GDPR & HR

CE TREBUIE SĂ ȘTIM CÂND RECRUTĂM?

1. Care sunt principiile de bază ale GDPR și cum se leagă de

recrutare?

În ceea ce privește activitatea de recrutare, Regulamentul GDPR se referă la:

• Candidații sau "persoanele vizate". Candidații sunt persoanele vizate, deoarece pot
fi identificate prin intermediul datelor cu caracter personal pe care le furnizează
companiilor. De exemplu, CV-urile lor pot include numele, adresele fizice sau numerele
de telefon. GDPR există pentru a proteja acest tip de date.
• Angajatorii sau "operatorii de date". Angajatorii sau persoanele care se ocupă de
recrutare și acționează ca un reprezentant al societății în relația cu candidații scopul
colectării datelor cu caracter personal ale candidaților. Acest lucru este făcută de
operatorii de date cu caracter personal care sunt pe deplin responsabili pentru
protejarea datelor candidatului și folosirea acestor date în mod legal.
• Sistemele de urmărire a candidatului și alte programe similare/servicii de
recrutare sau "persoanele împuternicite". Cum ar fi de exemplu sistemele de
software care fac tracking intern al candidaților și care sunt persoane împuternicite
deoarece prelucrează datele candidatului în numele companiei dvs., în conformitate
cu instrucțiunile companiei. Persoanele împuternicite au deseori "persoane
subîmputernicite" (de exemplu, este posibil ca o platformă de genul acesta să
folosească o platformă cloud pentru a-și implementa sistemul.)

2. Cum afectează GDPR recrutarea?

Mai jos găsești câteva elemente-cheie care afectează activitatea zilnică a persoanelor care
se ocupă de recrutare:

• Aveți nevoie de un interes legitim pentru a prelucra datele candidatului. Regulamentul

GDPR vă obligă să colectați date numai pentru "scopuri specifice, explicite și legitime".
Aceasta înseamnă, de exemplu, că puteți să obțineți date candidaților, atâta timp cât
colectați informații legate de serviciu și intenționați să contactați candidații vizați în
termen de 30 de zile, de exemplu.
• Trebuie să aveți consimțământul candidaților pentru a procesa date sensibile.
Regulamentul GDPR vă cere să solicitați consimțământul atunci când doriți să
procesați informații precum date de sănătate, opinii, viziuni politice, date biometrice
etc. În aceste cazuri, trebuie să cereți consimțământul într-un mod clar și inteligibil și
să oferiți candidaților instrucțiuni clare cu privire la modul de retragere a
consimțământului, în cazul în care aceștia își doresc.
• Trebuie să fiți transparent în privința procesării datelor candidatului. Companiile
trebuie să aibă politici clare de confidențialitate, iar persoanele care se ocupă de

Avocatoo KIT GDPR 1

 Fă-ți singur implementarea la GDPR!
https://legalup.avocatoo.ro

recrutare sunt obligate să pună aceste politici la dispoziția candidaților și să îi

informeze despre prelucrarea datelor personale anterior prelucrării datelor. De
asemenea, trebuie să dezvăluiți unde veți stoca datele candidaților și să precizați că
veți utiliza aceste date numai în scopuri de recrutare.
• Trebuie să vă asumați responsabilitatea pentru conformitate (responsabilitate).
Compania dvs. trebuie să poată demonstra conformitatea cu Regulamentul GDPR. De
exemplu, conform Regulamentului GDPR, compania dvs. este responsabilă pentru
securitatea datelor în cazul colaboratorilor săi (cum ar fi platformele de intermediere
angajați-candidați). În cazul în care partenerii comerciali ai dvs. nu respectă legea,
compania dvs. este responsabilă.

De asemenea, sunteți obligat să vă conformați atunci când candidații își exercită drepturile
în temeiul Regulamentului GDPR:

• Candidații au dreptul de a fi uitați. Candidații au dreptul să vă ceară să ștergeți

și să opriți prelucrarea datelor cu caracter personal ale acestora. Trebuie să
localizați fiecare loc în care păstrați informațiile (de exemplu, tabele în excel) și să
ștergeți informațiile în termen de o lună de la primirea solicitării candidatului.
• Candidații au dreptul să acceseze datele lor și să vă ceară să le rectificați.
Candidații au dreptul să ceară acces la datele pe care le dețineți despre ei. Ei pot
cere să modificați orice neconcordanță (fie că vorbim de modificare propriu-zisă a
datelor sau de completarea acestora). Trebuie să răspundeți ambelor solicitări în
termen de o lună și să le oferiți candidaților o copie gratuită, electronică a propriilor
date personale.

3. Ce ar trebui să facă angajatorii pentru a fi conformi cu GDPR?

3.1. Cartografiați (mapați) datele de recrutare

Unul dintre primele lucruri pe care compania dvs. trebuie să le facă pentru a se pregăti pentru
GDPR este să efectueze un audit de date la nivelul întregii companii. Acest proces va arăta
ce fel de date colectează organizația dvs., cum, de ce și de unde.

În ceea ce privește datele în cadrul procesului de recrutare, trebuie să fiți foarte clari despre
locul și modul în care găsiți și unde stocați numele candidatului și detaliile de contact, precum
și alte informații de identificare. Iată câteva întrebări la care ar trebui să puteți răspunde la
finalizarea auditului de date:

• Care sunt sursele de unde găsim candidații și cum colectăm datele

personale? Un exemplu ar fi colectarea datelor candidaților prin intermediul
formularelor de candidatură legate de anunțurile dvs. privind locurile de muncă
vacante.
• Ce fel de date colectăm și cât de mult folosim din ele de fapt? Un exemplu
este solicitarea către candidați să furnizeze adresa de e-mail, adresa de domiciliu

Avocatoo KIT GDPR 2

 Fă-ți singur implementarea la GDPR!
https://legalup.avocatoo.ro

și numărul de telefon (dar avem nevoie și de adresa de domiciliu în etapa asta?).

Trebuie să fiți sigur că toate aceste informații sunt necesare pentru recrutarea dvs.
(pe baza interesului legitim), altfel nu ar trebui să le colectați.
• Cum folosim datele personale în operațiunile noastre? Un exemplu ar fi
utilizarea datelor candidaților pentru a examina candidații și a analiza capacitatea
lor de a merge mai departe la interviu.
• Unde stocăm datele și cine are acces la ele? Un exemplu ar fi stocarea datelor
candidaților în tabele în excel sau o aplicație specifică și partajarea (împărțirea)
acestora cu echipe care se ocupă de procesul de angajare.
• Cum funcționează fluxul de date în cadrul
companiei/proceselor/funcțiilor/departamentelor? Un exemplu ar fi modul în
care informația candidatului este transferată de la sursele care colectează la
angajatori, apoi la echipele care se ocupă efectiv de recrutare astfel încât acestea
să poată contacta efectiv candidații.
• Care sunt procesele noastre pentru partajare, transfer, modificare și ștergere
de date? Din nou, dacă utilizați tabele în excel pentru a urmări datele candidatului,
ce proces aveți implementat pentru corectarea inexactităților privind datele sau
partajarea documentelor?

3.2. Creați o politică de confidențialitate și prelucrare a datelor în cadrul

procesului de recrutare

Compania dvs. trebuie să dispună de o politică de confidențialitate transparentă care să

explice modul în care colectează, procesează și protejează datele și oferă instrucțiuni
persoanelor vizate cu privire la modul de a solicita companiei dvs. să șteargă și să rectifice
datele. În plus față de această politică de confidențialitate, compania dvs. poate considera util
să aibă o notificare de confidențialitate pentru recrutare. Această notă va adresată direct
candidaților și ar trebui să includă toate informațiile solicitate de articolul 13 și articolul 14 din
GDPR, precum și o trecere în revistă a acțiunilor companiei dvs. pentru a asigura protecția
datelor, precum:

• Numele și datele de contact ale organizației dvs. Dacă ați desemnat un

responsabil de protecție a datelor (DPO), includeți și datele de contact ale acestuia.
• O declarație conform căreia toate datele solicitate vor fi utilizate numai în
scopuri de recrutare. Trebuie să explicați inclusiv interesul legitim.
• Tipurile de informații despre un candidat care se află în compania dvs.
Acestea ar putea fi detalii de contact, profiluri pe rețelele sociale și profesionale,
educație și experiență de lucru.
• Cu cine veți împărți datele. De exemplu, dacă sunteți un consultant de recrutare,
puteți împărtăși aceste date clienților dvs.
• Unde găsiți datele despre candidați. Este important să menționați că utilizați în
mod legal sursele respective.

Avocatoo KIT GDPR 3

 Fă-ți singur implementarea la GDPR!
https://legalup.avocatoo.ro

• Unde se face prelucrarea și unde stocați datele. Acest lucru este important în
special dacă transferați date în afara UE.
• Cât timp organizația dvs. intenționează să stocheze datele fiecărui candidat.
Dacă acest lucru nu este posibil, trebuie să explicați ce criterii aveți în vedere cânt
stabiliți această perioadă.
• Drepturile candidaților. Acestea includ dreptul de a fi uitat, de a rectifica sau de
a accesa date, de a limita prelucrarea, de a retrage consimțământul, de a fi informat
cu privire la prelucrarea datelor lor.
• Instrucțiuni privind modul în care candidații pot lua măsuri privind
prelucrarea datelor lor personale. Lăsați-i să știe cum să acceseze datele sau
să solicite să ștergeți, să rectificați sau să restricționați prelucrarea datelor
acestora.
• Cum protejați datele candidatului. Puteți rezuma sau să furnizați un link la
politica generală de confidențialitate a companiei dvs., care ar trebui să includă
toate modurile în care compania protejează datele (de exemplu, criptarea,
pseudonimizarea etc.).

3.3. Prospectați candidații în mediul online cu grijă

Prospectarea este o activitate esențială pentru organizațiile care doresc să găsească oameni
buni. Cu toate acestea, prospectarea necesită găsirea și stocarea datelor personale ale
candidaților, astfel încât respectarea GDPR este esențială.

Mai întâi, rețineți că aveți nevoie de un interes legitim pentru a prospecta candidații și a
prelucra datele personale ale acestora. Asigurați-vă că:

• Chiar intenționați să contactați acești candidați. Doar construirea unei baze de

date prin adăugarea datelor candidaților în cazul în care veți avea nevoie de ele în
viitor nu este în conformitate cu GDPR.
• Plănuiți să contactați candidații cât mai repede cu putință. Puteți stoca
profilului unui candidat fără a-l informa doar pentru o perioadă scurtă de timp (cel
mult o lună). Contactați acești candidați cât mai repede cu putință și ștergeți datele
acestora dacă vi se cere. Dacă vă răzgândiți în privința unui candidat și decideți să
nu îl contactați, ștergeți imediat datele acestuia.
• Colectați doar datele de care chiar aveți nevoie. Veți vrea să prelucrați datele
candidaților privind educația, istoricul de muncă sau competente, precum și date
de contact. Aceste tipuri de date au sens pentru procesul de recrutare. Cu toate
acesta, nu ar trebui să prelucrați date irelevante (ie. informații despre apartenența
politică) pentru procesul de recrutare. Dacă chiar trebuie să prelucrați aceste date,
asigurați-vă că oferiți candidaților explicații în acest sens și le cereți
consimțământul.
• Obțineți datele în mod legitim. Obținerea datelor din profilele de pe rețelele
sociale (LinkedIn) este legală conform GDPR, dacă acele profile sunt accesibile

Avocatoo KIT GDPR 4

 Fă-ți singur implementarea la GDPR!
https://legalup.avocatoo.ro

publicului și puteți prezuma în mod rezonabil că acel candidat se așteaptă să fie

contactat (de exemplu are opțiunea bifată în acest sens pe LinkedIn sau a postat
anunțuri că își dorește schimbarea locului de muncă).

Creați un template de text pe care să îl adăugați la emailurile de prospectare. Dacă aveți o

politică specifică de recrutare, puteți furniza denumirea și datele de contactele ale organizației,
să spuneți că intenționați să păstrați datele doar pentru procesul de recrutare și să oferiți un
link către politica de confidențialitate și de prelucrare a datelor pentru restul de informații
necesare.

Dacă nu aveți o asemenea politică, trebuie să includeți toate informațiile necesare din articolul
14 din Regulamentul GDPR (explicate mai sus) în e-mailul vostru.

Mai jos regăsiți un exemplu de asemenea e-mail:

XYZ SRL [adresă, telefon, e-mail] colectează și stochează CV-ul tău și datele de contact.

Procesăm aceste date doar în scopuri de recrutare. Am găsit datele acestea pe [LinkedIn]
când căutam candidați care să ocupe o poziție vacantă în cadrul companiei noastre. Stocăm
aceste date în aplicația dedicată [care stochează datele în UE și este pe deplin conformă
cu legile UE privind protecția datelor] și nu vom transfera aceste date cu nimeni altcineva.

Am dori să păstrăm aceste date până în momentul ocupării poziției vacante. [Nu putem
estima cu exactitate perioada, dar vom considera perioada ca fiind încheiată atunci când
un candidat acceptă propunerea noastră pentru poziția unde te avem în vedere]. Când
perioada respectivă s-a încheiat, fie îți vom șterge datele, fie te vom informa că le vom
menține în baza noastră de date pentru poziții viitoare.

Aici este link-ul către politica noastră de confidențialitate și prelucrare a datelor personale.
Aici vei găsi informații privind conformitatea noastră cu Regulamentul GDPR. Poți afla cum
să ne trimiți o cerere de acces privind datele pe care le-am colectat sau cum să ne ceri să
îți ștergem datele, să corectăm orice inexactitate sau să restricționăm procesarea datelor
tale.

Ai dreptul de a depune o plângere privind modul în care tratăm datele tale la autoritatea de
supraveghere, ANSPDCP sau poți lua legătură cu responsabilul nostru cu protecția datelor
(DPO) la [detalii de contact] pentru mai multe informații.

3.4. Asigurați-vă că procesul de recrutare este conform cu GDPR

Atunci când candidații completează formularele de recrutare (fie online, fie offline), vă
furnizează datele lor personale. Dat fiind că acele candidaturi corespund efectiv unor locuri
vacante, aveți un interes legitim în prelucrarea acestor date și nu este necesar să obțineți
consimțământul explicit.

Avocatoo KIT GDPR 5

 Fă-ți singur implementarea la GDPR!
https://legalup.avocatoo.ro

Dar, ca să fiți foarte conformi cu GDPR, asigurați-vă că:

• Cereți doar datele personale de care aveți nevoie. Datele pe care le colectați de la
candidați trebuie să fie ”necesare și relevante pentru performanța locului de muncă
pentru care se aplică” (opinia Grupului de Lucru Articolul 29).
• Fiți transparenți. În anunțurile de recrutare, informații candidații că intenționați să
folosiți datele lor doar pentru procesul de recrutare și spuneți-le cât aveți nevoie să
stocați aceste date. Dacă aveți de gând să adunați mai multe informații despre
candidați (spre exemplu, informații de pe rețelele de socializare), ca parte a procesului
de profilare, va trebui să spuneți asta explicit și să explicați cum și de ce.
• Oferiți linkuri către politicile de confidențialitate și prelucrare a datelor
personale. Politicile acestea ale companiei ar trebui să fie ușor accesibile. Ar trebui
de asemenea să includă instrucțiuni către candidați despre cum vă pot cere să ștergeți,
rectificați sau să nu mai transferați datele lor personale. În anunțurile de recrutare,
informați candidații depsre unde pot găsi aceste informații în politici.

3.5. Aduceți la zi template-urile de emailuri de respingere

Câteodată ai mai mult de un candidat pentru o poziție. Dacă nu îi poți angaja pe toți, poate ai
vrea să îi ții pe cei pe care nu i-ai angajat în vizor pentru poziții viitoare. Pentru a fi conform cu
GDPR, trebuie să vă asigurați că nu veți stoca aceste date pentru o perioadă mai lungă de
timp decât cea menționată inițial către candidați. Dacă de exemplu le-ați spus candidaților că
le veți stoca datele pentru o perioadă de un an după ce au aplicat, nu trebuie să le mai trimiteți
un alt email până ce perioada respectivă nu a trecut. Tot așa, dacă le-ați spus candidaților că
le veți ține datele până când veți ocupa o poziție specifică, atunci trebuie să îi informați din
nou că vreți să le stocați datele pe care le-ați prelucrat.

Faceți asta prin intermediul emailurilor de respingere. Adăugați câteva propoziții care să:

• Explice de ce vreți să stocați datele candidatului;

• Menționeze cât timp vreți să le stocați datele;
• Ofere link către politicile de confidențialitate și prelucrare a datelor personale;
• Informați candidații că vă pot cere să le ștergeți datele în orice moment.

 Dacă candidații vă cer să le ștergeți datele, faceți-o imediat!

3.6. Fiți pregătiți să informații candidații despre prelucrarea datelor oricând

primiți datele lor

Deseori vă veți afla în situația în care veți prelucra datele personale ale candidatului prin mai
mule metode decât candidaturi pe online sau prospectare. Candidații vă pot lăsa CV-ul la un
târg de joburi sau la un eveniment de networking. Sau vă pot cere să îi contactați cu privire la
noi posturi disponibile. Toate aceste scenarii sunt legale conform GDPR; dar trebuie să
demonstrați că ați fost transparenți.

Avocatoo KIT GDPR 6

 Fă-ți singur implementarea la GDPR!
https://legalup.avocatoo.ro

Puteți face asta prin pregătirea unor formulare standard care conțin toate informațiile cerute
de Regulamentul GDPR și să le cereți candidaților să le semneze (fie fizic, fie pe o tabletă, de
exemplu). Sau le puteți furniza ulterior pe email la pachet cu politica de confidențialitate și
toate celelalte informații necesare.

3.7. Revizuiți bazele de date pe care le aveți

Regulamentul GDPR acoperă inclusiv datele personale pe care compania le-a colectat în
trecut. Asta înseamnă că trebuie să vă revizuiți bazele de date, tabelele în excel și alte fișiere
unde stocați datele candidaților. De preferat ar fi fost să o faceți până în mai 2018, dar
niciodată nu este prea târziu.

Aceasta este o oportunitate excelentă pentru a vă asigura că baza de date este actuală și
relevantă. Determinați ce candidați chiar s-ar potrivit în posturi viitoare și care nu și aveți în
vedere următoarele:

 Dacă ajungeți la concluzia că un candidat este puțin probabil să se califice pentru

poziții viitoare în cadrul companiei sau că nu ma este relevant sau că ați obținut
informațiile despre ei acum prea mult timp, atunci trebuie să îi ștergeți datele.

 Dacă ați dori să mai țineți candidații în vizor, ar trebui să îi contactați și să îi informați
că le procesați datele.

Pentru candidații pe care doriți să îi țineți în baza de date, pregătiți un email prin care le dați
informațiile necesare. Acest e-mail ar trebui să fie similar cu emailul pe care îl trimiteți către
candidații posibili, arătat în secțiunea 3.3 de mai sus, inclusiv cu link către politica de
confidențialitate și prelucrare a datelor personale.

3.8. Asigurați-vă că partenerii care vă oferă softul de recrutare sunt conformi

cu GDPR

Persoanele împuternicite au acces complet la datele candidaților tăi. De aceea Regulamentul

GDPR se așteaptă să fii sigur și convins că partenerii tăi protejează aceste date în aceeași
manieră în care o faci și tu.

Cel mai important aspect în recrutare este cel care îți oferă soluția de recrutare. Softul
respectiv este locul în care vei stoca aproape toate datele candidaților, trimite emailuri și
șterge sau modifica informații. Dacă acest soft este conform cu GDPR; va fi un aliat desăvârșit
și pentru conformitatea companiei dvs.

În ceea ce privește fișierele în excel, care sunt cea mai comună alternativă la softuri, ar putea
să vă expună la riscuri în ceea ce privește conformitatea cu GDPR întrucât furnizează o
posibilitate redusă de a urmări tot procesul și de a aplica controale de acces. Acestea pot fi
ușor duplicate, modificate și transferate fără cunoștința proprietarului.

Avocatoo KIT GDPR 7

 Fă-ți singur implementarea la GDPR!
https://legalup.avocatoo.ro

Dacă dețineți un soft de recrutare sau plănuiți să implementați unul, întrebați următoarele:

• Dacă li se aplică GDPR în calitate de persoană împuternicită. Dacă nu sunt o

companie din EU, ar trebui să fie parte la Scutul de Securitate EU-SUA (pentru
companiile din SUA) sau să fie dispuși să semneze acorduri de prelucrare a datelor
cu caracter personal care să îi oblige să se adapteze la cerințele GDPR.
• Cum au de gând să devină conformi cu GDPR. Ar trebui de asemenea să vă fie
capabili să vă spună unde vor stoca datele și cum se vor asigura că aceste date
vor fi protejate.
• Dacă folosesc sau nu parteneri conformi. Ar trebui să aibă de asemenea
acorduri de prelucrare cu toți acești subcontractori.
• Dacă au politici de confidențialitate și prelucrare a datelor clare. Revizuiți
politicile lor pentru a vă asigura că sunt conforme cu GDPR și că pot să protejeze
în mod adecvat datele candidaților.

3.9. Fiți pregătiți să răspundeți cererilor din partea candidaților

O parte semnificativă pentru a fi conform cu GDPR este de a fi capabil să oferiți candidaților

posibilitatea și ajutorul de a-și exercita drepturile. Pentru a face asta, trebuie să oferiți
îndrumări și să implementați soluții tehnice care să:

• Permită candidaților să acceseze datele lor personale la cerere.

o Determinați formatul electronic al datelor pe care le veți furniza candidaților.
o Stabiliți un proces automat de extragere și trimitere a acestor date.
• Șteargă datele personale ale candidaților sau să restricționeze prelucrarea la
cererea lor.
o Identificați toate locurile în care stocați datele (ar fi trebuit să faceți acest lucru
în primul pas, auditul) și stabiliți un proces pentru a șterge datele din toate
aceste locuri.
• Permită rectificarea datelor candidaților.
o Asigurați-vă că aveți implementate proceduri pentru a controla diferitele
versiuni ale datelor candidaților. De exemplu, nu ar trebui să completați datele
candidaților în același tabel în excel, ci în altul.
• Permită candidaților să-și retragă consimțământul (în cazul în care ați decis
să utilizați consimțământul pentru prelucrare).
o Comparați acest proces cu cel al obținerii consimțământul. Regulamentul
GDPR solicită că procesul de obținere și retragere a consimțământului să fie la
fel de simplu și de ușor atât la obținere, cât și la retragere.

Asigurați-vă că transmiteți aceste informații candidaților în mod clar și inteligibil pe website

și/sau termeni și condiții.

Material tradus și adaptat de aici.

Avocatoo KIT GDPR 8