Kada govorimo o obradi osobnih podataka u kontekstu radnih odnosa neovisno što je Opća uredba o zaštiti podataka stupila na snagu 2018. godine još uvijek u praksi nalazimo na brojne nejasnoće kao što je postupanje sa zamolbama i životopisima potencijalnih kandidata za zaposlenje ili njihova provjera putem društvenih mreža. Takve podatke tvrtka u pravilu prikuplja onda kada objavi natječaj za određeno radno mjesto ili kada kandidati sami dostave otvorenu zamolbu. Međutim, često se javlja pitanje kako postupiti s onim zamolbama koje sadrže životopise kandidata koji nisu izabrani na određenom natječaju a tvrtka ih želi na određeni rok pohranjivati u slučaju da se u budućnosti ukaže potreba za takvim profilom zaposlenika.
Utvrđivanje zakonite osnove za pohranu zamolbi i životopisa
U tom slučaju životopise možemo pohranjivati na određeni rok ukoliko smo prethodno pribavili pristanak potencijalnog kandidata (zakonita osnova: čl.6 st.1 t.(a GDPR) ili smo utvrdili legitimni interes (zakonita osnova: čl.6. st. t. (f GDPR) pri čemu potencijalni kandidat nije istaknu prigovor na takvu obradu.
Ukoliko se odlučimo koristiti privolu kao zakonitu osnovu za pohranu životopisa u bazi potencijalnih kandidata, o tome je prethodno potrebno informirati potencijalne kandidate kako bi nam iste dostavili prilikom dostave zamolbe. To ćemo najjednostavnije učiniti prilikom objave samog natječaja kao i objavom na web stranicama naše tvrtke u politici privatnosti gdje ćemo ih informirati i o načinu povlačenja privole i o drugim pravima. Privolu kandidata možemo zatražiti i po dostavi životopisa. Kada se obrada temelji na privoli potrebno je voditi evidenciju privola, njezinih ograničenja i povlačenja.
Ukoliko odlučimo koristiti legitimni interes kao zakonitu osnovu za obradu isti utvrđujemo provođenjem testa razmjernosti. Utvrđeni legitimni interes potrebno je učiniti dostupnim potencijalnim kandidatima kako bi mogli istaknuti prigovor ukoliko se s obradom ne slažu. To ćemo najjednostavnije učiniti pružanjem informacija o istome u politici privatnosti web stranice tvrtke. Prednost utvrđivanja legitimnog interesa u ovom slučaju jest što tvrtka unaprijed određuje pravila postupanja u slučaju sa zamolbama i životopisima kandidata koji nisu izabrani na natječaju. S druge strane svaki potencijalni kandidat ima pravo istaknuti prigovor na takvu obradu te rok pohrane životopisa može npr. skratiti ili zatražiti brisanje iz evidencije. Pri tome bitno je naglasiti da je također potrebno voditi evidenciju o prigovorima na obradu koja se temelji na legitimnom interesu.
Rok pohrane životopisa
Govoreći o roku pohrane zamolbi i životopisa potencijalnih kandidata takav rok nije zakonom propisan te je potrebno da isti organizacija samostalno utvrdi na temelju svojih stvarnih potreba. Primjerice, ukoliko tvrtka planira u skorije vrijeme širiti svoje poslovanje, ili se radi se o specifičnim, rijetkim zanimanjima ili pak ima saznanja da će kroz nekoliko mjeseci biti potrebna zamjena za porodiljin dopust ili radi odlaska radnika na usavršavanje ili slično, takav rok biti će primjereno utvrditi nešto duže. Ukoliko tvrtka realno ne očekuje u skorijoj budućnosti moguće povećane potrebe za zapošljavanjem takav rok biti će dovoljno ograničiti na primjerice, rok probnog rada izabranog zaposlenika. U svakom slučaju, rok pohrane zamolbi i životopisa ovisiti će o samoj organizaciji i njezinim stvarnim potrebama. Pri tome bitno je napomenuti da je u skladu s načelom pouzdanosti potrebno dokumentirati na temelju čega je rok pohrane utvrđen i o roku pohrane informirati potencijalne kandidate.
Društvene mreže – provjera potencijalnih kandidata
Zahvaljujući postojanju profila na društvenim mrežama poslodavci mogu imati mogućnosti za prethodnu provjeru potencijalnih kandidata prikupljanjem informacija o njihovim prethodnim zaposlenjima, mišljenjima, interesima, navikama, kretanjima, stavovima i ponašanjima te na taj način mogu doći do podataka koji mogu utjecati na njihov konačan izbor kandidata. Pregledavanje profila postojećih zaposlenika ili potencijalnih kandidata na društvenim mrežama ne bi se smjelo općenito provoditi. Međutim, isto nije u potpunosti isključeno. Ponekad će biti opravdano da poslodavac temeljem utvrđenog legitimnog interesa prethodno izvrši provjeru potencijalnog kandidata i takvim putem. To će u pravilu biti opravdano kada je zbog prirode posla nužno da se informacije o kandidatu provjeravaju na društvenim mrežama, na primjer kako bi se procijenili posebni rizici povezani s kandidatima za određenu funkciju. U tom slučaju potencijalni kandidat o tome treba biti informiran primjerice, u tekstu oglasa ili putem web stranice poslodavca te mora imati mogućnost isticanja prigovora na takvu obradu.
Često se u praksi javlja pitanje „što ako poslodavac vrši takvu provjeru bez znanja potencijalnog zaposlenika“? U tom slučaju da poslodavac utvrdi određene informacije koje bi predstavljale uvjet za isključenje ili bi davale prednost nekom kandidatu, društvene mreže ne bi mogle biti valjani izvor prikupljanja i obade osobnih podataka na kojem bi poslodavac temeljio svoju odluku. Svaka osoba koja pretrpi povredu osobni podataka ima pravo na prigovor nadzornom tijelu te ukoliko se utvrdi povreda potencijalni kandidat može ostvariti pravo na naknadu štete pred nadležnim sudom.
Obavijest o obradi osobnih podataka potencijalnih kandidata
Neovisno koja se zakonita osnovu za obradu osobnih podataka potencijalnih kandidata koristi, potrebno je pružiti informacije o toj obradi. Preporuka je pružanje takve obavijesti u dva sloja. U prvom sloju npr. kod objave natječaja mogu se pružiti informacije da se sve zamolbe ne izabranih kandidata na određeni rok pohranjuju, o zakonitoj osnovi za takvu obradu (npr. privola, legitimni interes) i informacije gdje se mogu pronaći cjelovite informacije o obradi (npr. web stranica poslodavca).
Cjelovite informacije o obradi osobnih podataka potrebno je da sadrži najmanje slijedeće: informacije o identitetu tvrtke (puni naziv, sjedište, kontakt), informacije o službeniku za zaštitu podataka ako je imenovan, vrste podataka koji se prikupljaju, svrha i zakonita osnova za prikupljanje i obradu uključujući i obrade koje se vrše na temelju legitimnog interesa, informacije o primateljima osobnih podataka ako ih ima, u slučaju da se podaci prenose u treću zemlju ili međunarodnu organizaciju potrebno je pružiti obavijest o tome, o vremenskom roku pohrane odnosno kriterijima ne temelju čega se određuje takav rok, informacije o postojanju prava da se zatraži: pristup svojim osobnim podacima, ispravak ili dopuna, pravo na brisanje i ograničenje obrade, o pravu na povlačenje privole te o pravu na podnošenje prigovora nadzornom tijelu. Ukoliko se neki od podataka ne prikupljaju direktno od potencijalnog kandidata potrebno je navesti i izvor prikupljanja i prema potrebi, dolaze li iz javno dostupnih izvora što će najčešće biti primjenjivo ukoliko poslodavac prikuplja određene podatke o potencijalnim zaposlenicima putem društvenih mreža ili određenih javno dostupnih servisa.
Neovisno da li se kao zakonita osnova koristi pristanak potencijalnog kandidata ili legitimni interes ili se pak koristi neka druga zakonita osnova za prikupljanje i obradu osobnih podataka kao što je u slučaju obrade životopisa izabranog kandidata, uvijek je temeljni zahtjev Opće uredbe o tome informirati ispitanika i pružiti sve relevantne obavijesti o obradi koja se vrši.
Izvor: Opća uredba o zaštiti osobnih podataka (GDPR); Smjernice o privoli WP 259 rev.01 Radne skupine za zaštitu podataka iz članka 29.; Mišljenje 06/2014 o pojmu zakonitih interesa nadzornika podataka u skladu s člankom 7. Direktive 95/46/EZ ; Mišljenje o obradi osobnih podataka na radnom mjestu WP 249. Radne skupine za zaštitu podataka iz članka 29.; Smjernice o transparentnosti WP 260. rev. 01 Radne skupine za zaštitu podataka iz članka 29.
