Acest site folosește doar cookies pentru sesiune necesare pentru funcționarea site-ului. Continuând navigarea pe acest site, consimțiți la politica noastră privind utilizarea lor. Mai multe despre politica noastră de securitate, în pagina politica privind cookies.
Meniu
 

Securitatea informațiilor nu este doar un element de natură tehnică

 

Protecția datelor personale în recrutare

Protecția datelor personale în recrutare

Procesul de recrutare implică, prin natura sa, colectarea și prelucrarea unui volum semnificativ de date cu caracter personal: nume, adrese, istorice profesionale, date de contact și, uneori, informații sensibile precum starea de sănătate sau apartenența sindicală. Tocmai de aceea, recrutarea reprezintă unul dintre domeniile în care cerințele GDPR se aplică cu o intensitate aparte, iar organizațiile care nu gestionează corect aceste fluxuri de date se expun unor riscuri juridice și reputaționale considerabile.

Temeiul legal al prelucrării

Înainte de a colecta orice date de la candidați, organizația trebuie să identifice temeiul legal care justifică prelucrarea. În contextul recrutării, cel mai frecvent temei invocat este executarea unor măsuri precontractuale la cererea persoanei vizate — cu alte cuvinte, candidatul a inițiat procesul prin trimiterea candidaturii. Consimțământul, deși tentant ca soluție universală, este în realitate problematic: el trebuie să fie liber exprimat, iar dezechilibrul de putere dintre candidat și angajator poate pune sub semnul întrebării caracterul său voluntar. Alegerea greșită a temeiului legal viciază întreaga prelucrare și poate genera obligații de ștergere dificil de gestionat ulterior.

Ce date se pot colecta și pentru cât timp

Principiul minimizării datelor impune colectarea exclusivă a informațiilor necesare pentru evaluarea candidaturii. Solicitarea unor date excesive — situația familială, planurile de a avea copii, orientarea religioasă sau politică — este o încălcare directă a GDPR. Referitor la durata păstrării datelor, organizațiile trebuie să stabilească și să comunice termene clare: datele candidaților neselecționați nu pot fi reținute pe termen nedefinit în speranța unor posturi viitoare. Practica uzuală acceptă o perioadă de 6 până la 12 luni de la finalizarea procesului de recrutare, condiționată de informarea prealabilă a candidaților și, acolo unde este cazul, de acordul explicit al acestora.

Transparența față de candidați

Candidații trebuie informați, într-un limbaj clar și accesibil, cu privire la identitatea operatorului, scopul și temeiul prelucrării, destinatarii datelor, durata de stocare și drepturile de care dispun. Această informare trebuie furnizată la momentul colectării datelor — de regulă prin intermediul unui aviz de confidențialitate atașat formularului de candidatură sau platformei de recrutare. O notificare redactată în termeni juridici denși, îngropată în termeni și condiții, nu satisface cerința de transparență prevăzută de regulament. Claritatea și accesibilitatea sunt, în egală măsură, obligații legale. De asemenea, un segment din politica de confidențialitate de pe site-ul companiei trebuie să cuprindă informații legate de procesul de recrutare și elementele obligatorii de informare a candidaților.

Riscurile platformelor terțe și ale agențiilor de recrutare

Majoritatea organizațiilor utilizează platforme ATS (Applicant Tracking Systems) sau colaborează cu agenții externe de recrutare. În ambele cazuri, datele candidaților ajung la terțe părți, ceea ce implică obligația încheierii unor acorduri de prelucrare a datelor conform articolului 28 din GDPR. Transferul de date către agenții fără un contract corespunzător, sau utilizarea unor platforme găzduite în afara Spațiului Economic European fără garanții adecvate, constituie încălcări frecvente, identificate regulat în investigațiile autorităților de supraveghere. Verificarea atentă a lanțului de prelucrare este, prin urmare, o responsabilitate care revine în întregime angajatorului. Același lucru trebuie însă aplicat și intern printr-o trasabilitate a circulației interne a datelor candidaților pentru a se preveni atât utilizarea neadecvată sau neautorizată a acestora, ci și pentru respectarea duratei de păstrare asumate. În acest sens, o atenție trebuie acordată și sistemelor de backup care pot păstra datele candidaților mai mult decât termenul asumat de păstrare.

Decizia automată și profilarea în procesul de selecție

Utilizarea tot mai frecventă a inteligenței artificiale în preselecția candidaților ridică probleme specifice: GDPR prevede că persoanele vizate au dreptul de a nu face obiectul unor decizii bazate exclusiv pe prelucrarea automată, dacă acestea produc efecte juridice sau îi afectează în mod semnificativ. Dacă un sistem automat elimină candidaturi fără intervenție umană, organizația trebuie să asigure candidaților posibilitatea de a solicita o revizuire umană a deciziei. Transparența cu privire la utilizarea unor astfel de instrumente nu este doar o cerință etică, ci și una legală, iar logica algoritmilor de selecție trebuie să poată fi explicată la cerere.

Candidaturile spontane — un caz particular care necesită atenție specială

Candidaturile primite din inițiativa candidatului, fără ca organizația să fi publicat un anunț de recrutare, ridică o problemă specifică de temei legal: în absența unui proces de recrutare în desfășurare, nu se poate invoca executarea unor măsuri precontractuale, iar prelucrarea datelor nu poate fi justificată în mod automat prin simpla primire a unui CV. Organizația se află, practic, în posesia unor date personale pe care nu le-a solicitat, ceea ce impune o reacție promptă și documentată. Soluția cea mai frecvent recomandată este solicitarea unui consimțământ explicit din partea candidatului — însoțit de informații clare privind scopul stocării, durata păstrării datelor și dreptul de retragere a consimțământului în orice moment. Este evident că informarea prealabilă în acest caz nu poate fi făcută, decât prin politica de confidențialitate de pe site, deci este obligatoriu să fie menționată speța. O altă modalitate ar fi o adresă de mail specifică, de exemplu recrutare@, cv@, cu un răspuns automat setat care să conțină informarea candidaților cu privire la modul în care sunt prelucrate și păstrate datele. Dacă organizația nu intenționează să ia în considerare candidatura, datele ar trebui șterse într-un termen rezonabil, iar candidatul informat în consecință. Păstrarea pasivă a CV-urilor spontane într-o arhivă generică, fără temei legal clar și fără știrea candidatului, reprezintă una dintre cele mai comune neconformități întâlnite în practică și, totodată, una dintre cele mai ușor de remediat printr-o procedură internă simplă și bine comunicată.

Gestionarea proactivă a riscurilor — unde intervine consultanța

Conformitatea în domeniul recrutării nu se rezumă la redactarea unei politici de confidențialitate. Ea presupune o evaluare sistematică a fluxurilor de date, revizuirea contractelor cu furnizorii, formarea echipelor de HR și implementarea unor proceduri clare de răspuns la solicitările candidaților privind exercitarea drepturilor lor. O firmă de consultanță specializată poate audita procesele existente, identifica lacunele de conformitate și construi un cadru documentar solid — transformând o zonă de risc legal într-un proces bine guvernat, care reflectă respectul real al organizației față de persoanele cu care interacționează.