- datele prelucrate în vederea procesului de recrutare, pe de o parte, și
- datele prelucrate în vederea încheierii unui contract de muncă (sau de colaborare, după caz), pe de altă parte.
În acest context, GDPR stabilește, în primul rând, că un operator – cazul nostru, un recrutor / angajator – va reduce la minimum datele prelucrate, în orice activitate de-a sa, solicitând doar acele date care sunt necesare pentru atingerea scopului pentru care ele sunt prelucrate.
„Datele cu caracter personal sunt (…) limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate (<<reducerea la minimum a datelor>>)”, este precizat în GDPR, în art. 5 alin.(1) lit c).
În acest caz, discutăm de date necesare în procesul de recrutare și de date necesare pentru încheierea contractului, cu candidatul sau cu candidații aleși. În privința scopului pentru care sunt prelucrate date în procesul de selecție, vorbim de selectarea unui viitor angajat sau colaborator, dintr-un număr de candidați. Așadar, devine clar ce informații sunt necesare în acest stadiu:
- informații minime pentru identificarea candidatului;
- informații pentru identificarea competenței sale și potrivirii sale pe postul pentru care aplică;
- eventual, detalii legate de formalități pentru obținerea unui aviz de muncă, dacă e cazul.
Astfel, dacă angajatorul nu va găsi un motiv pentru care să fie necesară prelucrarea datelor din buletin, în procesul de recrutare, atunci o astfel de prelucrare nu mai este justificată. Cu greu se poate identifica un motiv pentru care ar fi necesară prelucrarea datelor din buletin, atunci când un candidat aplică pentru o poziție și clar nu poate fi justificată în cazul celor care nu au trecut procesul de selecție.
Vorbim de un proces premergător încheierii unui contract de muncă/de colaborare, unde cei mai mulți candidați nu vor fi aleși, oricum. Acest lucru face cu atât mai greu de identificat un motiv pentru care ar fi necesară prelucrarea datelor din buletin, pentru că orice caz în care e necesară deținerea unor astfel de informații nu apare până la încheierea propriu-zisă a contractului.
Discuția e diferită dacă vorbim de candidatul sau candidații selectați pentru o poziție, unde datele sunt prelucrate în vederea încheierii unui contract. În acest din urmă caz, prelucrarea e justificată în temeiul GDPR, însă, prin definiție, ea exclude prelucrarea datelor din buletin ale majorității candidaților, pentru că ei vor fi respinși.
„Pe zona de recrutare, e clar că trebuie solicitate mai puține date pentru un angajat. Pentru un candidat, vor trebui solicitate datele din CV care includ date cu caracter personal, precum nume, prenume, adresă de e-mail, telefon, data de naștere, educație, experiență profesională. Ar trebui să fie suficient pentru o primă etapă”, a precizat în urmă cu ceva timp Andreea Manolache, external lawyer la Accace România, într-o conferință de resurse umane. De la copia de pe actul de identitate putem, desigur, extinde discuția și la permisul auto, cazierul judiciar (care e cerut la nivel legislativ doar pentru anumite poziții, concursuri de intrare în anumite profesii ș.a.m.d. (condiția aducerii documentului e însă stipulată la nivel legislativ, or dacă firmei nu-i pretinde nicio lege, ordonanță ori hotărâre să aiba cazierul candidatului sau chiar al angajatului, atunci ar fi greu să justifice în fața Autorității de protecția datelor din România de ce prelucrează acele date).
Pentru firme, toate acestea de mai sus pot părea simple deziderate ale legiuitorului, fie el național, fie european, cu privire la care se întreabă: ce risc dacă nu fac asta? Un control, eventual chiar o amendă de la Autoritate de protecția datelor.
