Blog
5 min branja

GDPR in zaposlovanje: kaj morajo slovenska podjetja vedeti

GDPR ni le za trženje

Ko večina ljudi pomisli na GDPR, pomisli na piškotke in e-poštne sezname. Ampak Splošna uredba o varstvu podatkov (GDPR) pokriva vsako obdelavo osebnih podatkov — vključno z zaposlovanjem.

Ko kandidat pošlje življenjepis, vam zaupa svoje ime, naslov, izobrazbo, delovne izkušnje, včasih pa tudi občutljive podatke, kot so datum rojstva ali zdravstveno stanje. Kako te podatke shranjujete, kdo do njih dostopa in kdaj jih brišete — vse to ureja GDPR.

In kazni niso simbolične. Informacijski pooblaščenec v Sloveniji aktivno nadzoruje skladnost, globe pa lahko dosežejo do 20 milijonov evrov ali 4 % letnega prometa.

Katere obveznosti imate?

1. Pravna podlaga za obdelavo

Za obdelavo osebnih podatkov kandidata potrebujete pravno podlago. V zaposlovanju sta najpogostejši dve:

  • Izvajanje pogodbe ali predpogodbeni ukrepi: Kandidat se prijavi na razpis in s tem zahteva obdelavo svojih podatkov za namen izbire. To je običajna podlaga med trajanjem postopka.
  • Privolitev: Če želite podatke hraniti po končanem postopku (npr. za prihodnje priložnosti), potrebujete izrecno privolitev kandidata.

Pomembno: privolitev mora biti prostovoljna, specifična in preklicljiva. “S prijavo na to pozicijo se strinjate s hrambo vaših podatkov za nedoločen čas” ni veljavna privolitev.

2. Informiranje kandidata

Kandidat mora vedeti:

  • kdo obdeluje njegove podatke (identiteta upravljavca),
  • za kakšen namen se podatki obdelujejo,
  • kako dolgo se hranijo,
  • kakšne pravice ima (vpogled, popravek, izbris, prenos),
  • ali se podatki delijo s tretjimi strankami.

Te informacije morajo biti na voljo pred oddajo prijave ali ob njej — ne šele na zahtevo.

3. Omejitev namena

Podatke kandidata smete obdelovati izključno za namen, za katerega so bili zbrani. Če se je kandidat prijavil na pozicijo spletnega razvijalca, njegovih podatkov ne smete uporabiti za marketing ali jih posredovati drugemu podjetju brez njegove privolitve.

4. Omejitev hrambe

Po končanem zaposlitvenem postopku morate podatke neizbranih kandidatov izbrisati — razen če imate njihovo privolitev za daljšo hrambo. Priporočen rok hrambe brez privolitve je običajno do konca izbirnega postopka oziroma nekaj mesecev po njem (za primer ugovora).

5. Varnost podatkov

Osebne podatke kandidatov morate ustrezno varovati. To pomeni:

  • omejitev dostopa na osebe, ki podatke potrebujejo,
  • zaščita pred nepooblaščenim dostopom (gesla, šifriranje),
  • beleženje, kdo je dostopal do podatkov in kdaj.

Kje podjetja najpogosteje naredijo napako?

Življenjepisi v e-poštnih predalih

Kandidat pošlje življenjepis po e-pošti. Pošta ostane v predalu za vedno. Posredovana je kolegom. Natisnjena in puščena na mizi. To je verjetno najpogostejša kršitev GDPR pri zaposlovanju — in najtežje rešljiva brez ustreznega sistema.

Preglednice brez nadzora

Excelova tabela s kandidati, ki kroži po ekipi brez omejitev dostopa, je problematična. Kdo ima kopijo? Ali je nekdo datoteko shranil na USB ključ? Ali so podatki kandidatov iz prejšnjih razpisov še vedno v tabeli?

Več o tem, zakaj so preglednice problematične za upravljanje kandidatov, preberite v članku ATS vs. Excel.

Brez evidence obdelave

Zakon zahteva, da imate evidenco dejavnosti obdelave — dokumentirane postopke, ki opisujejo, katere podatke zbirate, zakaj, kako dolgo jih hranite in kdo do njih dostopa. Mnoga podjetja te evidence sploh nimajo.

Kandidatom ne poveste njihovih pravic

Kandidat ima pravico zahtevati vpogled v svoje podatke, popravek ali izbris. Če ga o teh pravicah ne informirate ali pa na zahtevo ne odgovorite v zakonskem roku (en mesec), je to kršitev.

Kako ATS sistem pomaga pri GDPR skladnosti?

Dober ATS sistem ne reši vseh GDPR izzivov, ampak bistveno olajša skladnost:

  • Centralizirana hramba: Vsi podatki kandidatov so na enem mestu, ne raztreseni po e-poštnih predalih, preglednicah in mapah.
  • Nadzor dostopa: Definirate, kdo ima dostop do katerih podatkov. Ocenjevalec vidi samo to, kar potrebuje.
  • Avtomatsko brisanje: Sistem vas opomni ali samodejno izbriše podatke po preteku roka hrambe.
  • Upravljanje privolitev: Kandidat ob prijavi poda privolitev, ki je dokumentirana in preverljiva.
  • Revizijska sled: Sistem beleži, kdo je dostopal do podatkov, kdaj in kaj je naredil.

Praktični nasveti za slovenka podjetja

1. Pripravite informacijsko pojasnilo

Napišite jasno informacijsko pojasnilo za kandidate in ga objavite na vašem razpisu ali karierni strani. Vključite vse zahtevane informacije: identiteto upravljavca, namen, rok hrambe, pravice kandidata.

2. Ločite privolitev od prijave

Privolitev za daljšo hrambo podatkov mora biti ločena od same prijave. Kandidat se lahko prijavi na pozicijo, ne pa privoli v hrambo podatkov za prihodnje razpise — in to mora biti jasno ločeno.

3. Določite roke hrambe

Določite, kako dolgo hranite podatke kandidatov po končanem postopku. Tipičen rok je 6 do 12 mesecev s privolitvijo, takoj po končanem postopku brez nje.

4. Usposobite ekipo

Vsak, ki se ukvarja z zaposlovanjem, mora vedeti osnove GDPR. Ni nujno, da poznajo celoten zakon — dovolj je, da vedo, da življenjepisi niso za tiskanje in puščanje na mizi.

5. Uporabite ustrezno orodje

Preglednice in e-pošta niso ustrezno orodje za GDPR-skladno zaposlovanje. ATS sistem, ki je zasnovan z mislijo na varstvo podatkov, vam prihrani skrbi in zmanjša tveganje.

Zaključek

GDPR skladnost pri zaposlovanju ni le pravna obveznost — je tudi izraz spoštovanja do kandidatov. Ko kandidat ve, da so njegovi podatki varni in da imate jasen proces, to gradi zaupanje.

Ne čakajte, da vas Informacijski pooblaščenec opomni. Uredite svoj zaposlitveni proces danes — in začnite z orodjem, ki skladnost olajša.

Preizkusite Rekrutko in poglejte, kako izgleda GDPR-skladno zaposlovanje v praksi.

Pripravljeni na boljše zaposlovanje?

Brez obveznosti. Samo pogovor.

Kontaktirajte nas