Rozporządzenie ogólne o ochronie danych osobowych (RODO), które jest stosowane od maja 2018 roku, wymusza na pracodawcach spełnienie określonych wymogów w zakresie przetwarzania i ochrony danych osobowych kandydatów. W praktyce wielu pracodawców powierza dane kandydatów zewnętrznym dostawcom oprogramowania HR. Z badania eRecruiter „RODO w rekrutacji”* wynika, że 66% pracodawców przechowuje dane kandydatów w systemie do zarządzania rekrutacjami.
Zewnętrzni dostawcy tego typu zgodnie z rozporządzeniem, są podmiotem przetwarzającym dane osobowe na zlecenie administratora, czyli tzw. procesorem. Jeśli zastanawiasz się, o co zapytać dostawcę oprogramowania HR, by sprawdzić, czy zapewnia wszelkie środki przetwarzania i ochrony danych, wymagane przez RODO, poniżej znajdziesz odpowiedź!
Dlaczego wybór wiarygodnego dostawcy jest istotny?
Z punktu widzenia RODO niezwykle istotne jest, komu pracodawca powierza dane osobowe. Choć w procesie rekrutacji często rekrutujący powierzają przetwarzanie danych procesorom, to nadal przede wszystkim oni, jako administratorzy odpowiadają za bezpieczeństwo danych i zgodność ich przetwarzania z przepisami prawa. Z tego względu pracodawcy mają obowiązek upewnić się, że podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.
Choć brzmi to bardzo poważnie, to nie należy bać się powierzenia przetwarzania danych. Zewnętrzni dostawcy mają bowiem wiedzę, doświadczenie i wszystkie niezbędne zasoby do zapewnienia bezpieczeństwa danych oraz bieżącego dostosowywania do wymogów stawianych przez przepisy prawa. W przypadku, gdy pracodawca chciałby uniknąć powierzenia danych, to sam musiałby zapewnić wszystkie zabezpieczenia we własnym zakresie.
Jak sprawdzić, czy procesor spełnia wymogi określone w RODO?
Najważniejszym zadaniem pracodawcy, a w praktyce działu HR, który chce powierzyć przetwarzanie danych osobowych kandydatów zewnętrznym dostawcom narzędzi, jest zatem weryfikacja i ocena w jakim stopniu wybrany partner jest w stanie zapewnić odpowiednie środki techniczne i organizacyjne, tak aby zapewnić zgodność z RODO.
Specjalnie dla Was przygotowaliśmy przykładową listę pytań, które warto zadać procesorowi przed zawarciem z nim umowy powierzenia przetwarzania danych swoich kandydatów. Gotowa do pobrania lista przykładowych pytań do dostawcy oprogramowania znajduje się pod linkiem.
Czym jest umowa powierzenia danych?
RODO nakłada na administratorów obowiązek zawarcia z procesorem danych tzw. umowy powierzenia. W rozmowach z Klientami często spotykamy się z ich wątpliwościami związanymi z kwestią powierzenia danych, a także z formalnościami, których muszą dopełnić. Najczęściej zadawane pytania dotyczą tego, jaką formę powinna przyjmować umowa z dostawcą, jakie elementy powinna zawierać, a także czy konieczne jest zawarcie umowy w formie pisemnej.
Poprosiliśmy eksperta ds. ochrony danych, by pokrótce omówił tę kwestię. Dr Mirosław Gumularz, radca prawny z GKK Gumularz Kozieł Kozik, wyjaśnia:
Umowa powierzenia dotyczy sytuacji, gdy administrator danych (np. pracodawca) ujawnia na zewnątrz swojej organizacji dane osobowe do podmiotu, który nie jest członkiem jego personelu i będzie przetwarzał dane osobowe w imieniu administratora danych. Co bardzo ważne, nie trzeba zawierać umowy powierzenia przy każdym przekazaniu (ujawnieniu) danych poza organizację! Nie jest to umowa „ujawnienia” danych, a powierzenia do przetwarzania w imieniu administratora. Przykładowo powierzeniem danych będzie zlecenie zbierania danych osobowych agencji zatrudnienia w imieniu administratora danych. Nie będzie powierzeniem danych ujawnienie danych organowi administracji publicznej (np. zus). Jeżeli dane są ujawniane w relacji administrator -> administrator to dochodzi do udostępnienia (np. bank), a nie powierzenia danych. W tym przypadku należy zweryfikować przesłanki z art. 6 oraz 9 rodo (np. zgoda na udostępnienie, obowiązek prawny administratora danych) i nie należy zawierać umowy powierzenia danych.
Umowa powierzenia nie zawsze musi być osobnym dokumentem. Może zostać zawarta poprzez podpisanie innego instrumentu prawnego, np. regulaminu lub być częścią innej umowy z dostawcą oprogramowania zawierającej klauzule dotyczące powierzenia danych. Umowa lub wspomniany wyżej instrument prawny są podstawą powierzenia przetwarzania danych, muszą mieć formę pisemną, w tym formę elektroniczną (nie ma obowiązku zawierania umowy w formie papierowej).
Zrób to, zanim wybierzesz dostawcę i powierzysz mu dane…
Z wewnętrznego badania eRecruiter dot. satysfakcji Klientów wynika, że pracodawcy wymieniają bezpieczeństwo danych i przygotowanie do RODO pośród trzech najważniejszych kryteriów oceny potencjalnego dostawcy. Aby upewnić się, że wybrany procesor w praktyce spełnia wymogi bezpieczeństwa, sprawdź jego referencje. Cenną wskazówką będzie z pewnością rozmowa z osobą, która na co dzień korzysta z takiego rozwiązania w innej firmie.
Bezpieczeństwo danych i zgodność z obowiązującym prawem jest dla nas priorytetem. W tym celu wprowadziliśmy politykę bezpieczeństwa danych osobowych. Nasi pracownicy są na bieżąco edukowani, co zapewnia zgodność z obowiązującym prawem i gwarantuje, że dane naszych kandydatów są zabezpieczone. Wszystkie narzędzia wykorzystywane w procesie gromadzenia i przetwarzania danych muszą spełniać najwyższe standardy bezpieczeństwa. Jest to kluczowe dla zabezpieczenia prawno-finansowego każdej organizacji i umożliwia zarządzanie procesami rekrutacyjnymi zgodnie z obowiązującym prawem. – komentuje Łukasz Jankowicz, Group Recruitment Manager w Grupie Adamed, w swojej pracy korzystający z platformy eRecruiter.
Mamy nadzieję, że przygotowane przez nas materiały pozwolą Wam na uzyskanie od dostawców oprogramowania wszelkich niezbędnych informacji umożliwiających ich ocenę pod kątem spełniania wymogów RODO.
