Aici descoperim
dreptul tehnologiei

Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_-3.png

Atunci când recrutezi, ai nevoie de date cu caracter personal ale candidaților pentru a alege angajatului potrivit. Deși companiile vor fi întotdeauna interesate să afle cât mai multe date despre viitorul angajat, interesul acestora trebuie pus în balanță cu dreptul la viață privată pentru a se găsi un echilibru astfel încât prelucrarea de date să fie legală. În prezentul articol, îmi propun să trec în reviste câteva sfaturi practice care să te ajute să respecți GDPR atunci când recrutezi.

1. Informarea candidatului

Înainte să colectăm date despre un potențial angajat, trebuie să îl informăm pe acesta cu privire la modalitatea în care îi vei prelucra datele care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles.  Un model de notă de informare la standardele cerute de GDPR găsiți aici.

Dacă vrei să afli mai multe despre informarea candidatului, cu exemple concrete, îți recomandăm acest articol.

2. Durata de stocare

Putem să păstrăm CV-ul și alte date ale unor candidați care nu au fost angajați pe o perioadă nedeterminată? GDPR spune că nu și tot GDPR spune că ar trebui să stabilim termene de stocare. Întrucât poate fi atât în interesul companiei să păstreze datele pentru viitoare poziții, dar și în interesul persoanelor fizice să fie la curent cu noile poziții sau joburi, considerăm că angajatorii pot păstra datele pe o perioadă mai lungă de timp pe temeiul interesului legitim. Cu toate acestea, în măsura în care se dorește păstrarea pe o perioadă mai lungă, legea prevede ca angajatorii să desfășoare următoarele:

  • Stabilirea unei durate de retenție. De exemplu, un an de la transmiterea CV-ului, doi ani de la data interviului. Acest lucru se realizează în practică prin întocmirea unei Politici de retenție/Stocare. Un model de politică de retenție/stocare găsiți aici
  • Realizarea unei analize a interesului legitim prin care puneți în balanță interesul companiei de a păstra datele și impactul negativ real sau potențial asupra vieții private a persoanelor fizice. Dacă rezultatul analizei indică faptul că interesul companiei prevalează, atunci puteți stoca datele pe perioada X de timp. Dacă rezultatul analizei indică faptul că primează viața privată a individiului (de exemplu, atunci când s-au colectat o serie de informații sensibile), atunci nu veți putea stoca datele. Cu toate acestea, chiar dacă primul rezultat este negativ, în măsura în care reușiți să instituiți măsuri suplimentare de protecție, rezultatul testului poate fi în favoarea dvs. Un model de analiză interes legitim găsiți aici.
  • Informarea candidatului cu privire la durata de stocare. Ar trebui să verificați că nota de informare despre care am vorbit la punctul 1. conține și durata de stocare.

3. Respectarea drepturilor candidaților

Potrvit GDPR, orice persoană fizică are următoarele drepturi: informare, acces, portabilitate, rectificare, restricționare, opoziție, ștergere, dreptul de a nu fi supusă unei decizii automate cu impact semnificativ.

Personalul companiei ar trebui să aibă proceduri clare pentru:

  • Identificarea cererilor de exercitare a drepturilor din partea persoanelor fizice;
  • Cunoștințe temeinice pentru a răspunde în mod adecvat la cereri;
  • Mecanisme concrete pentru a răspunde efectiv la cereri în termenul de o lună, care poate fi prelungit la maxim 3 luni în situații excepționale.

Te-ar putea interesa și: 10.000 lei – daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

4. Recrutarea prin companii de recrutare

Dacă recrutezi prin companii de recrutare, ar trebui să alegi companiile de recrutare care prezintă suficiente garanții că respectă GDPR și să te asiguri că ai încheiat, distinct de contractul de prestări servicii, un contract pentru protecția datelor (Acord de prelucrare a datelor). În funcție de circumstanțele specifice, compania de recrutare poate fi persoană împuternicită (dacă prelucrează datele companiei doar pentru tine) sau operator asociat (dacă utilizează datele unui candidat și pentru alți clienți).

5. Categorii speciale de date

În lipsa unui temei legal, ar trebui să evităm să prelucrăm date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice, date privitoare la contravenții și infracțiuni și numărul de identificare național.

Te-ar putea interesa și:

6. Colectarea de date de pe rețelele de socializare

Grupul de Lucru Art. 29, prin Avizul nr. 2/2017 privind prelucrarea datelor la locul de muncă, este de părere că, în principiu, companiile nu pot utiliza informațiile colectate de pe rețelele de socializare pentru a decide dacă va angajeza sau nu o persoană. Din punctul nostru de vedere, LinkedIn este o excepție în acest caz, dar suntem de acord cu opinia Grupului de Lucru pentru celelalte rețele de socializare non-profesionale: Facebook, Instagram etc.

Exemplu oferit de Grupul de Lucru Art. 29:
La recrutarea unor noi angajați, un angajator verifică profilurile candidaților pe diverse rețele de socializare și include informații de pe aceste rețele (și orice alte informații disponibile pe internet) în procesul de verificare.
Doar dacă este necesar pentru locul de muncă să se verifice pe platformele de comunicare socială informații privind un candidat, de exemplu, pentru a putea evalua riscurile specifice în ceea ce privește candidații la o anumită funcție, iar candidații sunt informați în mod corect (de exemplu, în anunțul pentru postul vacant), angajatorul poate avea un temei juridic în conformitate cu articolul 7 litera (f) pentru a verifica informații publice despre candidați.

7. Protecția datelor candidaților

Trebuie să protejăm datele cu caracter personal așa cum protejăm cele mai sensibile secrete comerciale. Ar trebui utilizate tehnici precum criptarea, anonimizarea și pseudonimizarea și ar trebui să ne asigurăm că doar angajatul care are nevoie concret să acceseze CV-urile și alte date ale candidaților poate accesa acele date, nu și alte persoane. Bazele de date ar trebui separate pentru fiecare departament, iar în cadrul departamentelor, ar trebui separate pentru a fi accesate doar de către personalul implicat direct. De exemplu, un angajat de la departamentul marketing nu ar avea de ce să acceseze datele unui candidat.

Cu toți angajații și alți colaboratori care au acces la date cu caracter personal trebuie încheiate acorduri de confidențialitate și trebuie să li se aducă la cunoștință Politicile de protecție a datelor ale companiei.

Rețineți faptul că răspundeți pentru faptele angajaților care nu respectă protecția datelor, de aceea ar trebui să investiți timp în instruirea corespunzătoare a angajaților, cele mai multe breșe de securitate provenind de la fapta omului. Companiile ar trebui să aibă proceduri și politici clare care să pună bazele unei culturi adecvate a protecției datelor la standardele cerute de legislația europeană și națională.

Concluzii. Recomandări.

Personalul care are acces la date cu caracter personal trebuie să respecte GDPR și să protejeze corespunzător datele. Companiile trebuie să manifeste deschidere spre a înțelege noile prevederi europene și a le integra, pas cu pas, în activitatea lor. Datele sunt noua monedă de schimb, iar conformarea la GDPR nu este opțională și este nevoie de implicare activă și constantă pentru a înțelege noile reguli și pentru a le integra concret activității fiecărei companii care dorește să evolueze într-o societate care funcționează pe schimb de date.

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

 

 


 

 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori. Pentru consultații juridice, ne puteți contacta aici]


Copy-of-Pot-accesa-e-mailul-unui-angajat-dupa-ce-a-parasit-locul-de-munca_.png

Informarea candidatului în temeiul GDPR ridică ceva probleme în practică. Cum ar trebui să arate nota de informare? Cum informăm când recrutăm prin companii și site-uri de recrutare? Când și cum informăm în mod adecvat candidatul? Ne propunem să răspundem la aceste întrebări și să găsim împreună soluții eficiente și practice pentru a respecta dreptul la informare al potențialului angajat.

📢 Context

Dimineața, când ajung la locul de muncă, angajații nu atârnă în cui dreptul la viață privată. Deși important în actualul context economic și social, dreptul la viață privată nu este un drept absolut deoarece se intersectează cu interesele comerciale ale companiilor și, prin urmare, trebuie căutat și găsit întotdeauna un echilibru între prelucrarea datelor cu caracter personal și celelalte interese.

În procesul de recrutare, companiile au nevoie de date cu caracter personal pentru a recruta candidatul potrivit. Recent, am participat la un eveniment în domeniul GDPR unde publicul majoritar era format de persoane care lucrau în HR și recrutare. Am întrebat câteva persoane din public cum se descurcă cu GDPR și mi s-a răspuns că nu s-a înțeles mare lucru, de aceea îmi propun să trec în revistă principiile-cheie de care ar trebui să țineți cont pentru a respecta GDPR atunci când recrutați.

În prezentul articol, voi explica cum respectăm dreptul la informare al unui potențial angajat, acest drept fiind deosebit de important și prin prisma faptului că cele mai multe plângeri și sancțiuni GDPR s-au legat de nerespectarea dreptului la informare de către companii.

Întrucât GDPR îşi propune să consolideze viaţa privată, să dea înapoi persoanelor vizate controlul asupra propriilor date şi să îmbunătăţească tratamentul responsabil al datelor cu caracter personal de către organizaţii, drepturile persoanelor vizate au fost consolidate în temeiul regulamentului, iar informarea persoanei vizate trebuie să respecte standarde mult mai ridicate față de vechea reglementare.

 

📚 Informarea candidatului printr-o notă de informare

Potrivit GDPR, candidatul trebuie să fie informat, înainte de prelucrarea datelor, cu privire la modalitatea în care compania îi prelucrează. Informarea ar trebui să se realizeze printr-o notă de informare de informare care trebuie să cuprindă în mod obligatoriu elementele de la art. 13 și 14 din GDPR și să fie realizată într-un limbaj simplu și ușor de înțeles. Un model de notă de informare la standardele cerute de GDPR găsiți în kitul nostru de implementare aici  împreună cu celelalte documente și proceduri GDPR.

 

📚 Ce trebuie să conțină nota de informare?

Nota de informare trebuie să conțină toate informațiile prevăzute de art. 13 și 14 din GDPR, așa cum am detaliat aici.  La un nivel minim, nota de informare trebuie să explice candidatului ce date sunt colectate, care sunt scopurile, temeiurile legale și ce se întâmplă efectiv cu aceste date.

 

📚 Când și cum furnizăm nota de informare?

Potrivit GDPR, dacă datele sunt obținute direct de potențialul angajat (de exemplu, prin transmiterea CV-ului), informarea trebuie să se realizeze la momentul colectării datelor.

🙂Exemplu #1 Candidatul aplică la un job pe LinkedIn. După ce compania primește CV-ul și/sau alte date ale candidatului, compania ar putea trimite un e-mail către potențialul angajat prin care îi confirmă primirea candidaturii și îi trimite în atașament nota de informare sau îi transmite link-ul pentru a fi consultată online. Site-ul companiei ar putea deține, din rațiuni practice, o notă de informare pentru candidați pentru a putea fi consultată cu ușurință în orice moment.

Important de menționat este și faptul că informarea trebuie să se realizeze la momentul colectării datelor, iar nu la momentul la care candidatul se prezintă la interviu. Dacă CV-ul ajunge pe 15 mai 2019 pe serverele unei companii, iar informarea se realizează abia pe 1 iunie 2019 (data interviului), compania nu respectă termenul prevăzut de GDPR.

 

 

Cu toate acestea, informarea fiecărui candidat poate avea costuri operaționale ridicate, de aceea companiile ar putea utiliza, cu ajutorul tehnologiei disponibile, soluții creative și eficiente pentru a informa candidații, ca de exemplu:

  • postarea notei de informare sau link-ului către nota de informare în interiorul anunțului de recrutare;
  • prin intermediul unei căsuțe la formularul de recrutare prin care candidatul bifează că a luat la cunoștință nota de informare;
  • prin intermediul includerii în textul e-mailului sau al mesajului trimis pe site-urile profesionale (i.e. LinkedIn), faptul că nota de informare poate fi accesată prin următorul link.

 

Te-ar putea interesa și: 

 

Semnătura nu este obligatorie, însă companiile trebuie să poată face dovada că au informat candidații la momentul colectării datelor. De aceea, în măsura în care se optează pentru una dintre soluțiile descrise mai sus, companiile trebuie să includă informația relevantă GDPR într-un format accesibil și care să se diferențieze în mod clar de alte informații. Ar putea fi utilizate în acest sens funcții precum bold, italic și/sau grafică, animații. De asemenea, companiile trebuie să păstreze dovezile că au informat persoanele pentru a fi la adăpost în eventualitatea unui control.

De asemenea, toți candidații trebuie informați, indiferent dacă vor corespunde criteriilor de selecție și indiferent dacă ajung în etapa interviului sau nu.

 

 

Totodată, potrivit GDPR, dacă datele nu sunt obținute de la candidat, ci din alte surse (de exemplu, recomandări), informarea candidatului trebuie să se realizeze:

  • într-un termen rezonabil după obținerea datelor cu caracter personal, dar nu mai mare de o lună,
  • dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu respectivul candidat, cel târziu în momentul primei comunicări;sau
  • dacă se intenționează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară.

 

🙂 Exemplu #2 Compania ABC SRL are deschisă o poziție de designer UX/UI. ABC SRL primește de la un angajat datele de contact și CV-ul unui potențial angajat. În această situație, ABC SRL va informa candidatul (1) într-un termen nu mai mare de o lună; sau (2) la momentul la care  intră în legătură efectivă cu el; sau (3) la momentul la care trimite datele către un alt destinatar. Cu toate acestea, dacă ABC SRL va intra în contact cu potențialul angajat după ce va trece o lună de la data primirii datelor, din textul GDPR (art. 14) informarea trebuie să se realizeze înainte de împlinirea termenului de o lună.


Te-ar putea interesa și:

 

📚 Cine informează în situația firmelor și site-uri de recrutare? 

În măsura în care se folosesc site-uri (i.e. bestjobs) sau companii de recrutare, informarea trebuie să se realizeze atât direct către compania care recrutează prin aceste site-uri, dar și de către companiile și site-urile respective.  

Pentru a simplifica  procedura de informarea, companiile care angajează și site-urile sau companiile de recrutare, având calitatea de operatori asociați, ar putea încheia un contract care să prevadă că obligația de informare revine doar uneia dintre părți, în caz contrar, fiind două entități distincte, fiecare va trebui să informeze candidatul.

🙂 Exemplu #3: Compania XYZ SRL a postat un anunț de angajare pe un site de recrutare. Utilizatorul interesat de un loc de muncă își creează un cont, oferind datele sale (inclusiv CV-ul) platformei de recrutare. Înainte de crearea contului, utilizatorul este informat de către platformă, prin intermediul unei note de informare, cu privire la modalitatea în care această platformă îi prelucrează datele. Mai târziu, când candidatul aplică la un job postat de compania XYZ SRL, aceasta trebuie să informeze candidatul prin intermediul altei note de informare.

 

Te-ar putea interesa și: 

 

Este nevoie de o nouă informare atunci când candidatul devine angajat? 👓

Depinde de cum este formulată nota de informare. Dacă nota de informare este redactată într-o manieră care să acopere atât faza de selecție, cât și perioada de muncă, este suficientă o singură informare. Dacă nota de informare acoperă doar informațiile colectate în faza de selecție, va trebui să informăm din nou persoana atunci când aceasta devine angajat cu privire la felul în care îi prelucrăm datele în noua postură de angajat.

 

💡 Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 


arhive-recrutarea-si-hr-legalup

Ești în siguranță pe site-ul nostru.

LegalUp Innovators at Law utilizează fişiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe Website-ul nostru. Te informăm că ne-am actualizat politicile pentru a integra în acestea si în activitatea curentă a LegalUp.ro cele mai recente modificări propuse de Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date. Înainte de a continua navigarea pe Website-ul nostru te rugăm să aloci timpul necesar pentru a citi și înțelege conținutul Politica privind utilizarea modulelor Cookie și Politica noastră de confidențialitate. Nu uita totuși că poți modifica în orice moment setările acestor fişiere cookie urmând instrucțiunile din Politica de Cookies.

Privacy Settings saved!
Setari permisiuni

Cookie-urile sunt folosite pe acest site pentru a oferi cea mai bună experiență de utilizator. Dacă continuați, presupunem că sunteți de acord să primiți cookie-uri de pe acest site

Utilizăm fișiere de tip cookie pentru a personaliza și imbunătăți experiența ta pe website-ul nostru.

Utilizăm fișiere de tip cookie pentru a personaliza și îmbunătăți experiența ta pe website-ul nostru.
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Decline all Services
Da, Sunt de acord