Nič več pozabljenih map z zavrnjenimi kandidati

Uredba o varstvu osebnih podatkov (GDPR), ki bo začela veljati v drugi polovici maja, bo vplivala tudi na kadrovanje. Kadrovik bo življenjepise zavrnjenih kandidatov smel hraniti le, če bo imel njihovo dovoljenje za to oziroma jih bo o tem obvestil že z razpisom.

Ko posameznik na podlagi objave prostega delovnega mesta potencialnemu delodajalcu pošlje prijavo, s tem samodejno dovoli obdelavo svojih podatkov, vendar samo v te namene, torej za zapolnitev konkretnega delovnega mesta. Po končanem selekcijskem izboru morajo življenjepise neizbranih kandidatov uničiti. A marsikdaj se zgodi, da podjetje zavrnjenega posameznika v naslednjih mesecih ponovno povabi na razgovor za isto ali pa drugo delovno mesto. Podjetja na ta del obdelave osebnih podatkov pogosto pozabijo, opozarja odvetnica Nataša Pirc Musar. V skladu z GDPR bo kadrovik, ki bo hranil takšne vloge, nadzorniku za varstvo osebnih podatkov moral pojasniti pravni temelj za to.

Slednji je v tem primeru lahko privolitev. Torej bo delodajalec zavrnjene kandidate moral pisno vprašati, ali dovolijo njihovo vlogo shraniti za morebitne druge razpise v prihodnosti, in od njih dobiti dovoljenje. »Pomembno je, da je natančno opredeljen namen hrambe, smiselno pa je dodati še obdobje, za katerega kadrovik želi arhivirati dokument. Predlagam na primer dve leti, po tem času je življenjepis tako ali tako praviloma že zastarel,« pojasnjuje odvetnica Pirc Musarjeva.

Druga, za podjetje enostavnejša možnost je, da že v razpisu navede, da bo vloge neizbranih kandidatov hranilo npr. dve leti po poteku razpisa »za morebitne druge razpise, ki bi ustrezali kandidatovemu profilu«. Posameznik mora v ta predlog podjetja privoliti s svojim aktivnim dejanjem, recimo odkljukati okence pred zapisano privolitvijo. Posameznik to strinjanje lahko navede tudi sam, ko pošilja prošnjo.

Če ni razpisa in baze na portalih

Kandidati ponudbe za delo pogosto pošiljajo sami, ne da bi bil prej objavljen razpis, nekatera podjetja omogočajo vpis v njihove baze kandidatov prek spleta, svoje življenjepise lahko vnašamo tudi v baze zaposlitvenih portalov. »Tudi tu GDPR ne prinaša večjih sprememb, saj posameznik, ki odda vlogo, pozna namen uporabe, denimo, da bo zaposlitveni portal podatke lahko posredoval ustreznim podjetjem,« pojasnjuje Pirc Musarjeva.

Vendar če bodo upravljavci te podatke hoteli uporabiti še za drug namen, morajo to natančno opredeliti v splošnih pogojih (obvestilna dolžnost). Pri tem pa morajo omogočiti, da posameznik za vsak namen posebej (in ne več za vse skupaj) izbere, ali se strinja ali ne. »GDPR ne dovoljuje več vnaprej odkljukanih polj, kjer posameznik kljukico izbriše, če se z njo ne strinja, ampak mora biti obratno,« opozarja odvetnica.

Novost je tudi, da mora biti uporabnik vnaprej seznanjen, komu upravljavec namerava posredovati zaupane podatke. Podjetje, kateremu je nekdo poslal ponudbo za delo, to lahko drugim posreduje samo, če imajo skupno kadrovsko službo. Torej tudi ne podjetju iz skupine – razen, če je kandidat za zaposlitev že ob vnašanju svojih podatkov o tem seznanjen (in se strinja).

Pirc Musarjeva opozarja na še en vidik: posameznik ima pravico, da prekliče svojo privolitev, torej se iz baze izpiše, kadarkoli želi. »Uredba je tu zelo jasna: če je podjetje na e-način pridobilo določeno privolitev, mora izpis iz baze omogočiti na enak način.« To, da mora upravljavec baze omogočiti e-pot za izbris, je novost po GDPR.