A toborzással összefüggő adatkezelések elemzése során ezúttal a folyamat alanyi oldalát, annak is a munkáltatói szegmensét vizsgáljuk meg. Elengedhetetlen ugyanis azoknak a kérdéseknek a tárgyalása, amelyek a munkaerő-kiválasztás során az egyes szereplők jogait, kötelezettségeit, felelősségi körét tekintik át, jelen írás pedig ezt a kérdéskört közelíti meg, munkáltatói szemszögből.
A főbb faktorok
Toborzási szempontból elmondható, hogy a munkáltatói oldal alapvetően két kategóriába sorolható: egyrészről beszélhetünk ún. tényleges (közvetlen) munkáltatókról, amelyek saját vállalatukhoz keresnek nyitott pozíciókra jelölteket, másrészt pedig jelen lehetnek a folyamatban olyan külső szereplők is, akik a tényleges munkáltatók számára bizonyos szolgáltatásokat, eszközöket, technológiákat biztosítanak.
Utóbbiak között említhetünk különböző fejvadász cégeket, toborzási célú webes platformokat üzemeltető szereplőket, állásbörzéket szervező vállalkozásokat stb. Adatvédelmi aspektusból tekintve az egyes aktorok fő klasszifikációs szempontjai aszerint különböznek, hogy adatkezelőkről, közös adatkezelőkről vagy adatfeldolgozókról van szó.
A fő definíciós lehatárolás aszerint végezhető el, hogy az adatkezelési célok és eszközök meghatározása az adatkezelőt tipizálja (a közös adatkezelők ezt együttesen végzik) míg az adatfeldolgozó az adatkezelő nevében jár el és kezel adatokat. Utóbbi alanyi kör tipikus képviselői lehetnek a fentebb említett, a munkáltatók részére különböző munkaügyi szolgáltatásokat nyújtó cégek.
Hozzáférés, tájékoztatás, dokumentálás
A GDPR a toborzás során is kiemelt relevanciával bíró szigorú garanciális követelményeket rögzít az érintettek személyes adatainak védelme érdekében, amelyekre a munkáltatói adatkezelőknek különös figyelmet kell fordítaniuk. Ezek egyike a hozzáférés kérdése.
Ebben az esetben természetesen nem a pályázó egyik alapvető adatvédelmi jogáról van szó, hanem annak a vizsgálatáról, hogy a toborzás keretében a jelentkező által elküldött személyes adatokhoz a munkáltató oldaláról ki, milyen célból és feltételekkel férhet hozzá. A GDPR egyértelműen fogalmaz ebben a kérdésben: a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti (ez a követelmény az adatkezelő oldaláról értelemszerűen magában foglalja a célhoz kötöttség és arányosság érvényesítésének szükségességét.)
A munkáltató képviselője tehát csak akkor férhet hozzá a (toborzási) személyes adatokhoz, amennyiben erre jogosult és abban az esetben is kellő körültekintéssel kell eljárnia. Ez utóbbi adatbiztonsági követelmények érvényre juttatására is figyelni kell, tehát gondoskodni kell arról is, hogy a toborzás keretében illetéktelenek ne ismerhessenek személyes adatokat. Ennek tipikus kerülendő példája, amikor a munkáltatóhoz beérkezett és (esetlegesen felvételi eljáráshoz előkészítve) kinyomtatott önéletrajzok, egyéb személyes dokumentumok egy asztalon vagy polcon hagyva szabadon hozzáférhetők mások számára.
A munkáltatói adatkezelők ugyancsak kiemelkedő jelentőségű, az átláthatóság elvét érvényre juttató fundamentális jellegű kötelezettsége tájékoztatás nyújtása az érintettek részére az adatkezelés tényéről, céljáról és módjáról. A felvilágosításnak tartalmi szempontból a pályázók számára könnyen hozzáférhetőnek és közérthetőnek kell lennie, nyelvezetét tekintve pedig világosan, könnyen érthetően, tömören és egyszerűen kell megfogalmazni. A tájékoztatásra az adatkezelést megelőzően kell sort keríteni, a közlés módja pedig történhet szóbeli, írásbeli vagy egyéb módon, azonban a dokumentálhatóság érdekében mindenképp a rögzített (írásbeli, esetleg internetes linkre mutató) forma preferálandó.
A rekrutációs folyamat során a munkáltatói adatkezelőket (és adatfeldolgozókat) dokumentációs kötelezettség is terheli, ami valójában az egyes adatkezelési tevékenységekről történő írásbeli (vagy elektronikus) nyilvántartás vezetését jelenti. A GDPR részletesen taglalja, mind az adatkezelők, mind pedig az adatfeldolgozók által vezetett nyilvántartások kötelező tartalmi elemeit. Az adatkezelőt (adatfeldolgozót) az adatvédelmi felügyeleti hatóságokkal szemben – általánosságban is – együttműködési kötelezettség terheli, ennek konkretizálására mutat, hogy az adatkezelő megkeresés alapján a felügyeleti hatóság részére rendelkezésére bocsátja az adatkezelési tevékenységek nyilvántartását.
Adatvédelmi hatásvizsgálat
Előfordulhatnak olyan esetkörök, amikor az adatkezelés – különösen, ha új technológiai megoldások alkalmazására kerül sor – annak jellege, hatóköre, körülményei és céljai folytán valószínűsíthetően kiemelt kockázattal jár az érintettekre. Ilyen esetekben az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez azt felmérendő, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét miként érintik.
Ilyen szcenáriók lehetnek azok, amikor módszeres és kiterjedt automatizált adatkezelésre, profilalkotásra kerül sor, vagy amennyiben különleges vagy büntetőjogi eljárásokra vonatkozó személyes adatok széles körben való kezelése történik, illetőleg amikor nyilvános helyeket széleskörű megfigyelés alá vonnak.
Az adatkezelés körülményeinek, kockázatainak változása esetén az adatkezelő ellenőrzést folytat le annak értékelése céljából, hogy az adatkezelés az adatvédelmi hatásvizsgálatnak megfelelően történik-e, meghatározott esetekben és bizonyos feltételek mellett pedig kikéri az érintettek (vagy képviselőik) véleményét a tervezett adatkezelésről.