Wejście w życie unijnych przepisów o ochronie danych osobowych wymusza zmiany w rekrutacji pracowników. Zgodnie z nowymi przepisami pracodawca stanie się administratorem danych osobowych. Oznacza to, że będzie zobowiązany dostosować swoje dokumenty i procedury do unijnych regulacji.

Nowe klauzule w rekrutacji

Dotychczas stosowane klauzule o przetwarzaniu danych osobowych na gruncie przepisów RODO będą niewystarczające. Ponadto, zgodnie z nowymi regulacjami, informacje te muszą być formułowane w sposób jasny i przejrzysty. Język informacji musi być zrozumiały i prosty. Zgodnie z zasadą rozliczalności pracodawca powinien być w stanie wykazać zrealizowanie obowiązku informacyjnego zgodnie z treścią RODO.

Więcej obowiązków wobec pracowników

RODO nakłada na pracodawców więcej obowiązków nie tylko względem kandydatów do pracy. Również wobec pracowników trzeba będzie spełnić obowiązek informacyjny. Dane pracowników będą musiały być przetwarzane w sposób zapewniający realizację praw podmiotów tych danych.

Zgodnie z RODO pracownicy muszą mieć zapewnione następujące prawa:

  • prawo dostępu do przetwarzanych przez pracodawcę danych,
  • prawo do sprostowania i do usunięcia danych (a więc tak zwane "prawo do bycia zapomnianym"),
  • prawo do ograniczenia przetwarzania,
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu
  • zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach.

Wdrożenie środków do realizacji obowiązków

W celu prawidłowej realizacji nałożonych obowiązków pracodawca musi wdrożyć odpowiednie środki techniczne i organizacyjne. Między innymi jest zobowiązany do wprowadzenia zmian w systemach przetwarzających dane. Ma to na celu umożliwienie zrealizowania praw pracowników. Na przykład w ramach zrealizowania prawa dostępu do danych pracodawca musi mieć możliwość wygenerowania kopii danych pracownika. Będzie to dla pracodawców obowiązek szczególnie uciążliwy, gdyż zgodnie z zapisami RODO pracownik będzie mógł zażądać dostępu do wszystkich swoich danych oraz wydania ich w formie kserokopii.

Pracodawca musi również przygotować odpowiednie procedury realizacji praw podmiotów danych, w zakresie wewnętrznej obsługi realizacji zgłaszanych żądań. Jest również zobowiązany do przygotowania polityki prywatności opisującej, w jaki sposób podmioty danych mogą zgłaszać swoje żądania dostępu do danych.

Unijne rozporządzenie wejdzie w życie 25 maja. Przygotowania należy jednak rozpocząć jak najszybciej.