Hogyan érinti a GDPR a toborzókat?

Hogyan érinti a GDPR a toborzókat?

Kinyomtatott CV-k az iroda sarkában egy polcon? Minden dolgozó számára elérhető webes mappában tárolt önéletrajzok? Korábbi pályázóknak küldött céges marketinganyagok? Email címek gyűjtése weboldalakról? Drága mulatság lehet egy cégnek, ha így cselekszik május 25-e után. A hatályba lépő EU-s adatvédelmi rendelet (GDPR) 20 millió eurós bírságot is jelenthet. Mit lehet tenni? Ügyvéd szakértővel vesszük át a legfontosabb teendőket.

Szigorú szabályokat vezet be a magánszemélyek adatainak védelmére az Európai Unió rendelete, amely 2018. május 25-én lép hatályba (GDPR: General Data Protection Regulation, általános adatvédelmi rendelet). Rekordbírság fenyegeti mindazokat, akik szándékosan vagy „csak” trehányságból törvényt szegnek. Fontos kiemelni, hogy nemcsak a digitálisan tárolt személyes adatokról van szó, hanem mindenféle hordozóról, tehát a papírról is.

“Az összes olyan cégre és intézményre vonatkozik a GDPR, ahol személyes adatokat kezelnek” - mondja Oláh Zsófia, az OPL Ügyvédi Iroda munkajogi csoportját vezető ügyvédje, aki évek óta látja el munkajogi tanácsokkal cégek HR-eseit. Tehát a hatóság már egy-két elszórt vagy bárki által hozzáférhető személyzeti akta miatt is büntethet majd - legyen az dossziéban, pendrájvon, PC-n. Mindez senkit nem kéne meglepetésként érjen, hiszen a felelős adatkezelést már jó ideje előírja a hazai „infotörvény” (információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény).

GDPR - Teendők május 25-e előtt:


  • Mérjük fel, hol és milyen adatokat tárolunk magánszemélyekről, és ne feledkezzünk meg a „külső” helyekről sem (partnercég, IT-szolgáltató, felhő)
  • Csak a valóban szükséges személyi adatok legyenek a cégnél (akár digitálisan, akár papíron), és azok is csak a szükséges ideig
  • Gondoskodjunk a megfelelő tárolásról (erős jelszavak, titkosítás, zárt iratszekrény stb.)
  • Mindent, ami szükségtelen, meg kell semmisíteni, a „delete” gomb vagy az „összetépés” helyett szakszerűen (az anyag még részben se legyen helyreállítható)
  • Ezentúl csak a kijelölt személyek férjenek hozzá az adatokhoz
  • Meglévő és új programjaink, eljárásaink, tájékoztatóink, nyilvántartásaink felépítése feleljen meg az elöljáróban említett „beépített adatvédelemnek” (Privacy by Design)
  • Dokumentáljuk a lépéseket.

Nem csak a magasabb bírságról szól

Bár sok helyen a legfőbb újdonságként a magas bírságot emelik ki, ennél azonban sokkal többről van szó. A GDPR-ral az Európai Unió az adatvédelmet a kiemelt figyelmet kapó területek közé emelte. A korábban tagállami szinten számos eltérést megengedő szabályozás helyett az új rendelet egységes alapelveket és főbb szabályokat határoz meg, amelyek közvetlenül alkalmazandóak az egyes tagországokban. Az új jogszabály megteremtette a lehetőségét annak, hogy az adatkezelő cégeken sokkal nagyobb fokú adatvédelmi transzparenciát kérjenek számon. Számos nyugat-európai és a magyar hatóság készülődéséből is az látszik, hogy mindezt nem csak jogszabályban, hanem a végrehajtás, számonkérés szintjén is komolyan akarják venni.

Nem elég kipipálni, proaktivitás kell

Az az elvárás, hogy az adatvédelem és az adatbiztonság szempontrendszere beépüljön a cégek mindennapi működésébe (ez az ún. Privacy by Design). Már az egyes tevékenységek (pl. új termék, szolgáltatás bevezetése) tervezésekor, és utána a teljes megvalósítás során figyelemmel legyenek erre, és nem csak jogi, hanem legalább annyira technikai, informatikai szempontból is.

Újdonság az extrém magas bírság

“Súlyos esetben akár 20 millió eurót (6,2 milliárd forint) - vagy az éves forgalom 4%-át, de a kettő közül a nagyobbik összeget - elérő büntetés célja az, hogy mindenki komolyan vegye: felelősségteljesen kell bánni a magánszemélyek adataival” - jegyzi meg Oláh Zsófia. A szakember hozzáteszi: fontos, hogy a cégeknél kigyulladjon a piros lámpa, ha magánszemélyek adataival dolgoznak vagy gyűjteni szándékoznak. A magánszemélyeket pedig öntudatosságra, a saját adataik felett való rendelkezésre neveli.

A bírságolásról pedig az egész EU-ban egységes szempontok alapján kell dönteni, ami azonos szankciókat is jelent. Fontos például a jogsértés jellege, súlyossága, időtartama – és esetleg visszatérő mivolta – a hatósággal való együttműködés (vagy ennek megtagadása). Az is, hogy az adatkezelő (vagy feldolgozó) tett-e bármit a kár enyhítésére. Valamint korábban meghozta-e a megfelelő technikai és szervezési intézkedéseket. Persze aki még jelentős hasznot is húzott a jogsértésből, az igen komoly bírsággal számolhat.

Vége az anonim álláshirdetéseknek

Mit jelent ez egy munkaerő-közvetítő szempontjából? “Például azt, hogy nem lehet anonim álláshirdetést feladni” - válaszol Oláh Zsófia. A felhasználónak tudnia kell, hogy ha elküld egy önéletrajzot, akkor hová kerülnek az adatai és ki kezeli őket. “Ha egy fejvadász cég vagy állásportál csak előszűri a CV-ket és továbbítaná a megbízónak, akkor ahhoz is hozzájárulást kell kérnie a pályázótól” - mondja Oláh Zsófia.

Mi a helyzet a közösségi médiában elérhető adatokkal, például a LinkedIn oldalon található profilokkal? “Csak a nyilvánosan látható profilok használhatóak, zárt csoportokban nem lehet keresni. Kifejezetten tiltott a személyes bemutatkozó oldalakat az érintettek egyértelmű hozzájárulása nélkül lementeni, tárolni” - teszi hozzá Oláh Zsófia.

Értesíteni kell a sikertelen pályázót

Mi a helyzet sikertelen álláspályázat esetén? Értesíteni kell az érintetteket az eredményről és arról is, hogy mi történik személyes adataikkal. Ez az, amire manapság még mindig sok munkaadó nem fektet hangsúlyt, azzal az indokkal, hogy “nincs rá kapacitása”. Nem elégséges.

A munkaadó ilyenkor két opció közül választhat. Vagy értesítést küld a jelöltnek, hogy személyes adatait megsemmisítették vagy engedélyt kér a tároláshoz. Itt is meg kell azonban jelölni, hogy miért kéri (például egy újabb szóba jöhető állásajánlat miatt), mennyi ideig, kik férhetnek hozzá és kihez fordulhat a jelölt probléma, kérdés esetén.

Versenyelőny lehet a transzparencia

Oláh Zsófia hozzáteszi: A nagy számú pályázatot kezelő és eddig az adatkezelésre kevéssé érzékeny toborzócégeknek a GDPR-nak való megfelelés valóban egy egyszeri komolyabb befektetést jelent: felmérés, szabályzatok, eljárásrendek kialakítása vagy módosítása, technikai feltételek ellenőrzése, biztosítása, megerősítése szükséges. Akinél azonban ez meglesz, és a gyakorlatban is alkalmazza őket, az nem csupán a bírságok veszélyétől menekül meg, hanem kifelé transzparenciát, megbízhatóságot, profizmust sugároz az álláskeresők felé és ez versenyelőnyt jelent számára a recruitment piacon.