W kwietniu 2016 r. Parlament Europejski przyjął tekst rozporządzenia, wprowadzającego największą w historii reformę prawa ochrony danych osobowych. Rozporządzenie będzie stosowane od 25 maja 2018 r. wiążąc wszystkie podmioty na terytorium UE.
Nowe prawo o ochronie danych osobowych jest szczególnie istotne dla osób, zajmujących się na co dzień pracą na dużych zbiorach danych osobowych, m.in. dla rekruterów. Oprócz pewnych wyjątków (przyznających państwom członkowskim swobodę regulacyjną) rozporządzenie będzie obowiązywało bezpośrednio, a jego skuteczność nie będzie uzależniona od jakichkolwiek aktów prawa krajowego. Prawdopodobnie powstanie nowa ustawa o ochronie danych osobowych regulująca kwestie danych osobowych w zakresie w jakim rozporządzenie daje taką możliwość państwom członkowskim.
Wiadomo natomiast, że rozporządzenie wymusza na podmiotach prywatnych dostosowanie swojej wewnętrznej struktury organizacyjnej (w tym procedur) do nowych wymogów przetwarzania danych przewidzianych w rozporządzeniu. Należy zwrócić uwagę, iż rozporządzenie o ochronie danych ma na celu zwiększenie poziomu ochrony osób fizycznych, których dane osobowe są przetwarzane, a więc także kandydatów do pracy. Co będą regulować nowe przepisy i jak wpłynie to na pracę rekruterów?
1. Obowiązki informacyjne
Każda firma prowadzi jedną, bądź wiele baz danych kandydatów. Przy każdej rekrutacji w ogłoszeniu bądź innym miejscu dostępnym dla kandydata firma będzie musiała podać, znacznie rozszerzony i zmodyfikowany katalog obowiązków informacyjnych.
2. „Prawo do bycia zapomnianym”
Zgodnie z treścią rozporządzenia osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, w szczególności gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane. Przedstawiona regulacja wymagać będzie od rekruterów automatyzacji procesów przetwarzania danych, w celu umożliwienia realizacji wskazanego uprawnienia kandydata. Dane muszą zostać usunięte na stałe, a więc spełnienie tego obowiązku może wymagać interwencji działu IT np. w sytuacji gdy firma przechowuje dokumenty rekrutacyjne na skrzynkach e-mail a nie w dedykowanym systemie rekrutacyjnym.
3. Warunki wyrażenia zgody na przetwarzanie danych prywatnych
Rozporządzenie wprowadza nowe rozróżnienie kategorii danych osobowych, zaliczając wizerunek do szczególnej kategorii danych osobowych.
4. Prawo do przenoszenia danych do innego usługodawcy
Zgodnie z treścią Rozporządzenia osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Wymagać to będzie implementacji rozwiązań informatycznych umożliwiających pobranie i przenoszenie danych osobowych pomiędzy administratorami danych.
5. Zgłaszanie naruszenia ochrony danych osobowych i prawo osoby, której dane dotyczą, do informacji o naruszeniu ochrony danych
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Co istotne, nawet gdy administrator danych nie zawiadomi podmiotów danych o naruszeniu, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać.
6. Nakładanie administracyjnych kar pieniężnych (nawet w wysokości 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego) i ich zdecydowane egzekwowanie za stwierdzenie naruszenia.
Naruszenie polityki przetwarzania danych osobowych w firmie, stwierdzone przez odpowiednią do tego instytucję, może mieć skutki nie tylko dla działu HR, ale także pozostałych działów firmy w postaci kar finansowych, ponoszonych przez firmę.
Wydaje się, że nowe rozporządzenie będzie mieć znaczący wpływ na pracę rekruterów na danych osobowych kandydatów. Obszary, w których nowe regulacje mogą wywołać zamieszanie to rekrutacje ukryte, bazy kandydatów odrzuconych bez odpowiednich klauzul i zgód ze strony podmiotów danych, a także przechowywanie i dystrybuowanie aplikacji kandydatów wewnątrz firmy w ramach prowadzenia projektu rekrutacyjnego przez więcej niż jedna osobę. Jedno jest jednak pewne już teraz – jeśli firma prowadzi projekty rekrutacyjne w oparciu o skrzynki e-mail i bazy Excel, a nie posiada jednego systemu do zarządzania procesem rekrutacji, spełnianie warunków określonych przez nowe prawo wpłynie nie tylko na dział HR, ale także działy firmy, do których prowadzone są rekrutacje, dział prawny, dział IT, dbający o dane przechowywane na komputerach i poczcie firmowej, a także dział finansowy, który będzie musiał przygotować rezerwy finansowe albo na odpowiednie zabezpieczenie danych osobowych, albo na kary finansowe.
