Adatvédelmi egyszeregy, avagy GDPR kisokos HR-eseknek
Előző heti bejegyzésünkben a GDPR (az EU új adatvédelmi rendelete) legfontosabb célkitűzéseit tekintettük át röviden, és egyben beharangoztuk, hogy a következő néhány bejegyzésünkben az adatvédelem, és főleg a GDPR HR-t éri
Előző heti bejegyzésünkben a GDPR (az EU új adatvédelmi rendelete) legfontosabb célkitűzéseit tekintettük át röviden, és egyben beharangoztuk, hogy a következő néhány bejegyzésünkben az adatvédelem, és főleg a GDPR HR-t érintő egyes kérdéseinek bemutatására vállalkozunk. Ennek soron következő állomásaként mai bejegyzésünkben a toborzással kapcsolatos adatvédelmi kérdéseket vesszük szemügyre. Mielőtt azonban ebben elmerülnénk, rövid szemle erejéig érdemes megemlékezni az elmúlt napok GDPR-ral kapcsolatos eseményeiről.
Az első hét – és ami benne volt
A Kormány – a GDPR hatályba lépését övező, gyakran igen látványos aggodalmakra reagálva – múlt kedden bejelentette, hogy a kkv-k első botláskor mentesülést kaphatnak az adatvédelmi rendelet alapján kiszabható bírságok alól. Trócsányi László igazságügyi miniszter be is nyújtotta az Infotörvény (információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény) módosításáról szóló javaslatát az Országgyűlésnek.
A módosító javaslat szövege nem említi a kkv-kat, csak annyit mond, hogy a hatsóág első jogsértés észlelése esetén elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik. Ez a szabály tehát a multinacionális cégekre is vonatkozik. A javaslat indokolásának megfogalmazása szerint azonban a szabályokat "eredeti rendeltetésüknek megfelelően, vagyis elsősorban a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni."
Azt is fontos kiemelni, hogy sem a törvénymódosítás, sem a GDPR alapján nem kizárt, hogy a hatóság első alkalommal történő jogsértés esetén már bírságoljon. Első, de súlyos jogsértés esetén minden vállalkozásnak bírságkockázattal kell számolnia.
Toborzás – és ami hozzá kell
Ami pedig – ígéretünkhöz híven – a toborzással kapcsolatos gyakorlati tennivalókat illeti: fejvadászként, vagy egy adott cég toborzásért felelős HR-eseként érdemes tisztában lennünk azzal, hogy milyen szabályokat kell betartanunk az állásra jelentkezők személyes adatainak kezelésekor. Érdekesség, hogy a vonatkozó szabályok nagy része Magyarországon eddig is érvényben volt, a kevésbé súlyos szankciók és a viszonylag ritkább számonkérés miatt azonban ezek betartása finoman szólva sem tartozott mindig a cégek prioritásai közé.
Mi lehet az adatkezelés jogalapja?
Mielőtt bármilyen, adatkezeléssel kapcsolatos probléma elemzésébe belefognánk, fontosnak tartjuk rögzíteni, hogy egyáltalán melyek is a személyes adatok: ebbe a körbe tartozik minden olyan adat, amely alapján akár közvetlenül, akár közvetve, de a természetes személyek beazonosíthatóvá válnak.
És hogy az ilyen adatokat hogyan és mikor kezelhetjük? Az adatkezelésnek a munka világában általában háromféle jogalapja lehet: (i) feljogosíthat adatkezelésre valamilyen törvény (pl. bérszámfejtéssel kapcsolatos, kötelezően kezelendő adatok), (ii) a munkáltató jogos érdeke, valamint (iii) az érintett hozzájárulása. A toborzással, fejvadászattal, munkaerő-kölcsönzéssel foglalkozó cégek esetében az utóbbi, az érintett hozzájárulásán alapuló adatkezelés szabályai az irányadóak, mivel az említettek tevékenységének jellegéből fakadóan törvényi felhatalmazást nem találunk.
De mit jelent mindez a gyakorlatban?
Az egy adott állásra pályázók számára hozzáférést kell biztosítani a cég által tárolt adataikhoz, és részletes tájékoztatást kell adni nekik arról, hogy ki és milyen célból és meddig férhet azokhoz hozzá. Ismertetni kell az érintett adatkezeléssel összefüggő jogait is, tovább azt, hogy ezekkel a jogaival az érintett hogyan tud élni.
Ez akkor is így van, ha egy fejvadász cég vagy állásportál csak előszűri és továbbítja az önéletrajzokat a jelölteket kereső megbízójának. Ennek a követelménynek egyenes következménye az is, hogy néhány rendkívüli eset kivételével nem lehet anonim álláshirdetéseket feladni, hiszen ilyenkor indokolatlanul sérülnének a pályázók személyes adatokhoz fűződő jogai.
Hogy mi a helyzet a jelentkezők közösségi oldalakon fellelhető adatainak böngészésével? A jelentkezőket egyrészt előzetesen tájékoztatni kell arról, hogy ez a megoldás a kiválasztási folyamat részét képezi. A közösségi oldalakon másrészt pedig csak az álláspályázattal, munkaviszonnyal kapcsolatos lényeges és nyilvános információkat lehet megnézni, ezeket pedig sem lementeni, sem tárolni nem lehet. Zárt csoportokban keresni nem lehet.
Az érintetteket az eredményről éppúgy értesíteni kell, mint személyes adataik további sorsáról. Sikertelen pályázat esetén a jelölt személyes adatait vagy törölni kell vagy engedélyt kell kérni a további, meghatározott ideig tartó tároláshoz a cél, és az adatokhoz hozzáférő személyek megjelölésével.
A felsorolt egyértelmű és pontos tájékoztatásokat szinte minden esetben kifejezett hozzájárulásnak kell követnie. A hozzájárulás visszavonása esetén pedig a személyes adat nem tárolható tovább.