Za siedem dni wejdzie w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w skrócie zwane RODO. Nakłada ono na wszystkich administratorów, w tym też pracodawców, szereg obostrzeń w zakresie ochrony danych osobowych. Póki co nie pojawiło się jeszcze żadne krajowe ustawodawstwo, które precyzowałoby zakres obowiązków i uprawnień oraz sposób ich egzekwowania. RODO określa jedynie co należy chronić i jakie kary mogą być nakładane za niezgodne z prawem przetwarzanie danych, jednakże nie wskazuje w jaki sposób to robić. Dlatego niezwykle ważne jest przygotowanie odpowiednich procedur przez administratorów – pracodawców oraz przekazywanie odpowiednich informacji zarówno kandydatom do pracy jak i pracownikom.

Zgodnie z art. 13 ust. 1 i 2 RODO administrator danych (pracodawca) zobowiązany jest do przekazanie osobie, której dane dotyczą m.in. następujących informacji:

  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane swojego przedstawiciela;
  2. dane inspektora ochrony danych – jeśli ma to zastosowanie;
  3. cel przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  4. informacje o odbiorcach danych osobowych – jeśli istnieją;
  5. informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – jeśli ma to zastosowanie;
  6. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe kryteria ustalania tego okresu;
  7. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie wniesienia sprzeciwu wobec przetwarzania, a także o prawie przenoszenia danych;
  8. jeżeli przetwarzanie odbywa się na podstawie zgody wyrażonej przez osobę, której dane dotyczą, informację o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  9. informacje o prawie wniesienia skargi do organu nadzorczego;
  10. informacje czy podanie danych jest wymogiem ustawowym lub umownym bądź warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

Przekazanie powyższych informacji  dotyczy również osób ubiegających się o zatrudnienie w procesie rekrutacji. Powinni oni zostać zapoznani z klauzulą informacyjną (np. poprzez zamieszczenie jej w treści ogłoszenia o pracę) i wyrazić zgodę na przetwarzanie swoich danych osobowych dla potrzeb rekrutacji oraz oświadczyć, że zapoznali się z klauzulą informacyjną i przyjęli jej zapisy do wiadomości. Zgoda, wg motywu 32 preambuły RODO, powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynność, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma np. formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Przekładając to na proces rekrutacji wystarczy, że kandydat zawrze w swoim CV odpowiednią zgodę na przetwarzanie jego danych osobowych lub prześle nam takową zgodę drogą mailową jako odrębny dokument. Zgoda może brzmieć następująco: „Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w aplikacji przesłanej w procesie rekrutacji na stanowisko …………………. prowadzonej przez firmę XYZ sp. z o.o. Oświadczam, że przekazałem/łam swoje dane osobowe dobrowolnie i zostałem/łam poinformowany/a o prawie do ich dostępu i możliwości ich poprawiania, a także o prawie wycofania zgody na przetwarzanie moich danych w dowolnym czasie.”

Nie zapominajmy, że ochronie, wg RODO, podlegają również osoby prowadzące jednoosobową działalność gospodarczą, więc jeżeli posiadamy pracowników kontraktowych im również należy przekazać klauzulę informacyjną i otrzymać od nich zgodę na przetwarzanie danych osobowych, a ich dane, zawarte w wyciągu z CEiDG, podlegają takiej samej ochronie, jak te zawarte w teczkach osobowych pracowników.

 

Źródło:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

 

Opracowała

Aneta Łuba