Jakie obowiązki wynikają z RODO dla działu HR?

3 grudnia 2024

Jakie obowiązki wynikają z RODO dla działu HR?

Wprowadzenie w Europie RODO (Rozporządzenia o Ochronie Danych Osobowych) zrewolucjonizowało podejście do przetwarzania danych osobowych w firmach, w tym w działach HR. Działy te, operując na wrażliwych informacjach pracowników i kandydatów, muszą dostosować swoje procedury do nowych wymogów prawnych. Jakie zatem obowiązki nakłada RODO na działy HR? Sprawdźmy to!

Kategorie danych osobowych w obszarze HR

Dane osobowe, zgodnie z RODO, to wszelkie informacje, które pozwalają na identyfikację konkretnej osoby fizycznej. W kontekście działu HR oznacza to zarówno podstawowe informacje, takie jak imię, nazwisko czy dane kontaktowe, jak i bardziej wrażliwe, np. dotyczące zdrowia w kontekście zdolności do wykonywania pracy. Wszystkie te dane muszą być przetwarzane zgodnie z zasadami ochrony wynikającymi z RODO.

Dane osobowe można podzielić na trzy główne kategorie:

  1. Dane zwykłe – podstawowe informacje, które nie należą do szczególnych kategorii danych. Są to np. imię i nazwisko, adres zamieszkania czy numer PESEL.
  2. Dane wrażliwe (szczególne) – ich przetwarzanie jest co do zasady zakazane, chyba że istnieją wyraźne podstawy prawne. Do tej grupy należą m.in. dane dotyczące pochodzenia rasowego lub etnicznego czy przekonań religijnych.
  3. Dane związane z wyrokami sądowymi i czynami zabronionymi – obejmują informacje dotyczące orzeczeń sądowych lub innych przewinień.

Minimalizacja danych osobowych zbieranych przez dział HR – co wolno, a czego unikać?

Zarządzanie danymi osobowymi w HR to nie lada wyzwanie. Codziennie przez ręce działu zajmującego się całym procesem rekrutacji (w tym identyfikacją potrzeb kadrowych, sourcingiem kandydatów, prowadzeniem rozmów kwalifikacyjnych oraz rekomendacją najlepszych kandydatów do zatrudnienia) przewijają się setki dokumentów zawierających wrażliwe informacje. Od CV, przez umowy o pracę, aż po dane płacowe – każdy z tych dokumentów wymaga odpowiedniej ochrony.

Podstawowym obowiązkiem jest przestrzeganie zasady minimalizacji danych. Oznacza to zbieranie tylko tych informacji, które są niezbędne w procesie zatrudnienia. Podczas rekrutacji pracodawcy mogą żądać od kandydatów informacji takich jak:

  • imię i nazwisko,
  • data urodzenia,
  • dane kontaktowe,
  • wykształcenie oraz
  • doświadczenie zawodowe.

Z kolei informacje, tj. stan cywilny, poglądy religijne czy nawet dodatkowe dokumenty tożsamości nie mają znaczenia przy procesie rekrutacyjnym, a pracodawca nie ma prawa wymagać ich od kandydata. Wszelkie dodatkowe dane wymagają specjalnej zgody pracownika lub kandydata, która musi być rejestrowana w sposób zgodny z wymogami RODO – powinna być wyraźna, udokumentowana i możliwa do udowodnienia w razie potrzeby.

Rejestr zgód na przetwarzanie dodatkowych danych osobowych

Pracodawca lub dział HR musi przechowywać takie zgody w sposób uporządkowany i łatwy do odnalezienia w razie kontroli lub żądania kandydata. Dokumentacja może przybrać formę:

  • fizyczną, np. papierowy formularz zgody przechowywany w aktach rekrutacyjnych
  • elektroniczną – plik PDF lub wpis w systemie rekrutacyjnym, który rejestruje datę i treść wyrażonej zgody.

Rejestr zgód a zgodność z RODO

Aby zachować zgodność z RODO, pracodawca może prowadzić rejestr zgód, w którym zapisuje:

  • imię i nazwisko osoby udzielającej zgody,
  • datę udzielenia zgody,
  • treść zgody (np. jako załącznik),
  • sposób wyrażenia zgody (np. podpis na papierze, zaznaczenie checkboxa),
  • informację o ewentualnym wycofaniu zgody (data i sposób).

Taki rejestr pomaga w utrzymaniu porządku i umożliwia szybkie wykazanie, że zgoda została prawidłowo uzyskana.

Klauzula RODO w CV pracownika – czy to wystarczy?

Klauzule w CV mają na celu zapewnienie zgodności z przepisami RODO, ponieważ przetwarzanie danych osobowych, które nie wynika bezpośrednio z przepisów prawa pracy, wymaga zgody kandydata. Klauzula w CV jest wyraźnym wyrażeniem zgody kandydata na przetwarzanie jego danych osobowych na potrzeby rekrutacji. W typowej rekrutacji pracodawca może przetwarzać dane wymagane przez Kodeks pracy (np. imię, nazwisko, doświadczenie zawodowe), ale dodatkowe informacje, takie jak zdjęcie, zainteresowania czy dane kontaktowe inne niż konieczne, wymagają zgody.

Bez niej pracodawca, chcąc przetwarzać dane wykraczające poza absolutne minimum, naraziłby się na naruszenie przepisów. Dlatego zamieszczenie klauzuli to nie tylko wymóg formalny, ale też ochrona interesów obu stron – kandydata i pracodawcy.

Jaka powinna być klauzula RODO w CV?

Zgodnie z RODO, zgoda na przetwarzanie danych osobowych musi być:

  • Dobrowolna – kandydat powinien móc swobodnie zdecydować, czy zgadza się na przetwarzanie danych
  • Świadoma – osoba udzielająca zgody musi wiedzieć, kto i w jakim celu będzie przetwarzać jej dane
  • Konkretna – zgoda musi odnosić się do jasno określonego celu przetwarzania
  • Jednoznaczna – wyrażona w sposób niebudzący wątpliwości

Przykładowe brzmienie klauzuli RODO w CV

Formalna zgoda kandydata na przetwarzanie danych osobowych to dodana do CV klauzula, która może brzmieć np. tak:

„Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).”

lub krócej:

„Wyrażam zgodę na przetwarzanie przez firmę X moich danych na potrzeby rekrutacji na stanowisko Y”.

Obowiązek informacyjny pracodawców – transparentność przede wszystkim

RODO nakłada na pracodawców obowiązek informowania osób, których dane są przetwarzane, o celu, zakresie i podstawie prawnej tego przetwarzania. Informacje te powinny być przekazywane w momencie zbierania danych, np. w treści ogłoszenia o pracę lub podczas pierwszego kontaktu z kandydatem. Brak spełnienia tego obowiązku może skutkować sankcjami.

Zgodnie z art. 83 ust. 4 i 5 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), za naruszenie obowiązku informacyjnego mogą zostać nałożone administracyjne kary pieniężne:

  • Do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – w przypadku mniej poważnych naruszeń, takich jak niespełnienie obowiązku informacyjnego.
  • Do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – w przypadku poważniejszych naruszeń, np. przetwarzania danych bez podstawy prawnej.

Jak długo i w jaki sposób można przechowywać dane kandydatów?

Dane osobowe powinny być przechowywane tylko przez okres niezbędny do realizacji celu, dla którego zostały zebrane. Po zakończeniu procesu rekrutacyjnego dane kandydatów, którzy nie zostali zatrudnieni, powinny być usunięte, chyba że kandydat wyraził zgodę na ich dalsze przetwarzanie w przyszłych rekrutacjach. Pracodawca musi również zapewnić odpowiednie zabezpieczenia techniczne i organizacyjne chroniące dane przed nieuprawnionym dostępem.

Prawa pracowników i kandydatów – jak je respektować?

Każda osoba, której dane osobowe są przetwarzane przez dział HR, ma określone prawa wynikające z RODO. To oznacza, że zarówno kandydaci, jak i pracownicy mogą korzystać z możliwości zarządzania swoimi danymi. Aby dział HR mógł skutecznie respektować te prawa, konieczne jest wdrożenie odpowiednich procedur i przygotowanie się na szybkie reagowanie na zgłoszenia.

Jakie prawa przysługują pracownikom i kandydatom?

  1. Prawo dostępu do danych

Osoba, której dane są przetwarzane, ma prawo wiedzieć, jakie jej dane są gromadzone, w jakim celu są używane, jak długo będą przechowywane i komu ewentualnie zostały udostępnione. Pracodawca musi udzielić takich informacji w jasny i przystępny sposób na żądanie pracownika lub kandydata.

  1. Prawo do sprostowania danych

Jeśli dane są niekompletne lub nieprawidłowe, można wystosować wniosek o ich poprawienie lub uzupełnienie. Pracodawca powinien wprowadzić zmiany niezwłocznie po otrzymaniu takiego wniosku.

  1. Prawo do usunięcia danych (prawo do bycia zapomnianym)

W określonych sytuacjach, np. po zakończeniu procesu rekrutacyjnego, kandydat ma prawo zażądać usunięcia swoich danych, o ile nie istnieją przepisy, które nakazują ich dalsze przechowywanie (np. w przypadku akt pracowniczych prawo pracy wymaga ich przechowywania przez określony czas).

  1. Prawo do ograniczenia przetwarzania danych

Osoba, której dane są przechowywane, może żądać, aby jej dane były przechowywane, ale nieprzetwarzane w innym celu, (np. w trakcie wyjaśniania, czy dane są prawidłowe lub czy zostały przetworzone zgodnie z prawem).

  1. Prawo do przenoszenia danych

Pracownicy lub kandydaci mogą zażądać, aby ich dane zostały przekazane innemu pracodawcy lub dostarczone w formacie umożliwiającym ich łatwe przeniesienie.

Jak dział HR może spełnić te obowiązki?

Każde żądanie dotyczące praw pracownika lub kandydata powinno być obsługiwane według jasnych i przejrzystych procedur. Firma może np. ustanowić dedykowaną osobę odpowiedzialną za ochronę danych osobowych (Inspektora Ochrony Danych), która koordynuje takie wnioski.

RODO wymaga, aby na każde żądanie dotyczące danych osobowych odpowiadać bez zbędnej zwłoki, najpóźniej w ciągu 30 dni. W przypadku bardziej skomplikowanych spraw termin ten może zostać przedłużony o kolejne dwa miesiące, ale osoba składająca wniosek musi być o tym poinformowana.

Każde zgłoszenie pracownika lub kandydata powinno być rejestrowane, a dział HR musi prowadzić dokumentację potwierdzającą realizację zgłoszonych żądań.

Dlaczego to takie ważne?

Niespełnienie obowiązku respektowania praw osób, których dane są przetwarzane, może prowadzić do kar finansowych oraz skarg do organu nadzorczego (PUODO – Prezes Urzędu Ochrony Danych Osobowych). Co więcej, brak reakcji na takie wnioski osłabia zaufanie pracowników i kandydatów do pracodawcy, a to z kolei może odbić się negatywnie na wizerunku firmy.

Budowanie kultury ochrony danych w organizacji

Poza tym, że skuteczna ochrona danych osobowych to zbiór procedur i obowiązków prawnych, jest to też element kultury organizacyjnej. A najważniejszą rolę odgrywają w nim świadomi pracownicy działu HR, którzy znają prawa wynikające RODO i procedury ich realizacji. W tym kontekście w interesie pracodawcy jego obowiązkiem jest zapewnienie regularnych szkoleń dla działu HR, które będą angażujące i praktyczne.

Wdrażanie zasad RODO w dziale HR wymaga wysiłku, ale przynosi wymierne korzyści. Od wzmocnienia zaufania pracowników i kandydatów, po uniknięcie dotkliwych kar. Przy tym warto pamiętać, że ochrona danych to proces ciągły, który ewoluuje wraz z organizacją. Należy więc podejść do niej nie jak do obowiązku, lecz jak do inwestycji w transparentność, bezpieczeństwo i etykę biznesu.

 

Źródła:

https://www.infor.pl/prawo/praca/rekrutacja/3572090,RODO-w-HR-o-czym-warto-pamietac.html

https://rodowfirmie.com.pl/blog/rodo-dla-dzialu-hr-w-pytaniach-i-odpowiedziach/

https://capitallegal.pl/kary-na-naruszenie-rodo-kto-je-ponosi-i-ile-wynosza/?utm_source=chatgpt.com

https://centrumverte.pl/blog/rodo-w-kadrach-i-placach-ochrona-danych-osobowych-w-procesie-rekrutacji/

Napisz do nas

Chętnie odpowiemy na wszystkie pytania

    Powiązane wpisy:

    1. „Chcę się rozwijać” – modny slogan, czy realna potrzeba? – jak się rozwijać, żeby realizować potrzeby i osiągać cele
    2. Rynek kłania się Kandydatom
    3. Rynek pracownika czy pracodawcy?
    4. Czy praca i miłość idą w parze? Pracownicy o związkach w firmie
    5. Wywiad z kandydatem – różnicujemy pokoleniowo
    6. Ankieta pracownicza. Co powinieneś o niej wiedzieć?

    Wyrażam zgodę na przetwarzanie podanych przeze mnie danych osobowych przez Grupę Progres Sp. z o.o. Administratora danych osobowych, w celach związanych z uczestnictwem w konferencjach i innych wydarzeniach oraz w celach marketingowych i statystycznych, przesłania informacji handlowych. Wyrażam zgodę na udostępnienie moich danych osobowych partnerom Grupy Progres Sp. z o.o, w celu otrzymywania od nich informacji handlowych. Więcej informacji na temat celu i sposobu przetwarzania Państwa danych osobowych przez Grupę Progres Sp. z o.o znajduje się TUTAJ.

     
    ;