REGULI PRIVIND PRELUCRAREA DATELOR ÎN PROCESUL DE RECRUTARE

Article Reguli privind prelucrarea datelor in procesul de recrutare. Cum se aplica GDPR?

1.Prelucrarea datelor personale în contextul recrutării

Datele prelucrate în procesul de recrutare implică identitatea unui candidat, experiența profesională, formarea sa profesională, evaluarea aptitudinilor și competențelor șamd. Prelucrarea datelor personale ale candidaților din punct de vedere al GDPR nu face diferența dintre tipurile de suport ale datelor, simplele notițe scrise de mână în timpul unui interviu de angajare sunt o operațiune de prelucrare a datelor care face obiectul GDPR, doar dacă aceste notițe sunt păstrate sau arhivate într-un dosar. 

Datele cu caracter personal vor putea fi prelucrate doar dacă entitatea îndeplinește cel puțin una dintre următoarele condiții, conform articolului 6 din Regulamentul GDPR: 

a) Este obținut în prealabil consimțământul persoanei vizate;

b) Sunt prelucrate pentru a putea onora o obligație contractuală;

c) Sunt prelucrate pentru a se îndeplini o obligație legală;

d) Sunt prelucrate pentru a se putea proteja interesele vitale ale persoanei respective;

e) Sunt prelucrate cu scopul de a îndeplini o sarcină care este în interesul publicului;

f) Sunt prelucrate  în concordanță cu interesul legitim al propriei companii, dar nu afectează drepturile și libertățile fundamentale ale persoanei/persoanelor ale căror date personale sunt prelucrate.

Alegerea temeiului juridic este esențială, pentru că poate afecta drepturile candidaților cu privire la datele lor personale. De exemplu, dreptul la portabilitate poate fi exercitat numai dacă prelucrarea se bazează pe temeiul juridic al consimțământului sau al executării contractului.

2.Relevanța GDPR în contextul prelucrării în scopul recrutării

Prelucrarea datelor personale în procesul de recrutare trebuie să fie licită și transparentă. Un exemplu de colectare incorectă și netransparentă de date este prelucrarea făcută de un detectiv în cadrul unei anchete asupra candidaților în numele unui viitor angajator, pentru a afla trecutul lor sindical.

Pentru prelucrarea datelor personale trebuie scopuri finale determinate, explicite și legitime. Crearea unui bazin de candidați pe baza publicării unei oferte false de locuri de muncă nu este legitimă.

Trebuie colectate doar informații adecvate, pertinente și limitate. Este interzisă strângerea de date personale de la candidați privind părinții lor, frații sau surorile, opiniile politice, starea de sănătate. 

Trebuie colectate date personale pe o durată determinată de timp. Colectarea datelor personale în cursul procesului de recrutare și păstrarea acestora pe un termen de 5 ani este excesivă. 

Trebuie implementate măsuri de securitate adecvate pentru protejarea datelor personale. Nu toți angajații unei companii trebuie să aibă acces la CV-urile și scrisorile de intenție ale candidaților.

3.Responsabilul pentru prelucrarea datelor personale

Părțile vor fi calificate în funcție de rolul efectiv în prelucrare, mai exact cine a decis să creeze operațiunea de prelucrare, cine a definit scopul acesteia, ce date cu caracter personal ale candidaților sunt colectate, cât timp sunt păstrate, ce măsuri de securitate sunt puse în aplicare.

Un exemplu de operator de date personale este operatorul unei platforme web care reunește angajatori și candidați și oferă servicii candidaților aflați în căutarea unui loc de muncă și recrutorilor. Un exemplu de actor împuternicit este firma specializată externalizată, care selectează profilurile candidaților, verifică calificările acestora șamd.

4.Accesul la datele personale ale candidaților

În recrutare, agenții ce pot obține informații despre candidați sunt ofițerii de recrutare, de resurse umane, managerii viitorului angajat, directorul organizației.

Un angajat care obține CV-urile și scrisorile de motivație ale candidaților fără a interveni în procesul de recrutare nu este a priori autorizat să le acceseze. 

La finalul procesului de recrutare, departamentele care pot avea acces la datele cu caracter personal ale candidatului sunt cele care au nevoie de informații pentru îndeplinirea sarcinilor lor; pentru a pregăti candidatul pentru recrutare; pentru a gestiona ulterior candidatul din punct de vedere al resurselor umane.

5.Informarea candidaților

Regulamentul GDPR impune informarea persoanelor vizate cu privire la orice prelucrare a datelor lor personale, și indiferent dacă datele sunt colectate direct, de la candidați, sau indirect, de la terți, recrutorul trebuie să informeze candidații de următoarele:

  • identitatea și datele de contact ale operatorului (compania);
  • dacă este cazul, datele de contact ale responsabilului cu protecția datelor (DPO);
  • scopul prelucrării efectuate de către recrutor; 
  • temeiul juridic al prelucrării și, dacă este cazul, interesele legitime în practică urmărite de operator, în cazul în care prelucrarea se bazează pe acest temei juridic; 
  • dacă furnizarea de date este obligatorie sau voluntară și consecințele pentru candidați în cazul în care nu răspund;
  • destinatarii informațiilor, dacă este cazul;
  • dacă este cazul, faptul că recrutorul intenționează să transfere date către o țară terță și mecanismul juridic aplicat acestui transfer;
  • durata de păstrare a datelor personale; 
  • existența și condițiile de exercitare a drepturilor aplicabile;
  • posibilitatea de a depune o plângere la autoritate;
  • dacă este cazul, existența unui proces decizional automatizat, inclusiv crearea de profiluri.

Nota de informare a candidaților trebuie, pe lângă obligațiile privind conținutul, să îndeplinească și anumite cerințe de formă: să fie concisă, ușor de înțeles și accesibilă. Următoarea frază nu este suficient de clară pentru a înțelege scopul prelucrării de către recrutor: "Informațiile pe care le colectăm în cadrul procesului de recrutare pot fi utilizate în alte scopuri".

6. Utilizarea datelor personale disponibile public, pe internet

Orice copiere, înregistrare sau  transfer de date accesibile online constituie prelucrare de date, în înțelesul Regulamentului GDPR, prin urmare acesta trebuie respectat în ceea ce privește principiile, condițiile și regulile impuse. 

Trebuie respectată viața privată a candidaților, având în vedere că, în ciuda accesibilității conținutului online, unele informații referitoare la candidați pot fi considerate ca fiind legate de viața privată a acestora și, ca atare, intră sub incidența regimului de protecție prevăzut în Codul Civil.

Recrutorul trebuie să consulte numai conținuturi strict legate de activitatea profesională a candidatului, iar persoanele vizate să fie informate de consu ltarea profilurilor sau a activităților pe rețelele de socializare.

7. Cum se aplică GDPR candidaților străini

Recrutorul poate solicita candidatului doar acele documente justificative și informații care sunt necesare pentru a-și îndeplini obligațiile, de exemplu, trebuie să verifice, înainte de angajarea, dacă acesta din urmă deține un permis de muncă sau un permis de ședere valabil pentru muncă. 

Datele privind naționalitatea trebuie prelucrate conform Regulamentului GDPR și conform Codului Muncii. Prin urmare, colectarea naționalității părinților, informațiile privind obținerea cetățeniei sau condițiile de naturalizare sunt disproporționate față de scopul recrutării.

Prin urmare, deși colectarea naționalității candidatului poate fi justificată în anumite situații, faptul că un recrutor selectează sau exclude un candidat din procesul de recrutare pe baza naționalității sale este susceptibil să constituie o practică discriminatorie ilegală. 

Pentru mai multe informatii despre aplicarea GDPR in procesul de recrutare, ne puteti scrie la office@decalex.ro 

Acest articol a fost redactat de:

Maria IOSIF | Senior Privacy & Data Protection Consultant la Decalex

Share:
Decalex
Autor: DECALEX
Ultimele articole
Riscul AI depășește beneficiile sale?

Riscul AI depășește beneficiile sale?

Implementarea prevederilor din legea privind avertizorii de interes public

Implementarea prevederilor din legea privind avertizorii de interes public

Partajarea Datelor în Sectorul Sănătății

Partajarea Datelor în Sectorul Sănătății

Amenzi de peste 400 de milioane de euro aplicate în industria tech pentru nerespectarea GDPR

Amenzi de peste 400 de milioane de euro aplicate în industria tech pentru nerespectarea GDPR

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI