Kada govorimo o obradi osobnih podataka u kontekstu radnih odnosa neovisno što je Opća uredba o zaštiti podataka stupila na snagu 2018. godine još uvijek u praksi nalazimo na brojne nejasnoće kao što je postupanje sa zamolbama i životopisima potencijalnih kandidata za zaposlenje ili provjera potencijalnih kandidata putem društvenih mreža.
Takve podatke tvrtka u pravilu prikuplja onda kada objavi natječaj za određeno radno mjesto ili kada kandidati sami dostave otvorenu zamolbu.
Međutim, često se javlja pitanje smije li tvrtka zadržati životopise onih kandidata koji nisu izabrani na natječaju za slučaj da se u budućnosti ukaže potreba za takvim profilom zaposlenika?
Odgovor je smije međutim, u takvim situacijama potrebno je prethodno utvrditi valjanu zakonitu osnovu za obradu, rok pohrane i neovisno koja će se zakonita osnova koristiti, potrebno je o takvoj obradi informirati potencijalne kandidate i omogućiti ostvarivanje njihovih prava.
Životopise možemo pohranjivati na određeni rok ukoliko smo prethodno pribavili pristanak potencijalnog kandidata (zakonita osnova: čl.6 st.1 t.(a GDPR) ili smo utvrdili legitimni interes (zakonita osnova: čl.6. st. t. (f GDPR) pri čemu potencijalni kandidat nije istaknu prigovor na takvu obradu.
PRIVOLA
Ukoliko se odlučimo koristiti privolu kao zakonitu osnovu za pohranu životopisa u bazi potencijalnih kandidata, o tome je prethodno potrebno informirati potencijalne kandidate kako bi nam iste dostavili prilikom dostave zamolbe. To ćemo najjednostavnije učiniti prilikom objave samog natječaja kao i objavom na web stranicama naše tvrtke u politici privatnosti gdje ćemo ih informirati i o načinu povlačenja privole i o drugim pravima. Privolu kandidata možemo zatražiti i po dostavi životopisa.
Kada se obrada temelji na privoli potrebno je voditi evidenciju privola, njezinih ograničenja i povlačenja.
LEGITIMNI INTERES
Ukoliko odlučimo koristiti legitimni interes kao zakonitu osnovu za obradu isti utvrđujemo provođenjem testa razmjernosti. Utvrđeni legitimni interes potrebno je učiniti dostupnim potencijalnim kandidatima kako bi mogli istaknuti prigovor ukoliko se s obradom ne slažu. To ćemo najjednostavnije učiniti pružanjem informacija o istome u politici privatnosti web stranice tvrtke.
Prednost utvrđivanja legitimnog interesa u ovom slučaju jest što tvrtka unaprijed jasno određuje pravila postupanja u slučaju sa zamolbama i životopisima kandidata koji nisu izabrani na natječaju bez prikupljanja dodatne dokumentacije npr.privole. S druge strane svaki potencijalni kandidat ima pravo istaknuti prigovor na takvu obradu te rok pohrane životopisa može npr. ograničiti ili zatražiti brisanje iz evidencije.
Potrebno je voditi evidenciju o istaknutim prigovorima na obradu.
Govoreći o roku pohrane zamolbi i životopisa potencijalnih kandidata takav rok nije zakonom propisan te je potrebno da isti organizacija samostalno utvrdi na temelju svojih stvarnih potreba.
Primjerice, ukoliko tvrtka planira u skorije vrijeme širiti svoje poslovanje, ili se radi se o specifičnim, rijetkim zanimanjima ili pak ima saznanja da će kroz nekoliko mjeseci biti potrebna zamjena za porodiljin dopust ili radi odlaska radnika na usavršavanje ili slično, takav rok biti će primjereno utvrditi nešto duže.
Ukoliko tvrtka realno ne očekuje u skorijoj budućnosti moguće povećane potrebe za zapošljavanjem takav rok biti će dovoljno ograničiti na primjerice, rok probnog rada izabranog zaposlenika.
U svakom slučaju, rok pohrane zamolbi i životopisa ovisiti će o samoj organizaciji i njezinim stvarnim potrebama. Pri tome bitno je napomenuti da je u skladu s načelom pouzdanosti potrebno dokumentirati na temelju kojih kriterija je rok pohrane utvrđen i o roku pohrane informirati potencijalne kandidate.
Danas zahvaljujući postojanju profila na društvenim mrežama poslodavci mogu imati mogućnosti za prethodnu provjeru potencijalnih kandidata prikupljanjem informacija o njihovim prethodnim zaposlenjima, mišljenjima, interesima, navikama, kretanjima, stavovima i ponašanjima te na taj način mogu doći do podataka koji mogu utjecati na njihov konačan izbor kandidata.
Pregledavanje profila postojećih zaposlenika ili potencijalnih kandidata na društvenim mrežama ne bi se smjelo općenito provoditi.
Međutim, isto nije u potpunosti isključeno.
Ponekad će biti opravdano da poslodavac temeljem utvrđenog legitimnog interesa prethodno izvrši provjeru potencijalnog kandidata i takvim putem. To će u pravilu biti opravdano kada je zbog prirode posla nužno da se informacije o kandidatu provjeravaju na društvenim mrežama, na primjer kako bi se procijenili posebni rizici povezani s kandidatima za određenu funkciju. U tom slučaju potencijalni kandidat o tome treba biti informiran primjerice, u tekstu oglasa ili putem web stranice poslodavca te mora imati mogućnost isticanja prigovora na takvu obradu.
Često se u praksi javlja pitanje „što ako poslodavac vrši provjeru potencijalnog zaposlenika putem društvenih mreža bez njegovog znanja“?
U tom slučaju ako poslodavac utvrdi određene informacije koje bi predstavljale uvjet za isključenje ili bi davale prednost nekom kandidatu, društvene mreže ne bi mogle biti valjani izvor prikupljanja podataka na kojem bi poslodavac temeljio svoju odluku. Bitno je imati na umu da svaka osoba koja pretrpi povredu osobni podataka pa tako i potencijalni kandidat ima pravo na prigovor nadzornom tijelu te ukoliko se utvrdi povreda može ostvariti pravo na naknadu štete pred nadležnim sudom.
Neovisno koja se zakonita osnovu za obradu osobnih podataka potencijalnih kandidata koristi, potrebno je pružiti informacije o toj obradi.
Preporuka je pružanje takve obavijesti u dva sloja.
U prvom sloju npr. kod objave natječaja mogu se pružiti informacije da se sve zamolbe ne izabranih kandidata na određeni rok pohranjuju, o zakonitoj osnovi za takvu obradu (npr. privola, legitimni interes) i obavijest gdje se mogu pronaći cjelovite informacije o obradi (npr. web stranica poslodavca).
Cjelovite informacije o obradi osobnih podataka potrebno je da sadrži najmanje slijedeće: informacije o identitetu tvrtke (puni naziv, sjedište, kontakt), informacije o službeniku za zaštitu podataka ako je imenovan, vrste podataka koji se prikupljaju, svrha i zakonita osnova za prikupljanje i obradu uključujući i obrade koje se vrše na temelju legitimnog interesa, informacije o primateljima osobnih podataka ako ih ima, u slučaju da se podaci prenose u treću zemlju ili međunarodnu organizaciju potrebno je pružiti obavijest o tome, o vremenskom roku pohrane odnosno kriterijima ne temelju čega se određuje takav rok, informacije o postojanju prava da se zatraži: pristup svojim osobnim podacima, ispravak ili dopuna, pravo na brisanje i ograničenje obrade, o pravu na povlačenje privole te o pravu na podnošenje prigovora nadzornom tijelu. Ukoliko se neki od podataka ne prikupljaju direktno od potencijalnog kandidata potrebno je navesti i izvor prikupljanja i prema potrebi, dolaze li iz javno dostupnih izvora što će najčešće biti primjenjivo ukoliko poslodavac prikuplja određene podatke o potencijalnim zaposlenicima putem društvenih mreža ili određenih javno dostupnih servisa.
Neovisno da li se kao zakonita osnova koristi pristanak potencijalnog kandidata ili legitimni interes ili se pak koristi neka druga zakonita osnova za prikupljanje i obradu osobnih podataka kao što je u slučaju obrade životopisa izabranog kandidata, uvijek je temeljni zahtjev Opće uredbe o tome informirati ispitanika i pružiti sve relevantne obavijesti o obradi koja se vrši.
Izvor: Opća uredba o zaštiti osobnih podataka (GDPR); Smjernice o privoli WP 259 rev.01 Radne skupine za zaštitu podataka iz članka 29.; Mišljenje 06/2014 o pojmu zakonitih interesa nadzornika podataka u skladu s člankom 7. Direktive 95/46/EZ ; Mišljenje o obradi osobnih podataka na radnom mjestu WP 249. Radne skupine za zaštitu podataka iz članka 29.; Smjernice o transparentnosti WP 260. rev. 01 Radne skupine za zaštitu podataka iz članka 29.
Naše kolumne:
Glas Istre: Nove tehnologije & GDPR
Glas Istre: Biometrijski osobni podaci & GDPR - gdje i kada je dozvoljena obrrada takvih podataka
SEEbiz: E-mail adresa bivšeg zaposlenika
Povezane teme:
Smije li poslodavac putem društvenih medija provjeravati svoje zaposlenike?
GDPR i cijepljenje zaposlenika u privatnom sektoru
COVID-19 - testiranje i cijepljenje zaposlenika i gostiju u turističkom sektoru
Praćenje mobitela građana i GDPR
Povezane usluge:
Službenik za zaštitu podataka Feralis
Usklađivanje poslovanja s GDPR
