Od maja na naszych skrzynkach mailowych pełno jest wiadomości o GDPR (General Data Protection Regulation, w Polsce znane jako RODO). Jednak GDPR i polityka prywatności są istotne nie tylko z punktu widzenia internauty przeglądającego strony online. Warto wiedzieć, jak GDPR wpływa na prowadzenie firmy w UK i jakie obowiązki mamy jako pracodawcy, jakie prawa – jako pracownicy i co dzieje się z naszymi danymi w procesie rekrutacji.
Prawo do „bycia zapomnianym”
Co istotne, nowe przepisy o GDPR nie zmieniają dla przedsiębiorstw w Wielkiej Brytanii aż tak wiele – jeśli firma już wcześniej stosowała się do przepisów Data Protection Act 1998, to nie ma wiele do poprawienia. Osoby i firmy, które do tej pory podchodziły odpowiedzialnie do powierzonych im danych, muszą zwrócić uwagę jedynie na kilka szczegółów. Pamiętajmy jednak, że osoba zbierająca i przetwarzające dane nie może się zasłaniać brakiem znajomości przepisów.
Ustawa, która weszła w życie 25.05.2018 r., nakazuje wszystkim przedsiębiorcom usystematyzować zbiory tak, by dane te były one uporządkowane i przechowywane w bezpiecznej lokalizacji, umożliwiającej ich modyfikację, ale też bezpowrotne usunięcie z bazy danych, jeśli dana osoba zechce skorzystać z prawa do „bycia zapomnianym” (ang. „right to be forgotten”). Klienci i internauci mogą poprosić o usunięcie z bazy tych danych, które nie są niezbędne do świadczenia zamawianych usług.
Co ważne, klienci i internauci mogą poprosić o usunięcie z bazy tych danych, które nie są jednocześnie niezbędne do świadczenia zamawianych usług. Należy również dać możliwość wypisania się np. z list mailingowych tym osobom, które nie życzą sobie dalszego otrzymywania newsletterów.
Czym w rozumieniu GDPR są dane osobowe? Są to wszystkie informacje, które mogą posłużyć do bezpośredniego lub pośredniego zidentyfikowania danej osoby. Zatem nie tylko imię i nazwisko, adres fizyczny i adres e-mail, ale też zdjęcia, adresy IP, numery telefonów…
GDPR i rekrutacja: co powinien pracodawca, a co kandydat i pracownik
Proces przetwarzania danych osobowych pracowników rozpoczyna się już na etapie rekrutacji.
Udostępniając swoje CV pracodawcy, udostępniamy mu swoje podstawowe dane osobowe. W Wielkiej Brytanii dane, o które możemy zostać poproszeni podczas rekrutacji, powinny się ograniczać do danych kontaktowych i niezbędnych do ocenienia kwalifikacji. W UK, inaczej niż w Polsce, w CV nie zamieszczamy zdjęcia ani daty urodzenia. Inaczej niż w Polsce, w CV nie zamieszczamy zatem zdjęcia (chyba że staramy się np. o rolę stażysty w filmie, gdzie nasz wygląd ma znaczenie) ani daty urodzenia.
Dozwolone jest też gromadzenie danych w celu identyfikacji ryzyka związanego z zatrudnieniem pracownika na określonym stanowisku, np. zapytanie o niekaralność, certyfikaty, kwestionariusze i badania medyczne. Warunkiem zbierania tych danych jest jednak poinformowanie o tym kandydatów.
Oznacza to, że pracodawca w Wielkiej Brytanii musi zabezpieczyć trochę mniej danych, niż w Polsce, gdzie CV zawiera tzw. „dane wrażliwe” (tj. wiek, status, zdjęcie itp.). Dlatego CV w Polsce opatrzone są z reguły pozwoleniem na przetwarzanie tych informacji, a w UK nie. Warto wiedzieć jednak, że pracodawcy zawsze jednak wolno zbierać i przetwarzać jedynie dane niezbędne do oceny kwalifikacji danej osoby na wskazane stanowisko pracy.
W związku z nową ustawą pojawiają się pytania odnośnie zbierania referencji aplikanta. Osoba starająca się o pracę ma prawo odmówić ich podania. Pamiętajmy jednak, że referencje to potwierdzenie zgodności stanu faktycznego z CV. Warto zatem zadbać o swoją wiarygodność.
Co istotne, w momencie kiedy aplikujemy na określone stanowisko w konkretnej firmie, nasze dane powinny być usunięte w przypadku nie otrzymania oferty pracy.
Usuwanie CV a baza danych HR
Czy tak się jednak dzieje? Częstą metodą pracy działów HR jest tworzenie z nadesłanych CV baz danych. Dzieje się tak np. wtedy, gdy pracodawca aktualnie nie dysponuje stanowiskiem pracy odpowiednim do kwalifikacji danej osoby lub na wypadek gdyby dotychczasowy pracownik zdecydował się na odejście z firmy. Jak się jednak okazuje, w świetle rekomendacji unijnych, działanie takie wcale nie jest całkowicie bezprawne. Jeżeli istnieje szansa na złożenie oferty w późniejszym czasie, po zamknięciu procesu rekrutacji, dane osobowe możemy przechowywać tak długo, jak on się na to zgadza.
Komitet przewidział tu wyjątek. Jeżeli istnieje szansa na złożenie oferty w późniejszym czasie, już po zamknięciu procesu rekrutacji, dane osobowe kandydata mogą być przechowywane tak długo, jak on się na to zgadza.
I jest to bardzo ważna ogólna zasada, którą należy mieć na względzie dostosowując swoją działalność do wymogów GDPR lub walcząc o swoje prawa w świetle nowych przepisów: pracodawcy i firmy nie powinny przechowywać niepotrzebnych baz danych „na wszelki wypadek”. Jeśli jednak potrafią uzasadnić cel, dla którego przechowują konkretne dane oraz udokumentować zgody właścicieli danych, nie mają obowiązku usuwać całych baz danych.
Jeszcze inaczej odbywa się to w agencjach pracy tymczasowej, gdzie już w momencie rejestracji w agencji, agencja staje się „administratorem danych” aplikanta. Kandydat wyraża na to zgodę zaznaczając odpowiedni punkt w formularzu zgłoszeniowym lub wyrażając pisemną zgodę. Agencje pracy zobligowane są do ujawniania firmom jedynie danych niezbędnych w procesie rekrutacji oraz świadczeniu pracy.
Samozatrudnienie a GDPR
Wdrożenie ustawy o ochronie danych jest wyzwaniem dla wszystkich przedsiębiorstw, bo dotyczy wszystkich sektorów rynku. Ważne jest byśmy pamiętali zarówno jako pracodawca jak i jako pracownik jakie dane zbieramy, i komu je udostępniamy.
Wielu Polaków w Wielkiej Brytanii prowadzi własne firmy lub pracuje jako osoby samozatrudnione. W ramach działalności gospodarczej, możemy przetwarzać czyjeś dane osobowe niezbędne do zawarcia / wykonania umowy. Chodzi tu np. o dane do faktury czy dane kontaktowe. Ważne jest jednak sprecyzowanie klientowi, które dane są nam potrzebne i komu zostaną przekazane oraz rejestrowanie jego zgody na wykorzystanie danych. Ponieważ dane z faktury są niezbędne do rozliczenia z HMRC, nie musimy ich usuwać, nawet jeśli klient o to poprosi. Obowiązek usuwania danych na prośbę klienta dotyczy tylko tych informacji, które nie są nam niezbędne do prowadzenia firmy.
GDPR – słowniczek
Dane osobowe – wszystkie informacje, które mogą posłużyć do bezpośredniego lub pośredniego zidentyfikowania danej osoby.
Administrator danych / Data Controler – organ, jednostka organizacyjna, podmiot gospodarczy lub osoba decydująca o celach i środkach przetwarzania danych, biorąca za nie pełną odpowiedzialność.
Technik przetwarzania danych / Data Processor – osoba, organ mająca dostęp do danych i wykorzystująca je w dowolny sposób.
Data Protection Officer – wyznaczona w firmie osoba odpowiedzialna za bezpieczeństwo danych. Co ważne, z tym tytułem wiążą się pewne wymagania prawne, a nie każda firma jest zobligowana do wyznaczenia DPO. O ile więc zawsze ktoś w firmie powinien dbać o bezpieczeństwo danych, warto nazwać takie stanowisko np. „Privacy Officer”.
GDPR – proste rekomendacje dla małych firm
Zanalizuj, jakie dane osobowe zbierasz od klientów. Czy na pewno wszystkie są ci potrzebne?
W jaki sposób zabezpieczasz dane? Kieruj się zasadą proporcjonalności. Jeśli nie zbierasz danych wrażliwych, np. o karalności czy historii choroby, wystarczające może być trzymanie danych na bezpiecznej skrzynce mailowej, chronionej hasłem.
Czy informujesz klientów, jakie dane zbierasz? Czy w razie potrzeby możesz usunąć ich dane z bazy?
Przygotuj odpowiednie procedury odpowiedzi na zapytania o dane – może się to ograniczyć do stworzenia odpowiedniego szablonu maila. Co ważne, może się zdarzyć, że ktoś poprosi Cię o usunięcie danych, których nie możesz usunąć – np. w przypadku danych na fakturze, którą następnie musisz pokazać HMRC. Masz prawo odmówić spełnienia takiej prośby.
Komentarze
Zgłoś do moderacji