Adatkezelés a toborzási folyamatban

A toborzási folyamat egyik GDPR-os kihívásairól és tapasztalatairól kérdeztük dr. Bárányos Krisztinát, a Smart Specialist Zrt., mint GDPR tanácsadó cég szakmai vezetőjét. Ő az a szakértő, aki az Európai Unió Alapjogi Ügynökségének (FRA) munkatársaként 2012-2014 között rész vett a GDPR jogi előkészítésében, és dolgozott a Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: NAIH) munkatársaként. Már 14 éve kizárólag az adatvédelem a szakterülete. Nézzük meg, hogy az adatkezelés a toborzási folyamatban, milyen módon játszik szerepet.

Pályázói és munkáltatói szempontok

Az álláskeresés világában a toborzási folyamat elengedhetetlen velejárója az álláskeresők személyes adatainak kezelése. Ez az állítás nem igényel különösebb magyarázatot, hiszen amikor a pályázó elküldi jelentkezését egy céghez, személyes adatainak bő tárházát bocsátja a potenciális munkáltató rendelkezésére.

Adatvédelmi (GDPR) szempontból* felmerül a kérdés, milyen személyes adatok kezelésére kerülhet sor a pályázatot kiíró részéről, illetve ezek milyen forrásból ismerhetőek meg a munkáltató számára.

Mit lehet tenni vagy nem tenni GDPR szempontból?

A személyes adat fogalmával kapcsolatos vizsgálódásunk most csupán a toborzási eljárás specifikumaira koncentrál. Erre figyelemmel a személyes adat fogalma alá a személy azonosításához szükséges adatokon kívül beillesztendőek a pályázó képzettségre vonatkozó adatai (diplomák, bizonyítványok), a szakmai tapasztalatra vonatozó információk (gyakornoki tevékenység, önkéntes munkavégzés), valamint bizonyos készségek kiértékelése (személyiségtesztek, induktív következtetések eredményei) során nyert adatok egyaránt.

Csak azok az adatok gyűjthetők a pályázóról, amelyek az adott pozícióhoz relevánsak és a kiválasztáshoz szigorúan szükségesek. A munkakörhöz, a jelölt alkalmasságának felméréséhez jellemzően irreleváns, érzékenyebb adatok (családi háttér, gyermekvállalási tervek, politikai-társadalmi szervezeti tagság és tevékenység stb.) kezelése tilos.

Adatkezelés a toborzási folyamatban: közvetlen és közvetett források felhasználása

A toborzási folyamat során kezelt adatok forrását illetően elmondható, hogy azok beszerezhetőek közvetlenül a pályázótól, de közvetett módon, más forrásból is elérhetők lehetnek a pályáztató számára.

A közvetlenül az álláskeresőtől származó személyes adatok egyik kategóriájába tartoznak a direkt módon a pályázó által a munkáltató felé kommunikált információk (önéletrajzok, végzettségi-képzettségi igazolások), egy másik csoportot pedig a munkáltató által a pályázóról levont következtetések, kiértékelések (interjúk, elemzések, nyelvi készségek felmérése) eredményei képeznek.

Ami a közvetett módon – korábbi munkáltatótól vagy kollégáktól, közösségi platformról, internetes kereső oldalakról – beszerzett személyes adatok körét illeti, már nagyobb körültekintéssel kell eljárnia a munkáltatónak.

Facebookról lehet?

A közvetett forrásból történő adatszerzéssel kapcsolatban adódik a kérdés, hogy a munkáltató a kiválasztás keretében jogosult-e a pályázó közösségi oldalán található információk megtekintésére, a közösségi profilon elérhető személyes adatainak kezelésére?

Erre irányadó az Adatvédelmi Hatóság (NAIH) 2016. októberi, a munkahelyi adatkezelések alapvető követelményeiről szóló tájékoztatója, amelyben rámutatott azokra a követelményekre, amelyeket a munkáltatóknak figyelembe kell venniük a toborzási eljárás során. Ennélfogva:

• előzetesen tájékoztatni kell a jelentkezőt, hogy a felvételi eljárás során a munkáltató megtekint(het)i a pályázó közösségi oldalán található nyilvános információt;
• fontos – és egyben a Munka törvénykönyvének (Mt.) 10. § (1) bekezdésében rögzített – követelmény, hogy a munkáltató a toborzási fázisban csak azokat az információkat ismerheti meg, amelyek az álláspályázattal vagy a munkakörrel kapcsolatban lényegesek;
• közösségi oldalon található zárt felhasználói csoportban tag pályázó adatai fokozottabb védelmet élveznek, az e körben található személyes adatok a munkáltató számára nem hozzáférhetőek, hiszen az e felületen található információk megismerése jelentősen korlátozná a jelentkező magánszférájához való jogát;
• a közösségi oldal nyilvános információi is csak célhoz kötötten ismerhetők meg, tehát a kiválasztás eredeti céljától eltérő célból történő adatkezelés (profiloldal lementése, tárolása, továbbítása) nem megengedett.

A nagyobb fokú adatvédelmi tudatosság nem csupán a munkavállalót segíti jogainak megvédésében, de a munkáltató jogkövető magatartását is előmozdíthatja.

Gyakorlati tanácsok adatkezelésre a toborzási folyamatban

A fenti NAIH-os iránymutatáson kívül számunkra egyelőre nem ismert (legalábbis nem lett közzétéve a NAIH honlapján), hogy a NAIH részéről történt volna a toborzási folyamattal kapcsolatos hatósági vagy vizsgálati eljárás, és azt sem tudjuk, hogy bírság kiszabására sor került-e ilyen témakörben.

Ez nem azt jelenti, hogy a toborzási folyamat, mint adatkezelés nem lenne olyan fontos GDPR szempontból, mint például a kamerás megfigyeléssel kapcsolatos adatkezelés, amely utóbbi tekintetében ismerjük a NAIH álláspontját, mert több hatósági határozat lett közzétéve és számos nagy összegű bírság is kiszabásra került (legutóbb egy kozmetikai szalon 30 millió Ft bírságot kapott).

Amit tudunk tanácsolni, hogy a toborzási folyamatot egyszer kell jól átgondolni GDPR szempontból, és ennek alapján a gyakorlathoz kell igazítani a GDPR dokumentumokat akár egy külsős GDPR tanácsadó cég bevonásával.

*GDPR: az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről