15 pytań, które pozwolą Ci przygotować się do RODO – jak przeprowadzić analizę procesów rekrutacyjnych w firmie?

RODO zbliża się wielkimi krokami i coraz częściej rekruterzy zastanawiają się od czego właściwie zacząć przygotowania. W jaki sposób zweryfikować istniejące procesy? Jak zidentyfikować obszary wymagające zmian i usprawnień? Postanowiliśmy przygotować kilka wskazówek oraz listę kluczowych pytań, które pomogą przejść przez cały proces.

Po pierwsze – zidentyfikuj wszystkie procesy związane z przetwarzaniem danych w ramach rekrutacji

Wdrożenie RODO w organizacji musi być poprzedzone gruntownym zidentyfikowaniem i opisaniem procesów przetwarzania danych. Mówiąc ogólnie – nie da się wdrożyć zmian, nie wiedząc dokładnie czego mają one dotyczyć.

W naszym przypadku chodzi o procesy związane z rekrutacjami. RODO nie definiuje czym jest proces, który powinien zostać odrębnie opisany: gdzie on się zaczyna a gdzie kończy. W praktyce odrębnym (jednym) procesem jest seria powiązanych ze sobą operacji na danych osobowych, które rozwiązują określony problem lub prowadzą do osiągnięcia określonego efektu biznesowego (celu). Chociaż jest to często kwestia konwencji (nie da się tego matematycznie przesądzić), kryteriami pomocniczymi przy wyróżnianiu odrębnych procesów mogą być:

• cel przetwarzania danych (np. obecna rekrutacja; przyszłe rekrutacje; rekrutacje wewnętrzne; marketing; etc.);
• zakres przetwarzanych danych;
• sposób pozyskiwania danych osobowych (np. bezpośrednio od osoby, której dane przetwarzamy albo z innych źródeł, takich jak media społecznościowe).

Dlatego też podstawowe znaczenie ma zidentyfikowanie procesów związanych z przetwarzaniem danych i ich weryfikacja pod kątem elementów istotnych prawnie (tzn. takich, które posłużą przy ocenie potrzebnych zmian).

Po drugie – odpowiedz na poniższe pytania:

1. Jakie procesy rekrutacyjne prowadzone są w organizacji (np. rekrutacje prowadzone poprzez portale internetowe; poprzez zakładkę kariera na stronie internetowej; rekrutacje wewnętrzne; rekrutacje prowadzone w ramach spółek powiązanych; etc.)?
2. Jaki jest zakres danych przetwarzanych w ramach rekrutacji (np. imię; nazwisko; etc.)?
3. W jaki sposób dane osobowe są pozyskiwane – bezpośrednio od kandydatów czy z innych źródeł (np. w ramach polecenia i rekrutacji wewnętrznej; z social media czy agencji rekrutacyjnej)?
4. Jaki jest cel prowadzonej rekrutacji (obecna rekrutacja; rekrutacja przyszła)?
5. Czy do rekrutacji wykorzystywane są narzędzia informatyczne? Czy dostawca narzędzia ma dostęp do przetwarzanych danych osobowych (jest tzw. procesorem)? Czy podmiot został zweryfikowany pod kątem spełnienia wymogów RODO?
6. Gdzie fizycznie dane osobowe są zlokalizowane (dane papierowe; dane osobowe przetwarzane w formie elektronicznej)? Czy mogą być przetwarzane poza terenem Unii Europejskiej?
7. Jakie operacje wykonywane są na danych osobowych w ramach procesu rekrutacji (np. zbieranie, utrwalanie, modyfikowanie, zestawianie)?
8. Czy i ewentualnie jakie formularze wykorzystywane są do pozyskiwania danych osobowych (np. na zakładce kariera na firmowej stronie www; na portalach internetowych; formularze papierowe)?
9. Czy przetwarzane są dane osobowe dzieci (pracownicy młodociani)?
10. Czy w ramach rekrutacji dochodzi do profilowania (zgodnie z RODO profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się)?
11. Czy decyzje w ramach rekrutacji podejmowane są ręcznie czy w sposób zautomatyzowany? (elektroniczne metody rekrutacji bez interwencji ludzkiej)?
12. Kto w organizacji ma dostęp do danych osobowych?
13. Kto poza organizacją ma dostęp do danych osobowych (np. zewnętrzne podmioty doradcze; spółki w grupie kapitałowej)?
14. Gdzie dane osobowe rekrutacyjne są przechowywane? Czy są cyklicznie usuwane? Jeżeli tak to jak często i w jaki sposób?
15. W jaki sposób dane osobowe są chronione przed przypadkowym lub niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych?

Po trzecie – zadbaj o zgody na przetwarzanie danych osobowych

Jeżeli zbierana jest zgoda na przetwarzanie danych osobowych to sprawdź, czy:

1. zgoda jest najbardziej odpowiednią podstawą prawną przetwarzania danych osobowych;
2. czy potrzebne (lub dozwolone prawnie) jest pozyskiwanie określonych kategorii danych osobowych w oparciu o zgodę (w tym zakresie należy uwzględnić treść przepisów wdrażających do prawa polskiego);
3. zgoda ma charakter odrębnego oświadczenia woli (jest odrębna od innych oświadczeń);
4. zgoda ma charakter aktywnego zachowania opt-in;
5. język zgody jest łatwy do zrozumienia;
6. precyzyjnie określono cel przetwarzania danych osobowych objęty treścią zgody;
7. określono różne opcje zgody na odrębne cele przetwarzania danych;
8. klauzula informacyjna określa możliwość wycofania zgody;
9. zgoda ma charakter dobrowolny;
10. zgoda jest pozyskiwana od dzieci (i jeżeli tak to czy wprowadzono mechanizmy weryfikacji wieku);
11. wprowadzono mechanizmy weryfikowania tożsamości podmiotu udzielającego zgodę lub podmiotu działającego w jego imieniu (np. rodzica);
12. rejestrowane jest kiedy i jak uzyskano zgodę danej osoby oraz o jakiej treści;
13. rejestrowane jest wycofanie zgody;
14. czy wprowadzono mechanizm weryfikowania aktualności (dalszej możliwości) przetwarzania danych po wycofaniu zgody;
15. ułatwiono możliwość wycofania zgody;
16. umożliwiono odświeżenie zgody w odpowiednich odstępach czasu.

Lista pytań jest obszerna ale nie wyczerpująca. Na pewno będzie stanowiła doskonały początek do weryfikacji istniejących procesów. Po dokonaniu inwentaryzacji należy rozpocząć proces zmian. Oczywiście w tym zakresie należy uwzględnić treść planowanych zmian w przepisach prawa pracy. Nie mniej mając dobrze zinwentaryzowane procesy etap zmian będzie możliwy do sprawnego przeprowadzenia.

*Artykuł nie ma charakteru porady prawnej, nie wyczerpuje zmian wynikających z przepisów RODO i nie dotyczy konkretnego systemu służącego do rekrutacji pracowników, niemniej wskazuje główne obszary zmian, istotne z punktu widzenia HR.