Chcemy pomóc Ci upewnić się, że zbierasz i przetwarzasz dane kandydatów i kandydatek zgodnie z wytycznymi RODO. Korzystanie w tym celu z Traffit to pierwszy krok 😉
Przykładowe treści klauzul
Treść klauzul możesz ustawić w zakładce Ustawienia > Ogłoszenia i RODO > RODO
Zgoda w ramach danej rekrutacji
Wersja polska | Wersja angielska |
Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w aplikacji przez [nazwa firmy] z siedzibą w [adres siedziny] dla potrzeb niezbędnych do realizacji procesu rekrutacji | I hereby give consent for my personal data to be processed by [company name] for the purpose of conducting recruitment for the position for which I am applying. |
Zgoda na przyszłe rekrutacje
Wersja polska | Wersja angielska |
Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w aplikacji przez [nazwa firmy] na potrzeby przyszłych rekrutacji. | I hereby give consent for my personal data to be processed by [company name] for the purposes of future recruitment processes. |
Zgoda marketingowa
Wersja polska | Wersja angielska |
Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w aplikacji przez [nazwa firmy] w celu otrzymywania informacji marketingowych | I hereby give consent for my personal data to be processed by [nazwa firmy] to receive marketing information |
Co powinien zawierać obowiązek informacyjny?
Treść obowiązku informacyjnego możesz ustawić w zakładce Ustawienia > Ogłoszenia i RODO > RODO.
Kliknij na "Dodaj klauzulę" i przypisz jej typ "Obowiązek informacyjny":
Co powinno się w nim znaleźć?
Cel oraz podstawa prawna przetwarzania danych,
Informacja o okresie przechowywania danych,
Informacja o odbiorcach danych,
Dane administratora (identyfikacyjne oraz kontaktowe) oraz IOD (Inspektora Ochrony Danych) jeśli organizacja go powołała
Informacja o prawie do cofnięcia zgody (jeśli dotyczy)
Prawa osoby, których dane dotyczą
Informacja o prawie do wniesienia skargi do organu nadzorczego
Informacja o obowiązku lub dobrowolności podania danych
Informacja o zautomatyzowanym przetwarzaniu lub profilowaniu (jeśli dotyczy)
Jak spełnić obowiązek informacyjny?
Obowiązek informacyjny powinien zostać spełniony niezwłocznie - są 3 sposoby:
1. Na formularzu aplikacyjnym
Polecamy umieścić treść obowiązku nad przyciskiem Aplikuj - w miejscu łatwo widocznym dla aplikującego. Scrollując treść ogłoszenia kandydat na pewno się z nim zapozna:
PROTIPY:
Umieść ENTER w tekście - treść umieszczona za ENTERem będzie dostępna dla aplikującego dopiero po kliknięciu na “Czytaj więcej”. Szczególnie przydatne przy bardzo długiej treści.
Jeśli w treści chcesz podlinkować do zewnętrznego pliku - np. polityki prywatności - użyj do tego poniższego skryptu:
<a href="ADRES PLIKU" target="_blank">TEKST</a>
Przykład:
Politykę prywatności Traffit <a href="https://traffit.com/pl/polityka-prywatnosci-traffit/" target="_blank">znajdziesz tutaj.</a>
2. W mailowym potwierdzeniu złożenia aplikacji
Treść obowiązku możesz umieścić w automatycznym mailu do kandydata/-tki potwierdzającym poprawne zapisanie aplikacji w systemie. Tutaj znajdziesz instrukcję, jak stworzyć taką automatyzację
3. W treści podziękowania na ekranie
“Thank you message” którą możesz ustawić w Traffit to tekst wyświetlany na ekranie kandydata po prawidłowym zapisaniu formularza aplikacyjnego.
Możesz zdecydować o treści “Thank you message” na poziomie szablonu ogłoszenia który możesz utworzyć w zakładce Ustawienia > Ogłoszenia i RODO > Szablony ogłoszeń:
Przykładowa treść obowiązku informacyjnego
Wersja polska >>
Administratorem Pani/Pana danych osobowych jest [Nazwa firmy] z siedzibą w [Adres firmy]. Dane osobowe przetwarzane będą w celu przeprowadzenia procesu rekrutacyjnego. Podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. b RODO (realizacja umowy), art. 6 ust. 1 lit. a RODO (zgoda) oraz art. 6 ust. 1 lit. c RODO (obowiązek prawny).
Dane będą przechowywane przez okres realizacji procesu rekrutacyjnego oraz, w przypadku wyrażenia zgody, przez okres 2 lat dla potrzeb przyszłych rekrutacji.
Posiada Pani/Pan prawo dostępu do treści swoich danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych oraz prawo sprzeciwu. Ma Pani/Pan również prawo do cofnięcia zgody na przetwarzanie danych osobowych w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Zrobić to Pani/Pan może mailowo pod adresem [adres emai IOD].
Pani/Pana dane osobowe nie będą udostępniane przez administratora podmiotom trzecim, z wyłączeniem podmiotów wspierających administratora w procesie rekrutacji.
Ma Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna, że przetwarzanie danych osobowych narusza przepisy obowiązującego prawa.
Wersja angielska >>
The administrator of your personal data is [Nazwa firmy] located at [Adres firmy]. Your personal data will be processed for the purpose of the recruitment process. The legal basis for the processing of personal data is Article 6(1)(b) of the GDPR (contract performance) and Article 6(1)(c) of the GDPR (legal obligation).
Your personal data will be stored for the period of the recruitment process and, if consent is given, for a period of 2 years for future recruitment purposes. You have the right to access your data, rectify it, delete it, restrict processing, transfer data, and object to processing. You also have the right to withdraw your consent to the processing of personal data at any time without affecting the lawfulness of processing based on consent before its withdrawal. You can do it via e-mail: [Adres e-mail IOD]
You have the right to lodge a complaint with a supervisory authority if you believe that the processing of personal data violates the GDPR regulations.
Transfer danych poza EOG
Co powinien zawierać obowiązek informacyjny, jeśli transferujesz dane kandydatów/-tek poza teren Europejskiego Obszaru Gospodarczego?
Wersja polska >>
"Informujemy, że w związku z rekrutacją na stanowisko oferowane przez firmę spoza Europejskiego Obszaru Gospodarczego (EOG), Twoje dane osobowe mogą być przekazywane do kraju niezapewniającego odpowiedniego stopnia ochrony danych osobowych, zgodnie z przepisami RODO. Transfer danych jest niezbędny dla realizacji procesów rekrutacyjnych i będzie realizowany zgodnie z obowiązującymi przepisami prawa, w tym stosownymi zabezpieczeniami. Twoje dane będą chronione stosownymi mechanizmami prawno-technicznymi, w tym standardowymi klauzulami umownymi zatwierdzonymi przez Komisję Europejską"
Wersja angielska >>
"Please be informed that in connection with the recruitment for a position offered by a company outside the European Economic Area (EEA), your personal data may be transferred to a country that does not provide an adequate level of personal data protection, in accordance with GDPR regulations. The data transfer is necessary for the execution of recruitment processes and will be carried out in compliance with applicable legal provisions, including appropriate safeguards. Your data will be protected by legal and technical mechanisms, including standard contractual clauses approved by the European Commission."
Zbieranie zgód na formularzu aplikacyjnym
Jakie zgody możesz umieścić na formularzu aplikacyjnym?
ZGODA | Obowiązkowa na formularzu? | Wymagana? |
Zgoda w ramach danej rekrutacji | Nie, ale zalecana* | Tak, jeśli jest umieszczona na formularzu** |
Zgoda na przyszłe rekrutacje | Nie, ale zalecana*** | Nie |
Zgoda marketingowa | Nie | Nie |
Zgoda na profilowanie | Nie | Nie |
Inne zgody | Nie | Nie |
* Jeśli umieścisz ją na formularzu, łatwiej będziecie Ci filtrować w ATS osoby z aktywną zgodą oraz monitorować ich wygaśnięcie
** Nie musisz umieszczać jej na formularzu - ale jeśli to zrobisz, to aplikująca osoba musi ją zaznaczyć, aby móc wysłać aplikację.
*** Nie musisz prosić kandydatów o zgody w ramach przyszłych rekrutacji, ale według naszego ostatniego badania przeprowadzonego na próbie 1,86 miliona aplikacji wysłanych za pomocą formularza aplikacyjnego stworzonego w Traffit , na którym znajdowała się nieobowiązkowa zgoda na przyszłe rekrutacje - wyraziło ją aż 65,8% aplikujących. Warto więc zbierać ją, aby budować bazę kandydatów.
O czym warto pamiętać umieszczając zgody na formularzu aplikacyjnym?
Każda zgoda musi być odrębna - nie jest zalecane umieszczanie wielu zgód pod jednym checkboxem
Każda zgoda musi być świadoma - żadna ze zgód na formularzu nie powinna być domyślnie zaznaczona
Dopilnuj, aby język w którym napisana jest zgoda był tożsamy z językiem treści ogłoszenia
Treść klauzuli powinna być zrozumiała dla kandydata
Zbieranie zgód poza formularzem aplikacyjnym
LinkedIn, Facebook czy e-mail - każdą taką zgodę warto odnotować w systemie ATS. Podobnie ze zgodami zbieranymi offline; na papierowych formularzach (np. na targach)
Łatwiej jest później filtrować w ATS osoby z aktywną zgodą, udowodnić posiadanie zgody kandydata/-tki oraz monitorować ich wygaśnięcie.
Zgody zbierane poza systemem możesz w prosty sposób przypisać do kandydata/-tki na jego/jej profilu w zakładce Zgody:
Jak długo powinny być ważne zgody?
Zgodnie ze wskazówkami opublikowanymi przez Urząd Ochrony Danych Osobowych, pracodawca powinien trwale usunąć dane kandydata, z którym nie podjął decyzji o zatrudnieniu, niezwłocznie po zakończeniu procesu rekrutacji, tj. po podpisaniu umowy o pracę z nowym pracownikiem (źródło)
Równocześnie pracodawca może przechowywać dane zebrane w toku rekrutacji od kandydatów przez 3 lata. W okresie tym, kandydaci mogą podnieść zarzut odrzucenia ich aplikacji z powodu dyskryminacji lub nierównego traktowania (źródło)
Jak jest w praktyce?
Możesz przetwarzać dane osobowe kandydatów tak długo, jak długo zachowujesz podstawę prawną do ich przetwarzania - nie dłużej, niż jest to niezbędne do celów, dla których dane te są przetwarzane i wyłącznie w takim zakresie w jakim jest to niezbędne do ich realizacji. Czyli:
Do momentu, aż zgoda kandydata zostanie wycofana,
Lub do momentu, gdy cel przetwarzania (np. prowadzenie przyszłych rekrutacji) przestanie być aktualny.
Jeśli zgoda dotyczy przyszłych rekrutacji: Zazwyczaj zaleca się, aby okres przetwarzania wynosił od 1 roku do 2 lat, ponieważ w tym czasie najczęściej organizuje się podobne procesy rekrutacyjne.
ŚCIĄGAWKA:
Obowiązek informacyjny - może być ważny bezterminowo
Zgoda na konkretną rekrutację - do czasu zakończenia danego procesu rekrutacji
Zgoda na przyszłe rekrutacje - zalecamy 1 lub 2 lata, ale ustaw w ATS tyle, ile umieścił w wewnętrznej procedurze Twój IOD.
Zarządzanie zgodami kandydatów - podstawowe zasady
Oto zasady, których warto się trzymać w kontekście zarządzania zgodami kandydatów:
Dostępność | Historia |
Trzymaj wszystkie zgody w jednym miejscu, do którego dostęp mają wszyscy interesariusze. Pamiętaj, że na prośbę kandydata musisz przedstawić listę wyrażonych przez niego zgód. | Zachowaj pełną treść zgody wyrażonej przez kandydata wraz z datą jej wyrażenia (oraz informację, w ramach której rekrutacji została wyrażona) |
Wycofanie zgód | Czas |
Ustal procedurę oznaczania zgód wycofanych przez kandydatów. Zapisuj też datę ich wycofania. Upewnij się, że dane kandydatów, którzy wycofują swoje zgody, są usuwane we wszędzie, gdzie są przetwarzane. | Monitoruj czas ważności zgód i anonimizuj dane kandydatów, gdy tylko wygasną. Przed ich wygaśnięciem możesz poprosić kandydata o ich przedłużenie. Może to robić dla Ciebie dodatek Asystent RODO |
Wtyczki zapisujące dane osobowe a RODO
Wiele narzędzi oferuje wtyczki sourcingowe pozwalające na zapisanie danych osobowych potencjalnych kandydatów.
Przykłady:
Hunter e-mail finder
Skrapp
Jak wygląda kwestia RODO jeśli chodzi korzystanie z takich wtyczek?
Zgodnie z RODO pozyskiwanie danych osobowych ze źródeł powszechnie dostępnych nie jest zakazane. W momencie pozyskania tych danych stajesz się administratorem.
Jako administrator musisz określić podstawę prawną przetwarzania, spełnić obowiązek informacyjny i umożliwić osobie, której dane dotyczą wniesienia sprzeciwu wobec przetwarzani.
Możliwe rozwiązania są następujące:
1. Kontaktujesz się z tą osobą przekazując obowiązek informacyjny i w przypadku braku sprzeciwu dane mogą być przetwarzane.
2. Kontaktujesz się z tą osobą prosząc o wyrażenie zgody (np. w wiadomości prywatnej lub przez formularz aplikacyjny) na przetwarzanie oraz przekazując wszystkie niezbędne informacje. W przypadku braku zgody przestajesz przetwarzać i usuwasz dane.
Zalecamy rozwiązanie 2, ale warto abyś skonsultował korzystanie z wtyczek ze swoim IOD - każda firma może mieć inne procedury dotyczące zapisywania i przetwarzania danych powszechnie dostępnych i warto dostosować swój sposób działania do jego rekomendacji!
Pamiętaj, że również w takim przypadku konieczne jest spełnienie obowiązku informacyjnego. RODO wprowadza w tym celu określony termin. Administrator musi spełnić obowiązek informacyjny:
- w rozsądnym terminie po pozyskaniu danych osobowych - najpóźniej w ciągu miesiąca - mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
- jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą - najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
- jeżeli planuje się ujawnić dane osobowe innemu odbiorcy - najpóźniej przy ich pierwszym ujawnieniu.
Sygnaliści - jak spełnić obowiązek wynikający z ustawy?
Krok 1: Stwórz procedurę, czyli dokument który będzie opisywał kroki, jakie musi podjąć sygnalista, aby w sposób bezpieczny i anonimowy zgłosić ewentualne nieprawidłowości w Twoich procesach rekrutacyjnych.
Powinna ona też zawierać informację o tym, jakie są kroki zostaną podjęte po przesłaniu przez niego zgłoszenia.
Krok 2: Udostępnij procedurę
W jaki sposób możesz udostępnić procedurę?
1. Obowiązek informacyjny
Dobrą praktyką jest umieszczenie informacji o procedurze sygnalizowania nieprawidłowości w obowiązku informacyjnym. Możesz tam umieścić link do procedury lub bezpośredni link do formularza umożliwiającego anonimowe zgłoszenie nieprawidłowości.
PROTIP:
Jeśli posiadasz procedurę w formie pliku umieszczonego na swoim serwerze lub chcesz dodać link do formularza w tekście; możesz zrobić to w treści obowiązku informacyjnego korzystając z gotowego skryptu:
<a href="LINK DO PLIKU target="_blank">TEKST</a>
2. Mail z podziękowaniem za złożenie aplikacji
Warto skorzystać z automatyzacji e-mail z podziękowaniem za złożenie aplikacji i umieścić w niej link z formularzem do sygnalizowania nieprawidłowości. W ten sposób możesz ograniczyć możliwość ich zgłaszania tylko do osób faktycznie biorących udział w Twoich procesach.
Wiadomość ta pozostaje w historii korespondencji kandydata/-tki i w każdej chwili może do niej wrócić.
3. Thank you page
Komplementarnie możesz poinformować o procedurze sygnalizowania nieprawidłowości w "Thank you message", czyli wiadomości pokazywanej kandydatowi/-tce na ekranie komputera po aplikacji.
PROTIP:
Jeśli nie posiadasz formularza pozwalającego na anonimowe sygnalizowanie naruszeń, możesz skorzystać z bezpłatnego narzędzia takiego jak Google Forms, Tally.so lub Forms.app
4. Strona WWW
Miejsce, w którym będzie miał do niej dostęp każdy odwiedzający (nie tylko kandydaci).
Anonimizacja danych
Anonimizacja to pozbawienie danych osobowych kandydata/-tki cech czy informacji pozwalających na identyfikację konkretnej osoby.
W Traffit możesz zarówno usuwać jak i anonimizować profile kandydatów:
Czym anonimizacja różni się od usunięcia kandydata z bazy?
Usunięcie oznacza pozbycie się wszystkich danych - może więc zaburzać statystyki. Anonimizacja jest metodą realizacji żądań wycofania zgód kandydatów na procesowanie ich danych przy zachowaniu danych raportowych i statystycznych.
Dane osobowe kandydatów należy usuwać lub anonimizować po wygaśnięciu wszystkich aktywnych zgód lub po wycofaniu wszystkich aktywnych zgód przez kandydata
W Traffit możesz też uruchomić dodatek Asystent RODO dający Ci możliwość:
uruchomienia procesu automatycznej anonimizacjj (według wskazanych przez Ciebie reguł),
wygenerowania listy kandydatów, których termin wygaśnięcia zgód się zbliża.
Retencja zgód
Dopóki zgody są aktywne, możesz podjąć próby ich przedłużenia, aby zachować CV najlepiej rokujących kandydatów w bazie. Najlepiej podjąć próbę na kilka dni/tygodni przed ich wygaśnięciem.
Przedłużenie zgód to zawsze mniejszy koszt dla Ciebie niż zdobycie nowych aplikacji!
O przedłużenie zgody możesz poprosić mailowo - kandydat musi ją świadomie przedłużyć. Nie możesz napisać, że brak odpowiedzi na maila oznacza brak sprzeciwu wobec przedłużenia zgody i automatycznie jej przedłużyć.
W Traffit możesz też uruchomić dodatek Asystent RODO dający Ci możliwość:
uruchomienia procesu automatycznej wysyłka próśb o przedłużenie zgód (według wskazanych przez Ciebie reguł),
wyganerowania listy kandydatów do zaplanowanej wysyłki próśb o zgodę,
ręczną wysyłkę formularza z prośbą o przedłużenie zgód:
Monitoring stanu bazy pod kątem RODO
W zakładce Raporty > Monitoring RODO możesz w każdej chwili wygenerować raport, który ułatwia monitorowanie procesu retencji zgód oraz anonimizacji tych kandydatów, których zgody wygasły.
Możesz w nim zobaczyć rozkład całej Twojej bazy kandydatów według typów zgód z różnieniem na zgody:
aktywne,
które wygasły,
które nigdy nie zostały wyrażone.
Znajdziesz tam też:
liczbę zanonimizowanych kandydatów - z podziałem na osoby zanonimizowane ręcznie i osoby zanonimizowane automatycznie przez dodatek Asystent RODO
liczbę wysłanych formularzy przedłużenia zgód - z podziałem na osoby, do których formularz przedłużania zgód został wysłany ręcznie poprzez dedykowaną aktywność wysyłki dostępną w dodatku Asystent RODO lub automatycznie przez ten dodatek
Liczbę kandydatów, którzy przedłużyli zgody za pomocą otrzymanego dedykowanego formularza przedłużenia zgód: