Obszary praktyki

RODO w Firmie

Co jest najważniejsze w RODO?

Zapytany co jest najważniejsze w RODO odpowiedziałbym, że zasady sformułowane w art. 5 i 25. Oto one:

Zasada zgodności z prawem – przetwarzane musi być zgodne nie tylko z RODO ale i z innymi przepisami;

Zasada rzetelności – jako administrator danych musisz uwzględniać interes i rozsądne oczekiwania osób, których dane dotyczą, biorąc pod uwagę także zasady współżycia społecznego;

Zasada przejrzystości – z osobami, których dane przetwarzasz i z organami nadzorczymi musisz komunikować się w sposób pełny, jasny i precyzyjny, w taki też sposób wypełniasz obowiązek informacyjny;

Zasada ograniczenia celu – dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, a ich przetwarzanie dalej musi być zgodne z tymi celami;

Zasada minimalizacji danych – dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do celów, w których dane są przetwarzane;

Zasada prawidłowości – dane osobowe muszą być prawidłowe, tj. aktualne i zgodne z prawdą, i w razie potrzeby uaktualniane;

Zasada ograniczenia przechowywania – dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres ni dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane;

Zasada integralności i poufności – administrator danych musi przetwarzać dane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, tzn. przetwarzanie musi odbywać się w taki sposób aby dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany lub niekontrolowany przez administratora, jednocześnie nie są i nie będą udostępnione osobom nieupoważnionym;

Zasada rozliczalności – administrator ponosi pełną odpowiedzialność za przestrzeganie przepisów RODO oraz za możliwość wykazania zgodności z tymi przepisami.

Zasada uwzględnienia prywatności w fazie projektowania – obowiązek administratora wdrożenia odpowiednich środków technicznych i organizacyjnych przy uwzględnieniu stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnych prawdopodobieństwie wystąpienia i wadze wynikającej z przetwarzania, tak aby pełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą;

Zasada domyślnej ochrony danych osobowych – administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.

Czy możemy przechowywać otrzymane CV gdy nie prowadzimy rekrutacji?

Jeżeli nie szukamy pracownika, a mimo to otrzymujemy CV musimy podjąć decyzję czy tak pozyskane dane usunąć czy jednak pozostawić w celu przyszłej rekrutacji. Druga opcja oznacza dla nas, że staliśmy się administratorem danych i w związku z tym powinniśmy wykonać obowiązek informacyjny z art. 13 RODO. Obowiązku informacyjnego nie musimy wykonywać jeżeli wysyłający CV mógł się z taką informacją uprzednio zapoznać np. odwiedzając naszą stronę internetową lub CV zostało przekazane razem z oświadczeniem, że osoba, której dane dotyczą pozwala się na ich wykorzystanie w przyszłych rekrutacjach. W takim przypadku dokumenty mogą być przechowywane przez przedsiębiorcę do czasu odwołania zgody przez osobę, która je przesłała. Dokumenty powinny być usunięte także w sytuacji jeżeli nie będziemy już ich przetwarzać na potrzeby przyszłych rekrutacji, np. kwalifikacje osoby, która wysłała nam CV nie korespondują już z naszymi potrzebami albo zmieniliśmy profil firmy i nie zamierzamy prowadzić procesów rekrutacyjnych, czy najzwyczajniej w świecie dane z CV są już nieaktualne.

Co z CV osoby, której pracodawca nie wybrał w trakcie rekrutacji?

Po zakończonej rekrutacji pracodawca może przechowywać CV i inne dokumenty rekrutacyjne kandydatów, którzy nie zostały zatrudnieni, w celach ochrony przed ewentualnymi roszczeniami mogącymi pojawić się w związku z przeprowadzoną rekrutacją (np. zarzutem dyskryminacji). Podstawą przetwarzania danych będzie w takim przypadku art. 6 ust. 1 lit. f RODO tj. prawnie uzasadniony interes niedoszłego pracodawcy. Pracodawca nie musi usuwać CV zaraz po przeprowadzeniu rekrutacji, nie może jednak przechowywać dokumentów rekrutacyjnych w nieskończoność. Okres przechowywania CV powinien być jak najkrótszy, tzn. pracodawca przechowując CV osób, których nie wybrał w procesie rekrutacji, musi kierować się zdrowym rozsądkiem.  Należy dokonać oceny ryzyka i ustalić okres przetwarzania danych, który odpowiada rzeczywistym zagrożeniom, uwzględniając np. działania kandydata w trakcie rekrutacji lub bezpośrednio po niej, sugerujące, że kandydat będzie zgłaszał pretensje i roszczenia do niedoszłego pracodawcy lub w przypadku bardzo porównywalnych kandydatur. Maksymalny okres przechowywania dokumentacji rekrutacyjnej to okres przedawnienia roszczeń, tj. okres trzech lat od dnia, w którym kandydat najwcześniej mógł i powinien skierować roszczenia wobec niedoszłego pracodawcy. Przy czym należy pamiętać, że CV przechowywane w celu ochrony przed potencjalnymi roszczeniami, nie powinno być wykorzystywane w innych celach, chyba że osoba zakwalifikowana nie podjęła pracy. W takim wypadku pracodawca może przetwarzać dane osobowe kandydata w celu poinformowania go o wakacie na stanowisku, na które poprzednio nieskutecznie aplikował.

 
Google+