GDPR і рекрутинг: як використовувати персональні дані для пошуку ідеального кандидата в ЄС

Привіт! Мене звати Катерина, я працюю тімлідом/старшим юристом у команді Privacy & Data Protection Compliance у Legal IT Group і зовнішнім DPO (Data Protection Officer), маю CIPP/E (сертифікат фахівця з питань приватності, що працює з GDPR). Оскільки останнім часом багато українських HR-фахівців почали більше працювати з європейським ринком, я зібрала найпоширеніші запитання і написала інструкцію з ключами до GDPR, щоб полегшити пошук кадрів на території ЄС.

Цю статтю можна використовувати і щоб освіжити свої знання, і щоб сформувати перше уявлення про GDPR та почати роботу над комплаєнсом. Це не деталізована інструкція — кожен бізнес має свої особливості. Але якщо ви досі не знали, з чого почати, або втомились від оглядових статей про одні і ті ж 7 принципів GDPR — тоді, сподіваюсь, ця стаття буде корисною для пошуку людей у ваші команди.

Вступ про GDPR Для HR

Україна все тісніше співпрацює з європейським ринком і пропонує найрізноманітніші ІТ-послуги. Але робота з європейськими партнерами завжди вимагає від української компанії належної підготовки. Тому перед українськими компаніями все частіше виникає потреба з’ясувати, що і як необхідно зробити, щоб налагодити роботу над європейськими проєктами.

Оскільки в ІТ особливу роль має особа виконавця, то на перший план завжди виходять персональні дані про цю людину. Персональні дані (ім’я, контакти, біографія, запис інтерв’ю, фізичне місцеперебування людини, її соціальні мережі) складають цифрову ідентичність майбутнього колеги і цим допомагають знайти потрібного фахівця та підтримувати з ним зв’язок. Цифрова ідентичність також сильно впливає на приватність, особливо при віддаленій роботі: кандидат чи колега завжди хоче знати, що компанія знає про нього або неї, і як планує використати цю інформацію. Ось тут на перший план і виходить GDPR як звід правил про обробку персональних даних. І у європейських реаліях це регулювання поширюється не лише на користувачів програми, але і на її творців.

Ця стаття має допомогти HR-фахівцю зорієнтуватися у випадку, коли треба:

  • знайти персонал у європейський офіс;
  • перевести діловодство на європейську компанію (змінити головний офіс); та/або
  • найняти європейців (як працівників чи як підрядників).

У цій статті терміни вжиті у наступних значеннях:

  • рекрутер — HR-фахівець, який або повністю займається питаннями управління персоналом, або виконує тільки окремі функції, пов’язані з пошуком кандидата і його наймом;
  • роботодавець — компанія, яка за допомогою рекрутера шукає працівника або підрядника;
  • ЄС — країни, що входять до Європейського Союзу (серед них: Австрія, Бельгія, Болгарія, Хорватія, Кіпр, Чехія, Данія, Естонія, Фінляндія, Франція, Греція, Іспанія, Нідерланди, Ірландія, Литва, Люксембург, Латвія, Мальта, Німеччина, Польща, Португалія, Румунія, Словаччина, Словенія, Швеція, Угорщина, Італія).
  • ЄЕЗ — Європейський Економічний Союз без держав-членів ЄС (Норвегія, Ісландія та Ліхтенштейн) і без Швейцарії.

Отже, з чого почати?

Питання 1. Чи необхідно взагалі виконувати вимоги GDPR?

Очевидні ситуації, коли GDPR треба притримуватися — коли рекрутер працює у компанії, що сама шукає фахівця і при цьому:

  • компанія, яка шукає кандидата, зареєстрована у країні ЄС (або Ісландії, Норвегії, Ліхтенштейні) або має там офіс, у якому працюватиме цей кандидат; та/або
  • компанія цілеспрямовано шукає фахівця на цих територіях.

Ситуація ускладнюється, якщо рекрутер працює як підрядник компанії-роботодавця (як незалежний підприємець чи як працівник агентства рекрутингу), що корпоративно незалежний від роботодавця. Тоді у рекрутера виникає два напрямки комплаєнсу:

  • обов’язки за GDPR, що покладаються на рекрутера безпосередньо (як описано вище); та
  • обов’язки компанії-роботодавця, які вона перекладає на рекрутера як на обробника даних через угоди про обробку персональних даних або інші договори.

Аналогічно, до речі, буде з кандидатами-підрядниками: на них будуть покладатися як обов’язки напряму з GDPR, так і політики з обробки даних замовника їх послуг.

Якщо ситуація менш зрозуміла: статті 2 і 3 GDPR, рекомендації EDPB (European Data Protection Board), а краще — порадитися з юристом.

Питання 2. З чого складається комплаєнс з GDPR?

Перш за все — зрозуміти, які ролі виконує рекрутер, роботодавець та інтернет-ресурси, які рекрутер використовує для пошуку і роботи з кандидатами. Ролі можуть бути наступними:

  • володілець даних (controller) — та особа, що визначає цілі і способи обробки даних (зазвичай це роботодавець, якщо він уповноважує рекрутера-підрядника закрити певні посади);
  • розпорядник даних (processor) — особа, яка за інструкцією володільця обробляє дані (рекрутер-підрядник, якщо йому треба закрити певні вакансії роботодавця);
  • одержувач даних (recipient) — третя особа, яка уповноважена володільцем або розпорядником обробляти дані під їх прямим контролем (наприклад, працівники роботодавця або рекрутера-агентства).

GDPR покладає різний обсяг обов’язків на учасників. Обов’язки залежать від ролей. Тому ці ролі потрібно розподіляти між учасниками всього процесу обробки, щоб зрозуміти, які вимоги GDPR необхідно виконувати. Рекрутеру слід обдумати, у яких ролях він чи вона виступає: володільця (коли збирає широке портфоліо, а потім з власної ініціативи пропонує кандидатів компаніям, які шукають співробітників) чи розпорядником (якщо первинною є вакансія, і рекрутер саме під неї шукає кандидатів, що можуть підійти.

Володілець даних

Розпорядник даних

Хто це може бути:

  • роботодавець;
  • рекрутер, що сам контактує з роботодавцями і пропонує закрити певні їх вакансії.

Хто це може бути: рекрутер-підрядник, у тому числі агентство, яке закриває вказані роботодавцем вакансії.

Обов’язки:

  • виписати цілі обробки персональних даних (наприклад, «зібрати інформацію про доступних кандидатів на сайті пошуку роботи», «перевірити, чи відповідає кандидат вимогам вакансії», «провести відеоінтерв’ю з кандидатом», «укласти угоду з кандидатом», «оплачувати роботу працівника/підрядника» тощо);
  • провести аудит даних і процесів обробки даних, що існують, та позбавитися зайвих і неактуальних даних;
  • зрозуміти, які інструменти необхідно використовувати для обробки даних (які сайти пошуку роботи або розміщення вакансій, програми відеозв’язку, месенджери, системи обробки CV тощо виконують вимоги GDPR); сюди ж відносяться і рекрутери-агентства або незалежні підрядники;
  • подбати про інформування: встановити правила повідомлення кандидатів про те, як будуть оброблятися їхні персональні дані (ким, як довго, які у нього є права, для яких цілей, кому будуть передані дані, як захищені і т.д.);
  • підібрати інструменти і створити процеси виконання запитів кандидатів про видалення, зміну, припинення обробки даних, інших прав;
  • створити документацію, що вказує на відповідальних за обробку даних осіб та описує процеси обробки і захисту персональних даних (зокрема, records of processing activities);
  • вжити технічних і організаційних заходів для захисту персональних даних, у тому числі при міжнародній передачі даних, та забезпечити конфіденційність даних;
  • підписати договори з підрядниками (у тому числі угоди про обробку даних за необхідності);
  • нести відповідальність за шкоду, що спричинена порушенням вимог GDPR або діями самого володільця (у тому числі його одержувачів даних) або його розпорядників;
  • за необхідності — призначити data protection officer (DPO), призначити представника іноземної компанії у ЄС (representative) та провести data protection impact assessment (DPIA).

Обов’язки:

  • вести records of processing activities та створювати іншу документацію, що описує обробку даних;
  • укласти письмову угоду з володільцем даних, яка легалізує обробку даних для виконання цілей володільця;
  • опрацьовувати персональні дані лише в рамках інструкцій контролера (якщо дані кандидатів зберігаються «на майбутнє» або для іншого роботодавця — рекрутер стає володільцем цих даних і має виконувати обов’язки, перераховані вище);
  • вжити технічних і організаційних заходів для захисту персональних даних, у тому числі при міжнародній передачі даних, та забезпечити конфіденційність даних;
  • залучати субпідрядника лише за згоди володільця або за умови повідомлення володільця про залучення;
  • виконувати політики безпеки даних, що передані володільцем або погоджені з ним;
  • допомагати володільцеві з виконанням запитів кандидатів на видалення, припинення обробки, виправлення даних, доступу до даних тощо або запитів від наглядових органів;
  • надати володільцеві докази комплаєнсу з GDPR та повідомляти його про порушення GDPR, витік персональних даних та порушення інструкціями володільця вимог GDPR;
  • за необхідності — призначити data protection officer (DPO), призначити представника іноземної компанії у ЄС (representative);
  • відповідати окремо від володільця лише за порушення прямо накладених на нього вимог GDPR (наприклад, нехтування records of processing activities) або якщо володілець доведе, що розпорядник порушив законні інструкції володільця.

Якщо рекрутер виступає як працівник (не підрядник) роботодавця або рекрутерської агенції — то на нього/неї поширюються ті ж обов’язки, що поширюються на компанію, яка найняла самого рекрутера. Зазвичай вони будуть втілені у тих договорах, які підписала компанія, і внутрішніх політиках з обробки даних, які доводяться до відома рекрутера як робоча інструкція.

Питання 3. Як підійти до процесу комплаєнсу з GDPR?

Неможливо виділити один, універсальний для всіх компаній і процесів шлях до комплаєнсу. Кожна компанія самостійно вирішує, чого їй не вистачає і що ще треба зробити, щоб відповідати всім вимогам GDPR.

На обсяг і порядок роботи над комплаєнсом впливають дані, які обробляє рекрутер; країни, у яких він чи вона діють; правила і функціонал сайтів і програм, що використовує рекрутер; підходи до рекрутингу, які рекрутер вважає за доцільне вжити; особливості окремих вакансій; вимоги володільця до людей, яких він хоче мати у своєму штаті і багато інших факторів.

Після встановлення ролі і скоупу обов’язків, рекрутеру слід перевірити, чи правильно були підібрані правові підстави. Для цього йому або їй потрібна інформація про дані, які збираються, цілі і способи їх обробки, а також ролі рекрутера та роботодавця. Від вибору правової підстави залежить, наприклад, подальше спілкування з кандидатом:

  • чи може кандидат відкликати свою згоду на подальшу участь у відборах на інші вакансії;
  • як рекрутер може виконати прохання кандидата видалити персональні дані (і чи зможе взагалі);
  • чи може рекрутер додатково звертатися до кандидата з рекламою своїх послуг або рекомендаціями послуг інших компаній;
  • чи може рекрутер обмінюватися своєю базою кандидатів з іншими рекрутерами і так далі.

У більшості випадків рекрутер буде покладатися на наступні правові підстави:

  • згода кандидата (на комунікацію про інші, схожі вакансії у майбутньому; на передачу його даних іншому рекрутерові або іншому роботодавцеві; на отримання інформації про послуги рекрутера або його бізнес-партнерів тощо);
  • виконання договору або вступ у договірні відносини з ініціативи кандидата (проведення інтерв’ю, ознайомлення з наданим CV, комунікація прогресу розгляду кандидата на посаду роботодавцем тощо);
  • вимога закону (збір інформації про судимість, спеціальний статус, наявність дітей чи членів родини на утриманні, громадянство), якщо, наприклад, вакансії подає державний орган чи державне підприємство у сфері оборони, або якщо необхідно подати інформацію в органи соціальної безпеки;
  • законний інтерес рекрутера, якщо тільки права кандидата не переважають інтерес рекрутера (наприклад, для розвитку власного бізнесу, покращення бізнес-процесів, створення нових пропозицій і продуктів або розслідування шахрайства).

Важливо обирати тільки одну правову підставу і не намагатися їх дублювати, щоб уникнути втрати персональних даних (наприклад, покладатися на договір і згоду при зборі даних для виконання однієї цілі на випадок, що щось одне зникне). Вибір правової підстави сильно впливає на всі інші кроки для досягнення комплаєнсу з вимогами, що покладені на рекрутера (та на роботодавця, якщо рекрутер виступає розпорядником даних щодо кандидата).

Також одразу розвіємо міф про згоду на обробку даних як універсальний засіб — це не так! Згоду за всіма правилами GDPR отримати і підтримувати часто набагато складніше, ніж покластися на іншу правову підставу (наприклад, договір).

Наприклад, згода можлива лише у тому випадку, коли вона надається добровільно і не тягне за собою негативних наслідків для кандидата: оскільки заробітна плата часто є єдиним способом забезпечити собі їжу та житло, безробітний кандидат просто не може відмовитися надати дані про себе, які просить роботодавець, і ця згода не може вважатися вільною через дисбаланс у владі між роботодавцем та працівником.

Інколи збирати дані під згодою буде просто неправильно: наприклад, якщо закон зобов’язує зібрати дані людини для передачі їх у державний орган, відкликання згоди кандидата буде фактично неможливим, а це підірве довіру кандидата і додатково може ще й потягти за собою порушення самого GDPR!

Попередній план дій

Отже, на основі всього матеріалу у статті, ваші кроки щодо комплаєнсу можна зібрати у певний попередній план:

  1. Провести аудит всіх даних:
    1. Які дані рекрутер збирає у власних цілях?
    2. Які дані рекрутер збирає, щоб закрити вакансію?
    3. Чи не збирає рекрутер більше даних, ніж дійсно необхідно?
    4. Чи правильно рекрутер або володілець підібрав правову підставу для обробки?
    5. Чи захищені дані?
    6. Чи не зберігаються дані довше, аніж необхідно?
  2. Переконатися, що рекрутер правильно і повно інформує кандидата про те, як будуть оброблятися його дані.
  3. Підписати угоди про обробку даних з володільцями даних, рекрутерами та інтернет-сервісами з країн поза ЄС, які беруть участь в процесах обробки персональних даних (наприклад, CRM або календарі).
  4. Подбати про те, щоб дані вчасно видалялися, коли у них відпадає потреба (у тому числі у кінці строку обробки даних, про який повідомили кандидата).
  5. Переконатися, що дані не збираються без певної, заздалегідь визначеної цілі.
  6. Видалити всі дані, що були зібрані не від кандидата напряму і якщо про цей збір кандидата не повідомили протягом місяця після збору даних не від кандидата.
  7. Подбати, щоб всі документи про обробку даних були створені і підтримувані в актуальному стані.
  8. Вжити необхідних заходів, щоб персональні дані оброблялися і зберігалися у безпеці.
  9. Провести низку навчальних івентів, щоб колеги знали про вимоги GDPR та вміли виконувати свої задачі так, щоб не порушувати правила обробки персональних даних.

Реалізація такого плану може тривати багато місяців, і це нормальний процес. Однак виконання всіх пунктів не гарантує комплаєнс: необхідно буде постійно переглядати всю програму менеджменту персональними даними (що охоплює документи, процеси, людей та ресурси на реалізацію), щоб її покращувати та адаптувати під нові бізнес-процеси, закони, ринки та навіть окремі оперативні задачі.

Бонус. Що є ще, окрім GDPR

Національні закони і акти

Деякі країни ЄС мають власні національні закони, які зобов’язують компанії під суверенітетом цієї країни обробляти персональні дані у певних межах або за певними додатковими правилами. Ці норми можуть міститися в окремому законі про захист персональних даних, трудовому законодавстві, законах про захист працівників, антидискримінаційних актах тощо.

Також слід враховувати позицію наглядового органу з питань захисту персональних даних цієї країни: вони видають спеціальні консультації та інструкції, в яких тлумачать правила GDPR у різних контекстах.

Вимоги володільця

Якщо рекрутер працює незалежно від роботодавця (наприклад, на аутсорсі), то окрім покладених на рекрутера напряму вимог GDPR, йому або їй доведеться додатково ще дослухатися до (1) інструкцій володільця, описаних у вакансії, договорі на послуги рекрутера, специфікаціях, вакансії, очікувань кандидата тощо; та (2) умов договорів про конфіденційність і договорів про обробку персональних даних (якщо рекрутер або роботодавець працюють поза межами ЄС).

Володілець даних несе основну відповідальність за неправильну обробку даних, тому важливо, щоб його інструкції були юридично правильними та виконувалися рекрутером неухильно.

Організації роботодавців або рекрутерів

У деяких країнах питання обробки персональних даних при наймі на роботу або працевлаштуванні можуть фіксуватися у колективних угодах або внутрішніх правилах професійних асоціацій, яких повинні дотримуватися члени такої організації.

Важливо заздалегідь з’ясувати, у чому вони полягають, щоб інкорпорувати їх у свою програму комплаєнсу.

Рішення Європейського суду справедливості (CJEU або ECJ)

Вищий судовий орган Європейського Союзу видає рішення, у яких тлумачить положення актів ЄС, у тому числі GDPR.

Ці рішення стосуються лише конкретних осіб, або вони де-факто обов’язкові до виконання для всіх, чиї процеси обробки персональних даних ідентичні до предмета спору, але розходяться з рішенням Суду.

Інструкції European Data Protection Board

EDPB випускає багато гайдлайнів і рекомендацій для компаній, які повинні виконувати GDPR. Вони стосуються прикладних аспектів. Хоча вони не мають формальної сили закону, але є джерелом тлумачення пунктів GDPR і віддзеркалюють поточну доктрину від фахівців з питань захисту персональних даних.

Можуть існувати й інші фактори, що впливають на процеси обробки даних конкретно у вашому випадку. Про них можна запитати у вашого DPO або CPO (Chief Privacy Officer) або звернутися до позаштатного фахівця, якщо є сумніви.

Робота з кандидатами — це завжди робота з персональними даними. Довіру кандидата можна здобути не лише ввічливістю та повагою до його часу, але і готовністю продемонструвати, що рекрутер знає та вміє дотримуватися вимог законів про захист персональних даних, та відкритий до запитів кандидата.

Може здатися, що робота над програмою з менеджменту персональних даних надто велика для невеликої організації — але важливо почати, а далі всі процеси та документи лише сприяють налагодженню роботи з кандидатами (особливо в інтернеті) та зменшенню психологічного напруження від відчуття втручання у чужий особистий простір. Рекрутер, який поважає приватність майбутнього працівника, відчувається як партнер, що сприяє пошуку роботи і при цьому поважає кандидата як людину і оберігає її від зайвого стресу.

Якщо маєте додаткові запитання або хочете поділитися досвідом і цікавими кейсами — в коментарі під статтею або мені на імейл.

👍ПодобаєтьсяСподобалось5
До обраногоВ обраному3
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Галери, які отримали персональні дані працівників (незалежно в процесі найму чи людина працювала по контракту), не мають права передавати ці дані лівим особам (друзям-галерам, рекрутинговим агентствам і т.п) без дозволу самої особи (ні телефони, ні емейли та іншу персональну інформацію, як вони полюбляють). Тепер це не тільки вимоги ЕС, а й питання безпеки цінних спеціалістів.

Як загальне правило у нашій континентальній системі — вірно: заборонено, якщо тільки немає правової підстави передавати (наприклад, ухвали суду або попередньої згоди кандидата, що його дані будуть передані іншим особам). Інколи компанія передає дані своїм процесорам (розпорядникам даних), але останні не мають права в такому випадку використовувати ці дані у власних цілях. Тому краще просити розповісти про те, що компанія планує далі з цими даними робити, якщо є сумніви, що про приватність у компанії дбають)

Ну і передавати чужі контакти комусь без згоди людини — банально неввічливо і небезпечно навіть у мирні часи. Принаймні, людина, чиї контакти передають, заслуговує знати, що їй можуть зателефонувати і хто саме буде на іншому кінці.

Підписатись на коментарі