pe acesta și să-i ceară consimțământul și pentru prelucrarea datelor sale pentru acel post. De asemenea, dacă firmele de recrutare folosesc sisteme automatizate pentru filtrarea candidaților (de pildă, bazat pe calificări sau note), trebuie cerut consimțământul în mod specific pentru asta", recomandă avocații.

Informarea candidaților și ștergerea obligatorie a datelor

Că prelucrează datele în baza consimțământului sau altui temei legal admis de GDPR, companiile de recrutare trebuie să îi informeze neapărat pe candidații în căutarea unui loc de muncă, încă de la început, despre cum vor fi prelucrate datele lor.

"Practic, un link către politica de prelucrare a datelor ar trebui furnizat candidatului din momentul în care se intră prima dată în contact cu acesta în contextul aplicării pentru un post liber", punctează avocații de la Mayer Brown.

Ștergerea datelor, după o anumită perioadă de timp, este acum o chestiune imperios de respectat de către toți operatorii de prelucrări de date personale. Aici, recomandă specialiștii, recrutorii ar trebui să se gândească să șteargă datele colectate ale candidaților pe care i-au ajutat să se angajeze, încă de la momentul când procesul de recrutare s-a încheiat cu brio, din moment ce devine evident că datele lor nu mai sunt necesare pentru scopul în care au fost prelucrate, ei angajându-se.

Ce ar trebui să aibă în vedere angajatorii care recrutează pe cont propriu

În domeniul recrutării, putem vorbi de conformarea cu GDPR de către angajatorii care intră în posesia datelor candidaților în mod direct, nemijlocit, fără platforme de recrutare, și de cei care se folosesc de astfel de platforme pentru a recruta, obținând de la acestea datele candidaților. Oricare ar fi însă situația, angajatorul trebuie să-și pună aceleași probleme cu privire la datele pe care le prelucrează de la acești candidați:

• este informat candidatul cu privire la datele ce îi sunt prelucrate și scopurile prelucrării?
• i se oferă candidatului deplinătatea dreptului de acces la date, așa cum e reglementat de GDPR?
• se asigură stocarea datelor doar pe perioada necesară sau sunt ținute în sistem mai mult decât ar fi necesar?

Transparența este prima chestiune pe care trebuie să o aibă în vedere angajatorii când recrutează. Candidatul trebuie informat, potrivit GDPR, cu privire la datele ce îi vor fi prelucrate, cu privire la scopurile prelucrării, de unde sunt obținute (în cazul în care recrutarea e mijlocită), precum și cu privire la perioada pentru care sunt recrutate.

"Astfel, pentru a se asigura respectarea principiului transparenței și echității prelucrării datelor cu caracter personal orice candidat trebuie să fie informat, de exemplu, cu privire la categoriile de date cu caracter personal care fac obiectul prelucrării, scopul colectării acestor date, precum și temeiul juridic al prelucrării, sursa obținerii datelor cu caracter personal, respectiv unde sunt stocate datele, perioada pentru care sunt stocate datele cu caracter personal, ce se va întâmpla cu aceste dat e după expirarea perioadei de stocare, dacă datele cu caracter personal fac obiectul transferului, precum și drepturile candidatului care îi revin în calitate de persoană vizată. Conform cerințelor Regulamentului, informarea candidaților trebuie realizată într-o manieră concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu. Datele cu caracter personal obținute în contextul recrutării trebuie să nu fie ulterior prelucrate într-un mod incompatibil cu scopurile în care au fost inițial colectate, respectiv selecția și recrutarea de personal", punctează Izabela Tănase, legal consultant, TMO Attorneys at Law, într-un material publicat de KPMG România pe această temă.

Mai departe, punctează specialistul, fiecare organizație ar trebui să-și stabilească termenele de retenție a datelor personale ale candidaților, în funcție de nevoile de business proprii. Dacă un angajator ar vrea să păstreze în sistem datele unui candidat pe care nu l-a recrutat azi, dar pe care l-ar putea recruta în viitor, e neapărat nevoie să fie reținut tot conținutul CV-ului său sau e indicat să se rețină numele și o adresă de contact? Asta, în ideea în care ar trebui prelucrate doar acele date personale de care firmele au nevoie cu adevărat.

De asemenea, trebuie asigurate drepturile persoanei vizate de prelucrări, așa cum sunt ele reglementate de GDPR: dreptul de acces la date, drepul la rectificarea datelor ori ștergerea lor, dreptul la portabilitatea datelor, dreptul de a se opune prelucrării ș.a.m.d.

Desigur, se mai pune și problema datelor deja colectate, pentru că regulamentul european nu se aplică doar datelor colectate de la 25 mai 2018, când a intrat în vigoare textul. Așa cum au recomandat numeroși specialiști până acum, e necesar un audit al datelor deja colectate de la candidați în trecut. Așa se pot identifica datele care sunt mai vechi și care ar trebui șterse, nemaifiind necesare în scopul pentru care au fost prelucrate.