OPINII Cum se face recrutarea după Regulamentul General privind Protecţia Datelor

Indiferent de obiectul de activitate al unei companii (chiar dacă implică sau nu prelucrarea de date personale), dacă aceasta are un singur angajat, compania respectivă este considerată operator, în sensul Regulamentului General privind Protecţia Datelor (GDPR) în ceea ce priveşte datele personale ale salariatului.

Recrutarea şi selecţia de personal este unul dintre domeniile sensibile în materie de prelucrare de date cu caracter personal. Înainte de a decide pe cine angajezi, sau chiar pe cine chemi la interviu, tu, angajatorul, trebuie să faci cunoştinţă la un nivel primar cu cei care ar putea fi interesaţi de job-ul oferit sau întrunesc o sumă de calităţi sine-qua-non care să îi califice pentru acesta. Fie că vorbim despre recrutarea clasică prin depunerea CV-urilor şi a documentaţiei aferente în hard-copy la sediul angajatorului, fie că acestea sunt trimise via fax sau e-mail, fie că vorbim despre recrutarea exclusiv online, efectuată direct de către angajator, prin intermediul unei agenţii de recrutare, sau al unei platforme de profil, există câteva reguli care reies cu claritate din interpretarea GDPR cu privire la gestionarea datelor cu caracter personal ale potenţialilor angajaţi.

- Aplicarea principiului informării

Orice candidat trebuie să cunoască exact tipul datelor colectate, scopul colectării acestora, tipul de acces la datele personale pe care le va trimite (adică cine le vede şi cine le prelucrează), modul de prelucrare al acestora (unde sunt stocate, care este durata prelucrării, ce anume se întâmplă după momentul recrutării), precum şi toate drepturile care îi revin în calitate de persoană vizată. Informarea asupra prelucrării datelor personale ale candidaţilor poate fi făcută fie odată cu anunţul de recrutare, fie printr-o politică separată publicată eventual pe pagina de internet a angajatorului într-o secţiune dedicată.

Prin urmare, respectarea obligaţiei de informare presupune că anunţul de recrutare va fi redactat într-o manieră clară, concisă, transparentă, va identifica în mod corect angajatorul şi, după caz, agenţia de recrutare, detaliile postului şi va furniza toate informaţiile cu privire la datele personale ale candidatului care îi vor fi procesate sau după caz, va conţine o trimitere (link) către politica de protecţia datelor dedicată recrutării.

Este la fel de important să reamintim principiul limitării legate de scopul procesării şi principiul minimizării datelor colectate. Acestea impun angajatorului obligaţia de a se asigura că datele sunt adecvate, relevante şi nu sunt excesive. Cererea de informaţii care nu sunt relevante sau pertinente poziţiei pentru care aplică candidatul, precum şi neadaptată obiectivului de recrutare generează risc de sancţiune.

Una dintre chestiunile la care ar trebui să se gândească angajatorul este problema excedentului de informaţie pusă la dispoziţie benevol de către candidat. Aici, opiniile specialiştilor sunt destul de nuanţate, dar par a converge către exonerarea angajatorului. Acesta ar putea preveni intrarea neintenţionată în posesia informaţiei excesive prin elaborarea unui formular de recrutare constând într-un set predeterminat de întrebări după care să se ghideze candidatul la scrierea CV-ului sau extragerea exclusiv a informaţiilor necesare din CV-urile recepţionate, menţinerea acestora într-o bază de date şi distrugerea ulterioară a CV-urilor. Sau am putea să ne gândim să cerem legiuitorului/autorităţii de resort să elaboreze un set de modele de CV-uri, pe care angajatorul le poate transmite candidatului, cu menţiunea că informaţiile în plus faţă de cele cerute prin lege nu îi pot fi imputate.

Opinia noastră este că se impune o atenţie sporită la elaborarea formularelor de recrutare, în aşa fel încât să nu se deschidă o portiţă de contestare sau chiar reclamare din partea candidaţilor înşişi. De asemenea, atragem atenţia că există pericolul de a confunda setul de informaţii necesare recrutării cu setul ceva mai extins de informaţii necesare angajării (şi care sunt solicitate prin diverse alte acte normative aplicabile), şi a întocmirii tuturor documentelor impuse de lege cu ocazia angajării.

Prin urmare, la elaborarea formularelor de recrutare trebuie avută în vedere o anumită proporţionalitate între nevoia angajatorului de a cunoaşte potenţialul candidat şi dreptul candidaţilor la viaţă privată şi intimitate. Fiecare informaţie solicitată candidaţilor trebuie să treacă testul proporţionalităţii. De exemplu: în considerarea obiectului de activitate, a nevoilor organizatorice şi a specificului postului pentru care se realizează recrutarea, este oare necesar şi justificat de interesul legitim al angajatorului, să se ceară informaţii precum contul de Facebook/Instagram/LinkedIn, ori, chiar mai simplu, adresa de domiciliu, data naşterii, starea civilă? În mod neaşteptat (pentru unii dintre angajatori) răspunsul este, de cele mai multe ori, nu. De asemenea, angajatorii nu trebuie sa cedeze tentaţiei de a realiza o profilare a potenţialilor candidaţi, în lipsa unui interes legitim şi a unei informări corespunzătoare, pe baza profilurilor publice de social media. Doar pentru că profilul de Facebook al unui candidat este public, nu înseamnă că angajatul este îndreptăţit să colecteze şi să proceseze datele şi să le ia în considerare în procesul de selecţie/triere a candidaţilor. Ca regulă, Grupul de lucru 29 recomandă ca datele colectate în cadrul unui proces de recrutare să fie şterse imediat ce devine evident faptul că nu va oferta candidatul respectiv sau în cazul în care candidatul a refuzat oferta. În practică însă, după cum cunoaştem, majoritatea angajatorilor tind să păstreze ani de zile datele colectate cu ocazia unui proces de recrutare, în vederea ofertării candidaţilor respectivi cu următoarea ocazie. Această politică este întâlnită îndeosebi în cazul angajatorilor cu o fluctuaţie de personal foarte ridicată (peste 40% din efectivul total de personal) precum companiile din zona call-center, retail, financiar-asigurări, FMGC, logistică şi transport, pază şi securitate. Angajaţii regăsiţi într-o astfel de situaţie trebuie cu atât mai mult să acorde atenţie informării candidatului asupra politicii de reţinere a datelor şi îndeosebi asupra dreptului acestuia de a obiecta. Iar dacă persoana vizată obiectează cu privire la extinderea perioadei de procesare a datelor, sunt obligaţi să le şteargă.

- Asigurarea unui nivel adecvat de securitate a datelor procesate în contextul recrutării

Această obligaţie trebuie respectată îndeosebi în cazul în care candidaţii aplică online. Respectarea acestui principiu impune angajatorilor să se asigure, cel puţin, de următoarele condiţii:

1. transmiterea formularelor de recrutare se face printr-o metodă sigură (ex. se foloseşte o funcţie de criptare);

2. stocarea formularelor (CV-urilor) se face pe un spaţiu de stocare/locaţie virtuală (sau fizică) la care au acces exclusiv persoanele implicate în procesul de recrutare şi selecţie;

3. în cazul formularelor depuse direct la sediul angajatorului, sau prin poştă sau fax, traseul parcurs de acestea către un loc de depozitare securizat este cât mai scurt;

4. tot colectivul implicat în procesul de recrutare şi selecţie este instruit corespunzător în materie de protecţia datelor şi înţelege riscul compromiterii datelor.

- Temeiul procesării datelor personale în contextul recrutării

O problemă spinoasă întâlnită în practică, îndeosebi în ultimele luni, este aceea a consimţământului: îl solicităm sau nu, în contextul recrutării? Cu privire la acest aspect, am constatat că marea majoritate a angajatorilor (şi din păcate chiar a formatorilor în domeniul data protection) pun un foarte mare accent pe obţinerea consimţământului persoanei vizate, inclusiv în contextul recrutării de personal. Abordarea este, în opinia noastră, greşită. Consimţământul este numai unul dintre cele şase temeiuri ale procesării datelor, iar Opinia 2/2017 privind procesarea datelor la muncă, emisă de Grupul de lucru 29 menţionează clar: este foarte puţin probabil ca baza legală pentru prelucrarea datelor la locul de muncă să fie consimţământul, precum şi că baza legală (a prelucrării) nu poate şi nu trebuie să fie consimţământul angajaţilor. Motivul pentru care nu se recomandă utilizarea consimţământului ca temei al prelucrării este simplu: poate fi revocat. Totodată, se ţine cont şi de raportul specific relaţiilor de muncă: acela de subordonare ierarhică şi dependentă ce conduce la ideea că angajaţii sunt rareori în poziţia de a-şi exprima liber consimţământul. Din această perspectivă şi ţinând cont şi de recomandările europene în ceea ce priveşte raporturile cu angajaţii, se recomandă ca temei al prelucrării executarea unui contract, prevederea legală sau interesul legitim.

Considerăm că angajatorii ar trebui să implementeze o politică de recrutare internă clară, care să răspundă principiilor privind procesarea datelor şi, totodată, nevoilor organizatorice ale companiei, aprobată în prealabil de expertul în protecţia datelor/consultantul juridic. De asemenea, trebuie ţinut cont că în procesul de recrutare şi selecţie nu sunt implicate numai persoanele din departamentul de HR şi tocmai de aceea întregul colectiv susceptibil de a analiza CV-urile, verifica şi selecta candidaţii, conduce interviuri de angajare, sorta, extrage şi stoca datele din formularele de recrutare, în cadrul unei companii, trebuie educat în sensul principiilor GDPR.

Reflectând asupra întrebărilor venite din partea clienţilor din portofoliul nostru, precum şi a problematicii variate rezultate din practică, nu putem să nu recomandăm instituirea unor comisii interne ori desemnarea unui angajat în scopul evaluării procesului de recrutare din perspectiva GDPR, precum şi solicitarea de ajutor extern sub formă de consultanţă legală specializată. Considerăm că investiţia în resurse pentru procesul de conformare la GDPR va fi amortizată rapid de companii, prin evitarea sau diminuarea riscurilor privind eventuale breşe de securitate, plângeri ale persoanelor vizate şi a sancţiunilor impuse de autorităţi, ce ar putea fi deosebit de oneroase. De asemenea, încurajăm angrenarea autorităţilor în eliminarea zonelor neclare de aplicare a cerinţelor GDPR, cu atât mai mult cu cât mai sunt doar şase luni până la data la care GDPR devine aplicabil - 25 mai 2018. Gândiţi-vă, în calitate de angajatori, la faptul că, într-o piaţă a forţei de muncă din ce în ce mai redusă numeric şi din punct de vedere al calificării, cum este cea românească, adaptarea rapidă la setul de principii ale GDPR nu poate decât să se constituie în avantaj competitiv.