Ar tinkamai tvarkote kandidatų į darbo vietas asmens duomenis?

audito sprendimai
2022-05-13

Labai dažnai įmonės skiria pakankamą dėmesį darbuotojų asmens duomenų apsaugai, tačiau pamiršta, o galbūt nežino, jog asmens duomenų apsauga prasideda dar darbuotojų atrankos procese, todėl būtina tinkamai pasirūpinti kandidatų į darbo vietą asmens duomenų apsauga bei užtikrinti atitiktį Bendrojo duomenų apsaugos reglamento (toliau – BDAR) reikalavimams.

Ar Jums pažįstamas teiginys: „Mes jokių kandidato asmens duomenų netvarkome, na... tik CV gauname...O tai jau asmens duomenys?“?  Jei taip, būtinai paskaitykite visą straipsnį, nes, panašu, įmonėje turite „spragų“ dėl atitikties BDAR reikalavimams. Juk iki įdarbinant darbuotoją įmonės jau tvarko didelį kiekį kandidatų asmens duomenų, nes kartu su gyvenimo aprašymu gauna kandidato vardą, pavardę, gimimo datą, gyvenamosios vietos adresą, el. pašto adresą ir (ar) telefono numerį, informaciją apie kandidato darbo patirtį, informaciją apie kandidato išsilavinimą, informaciją apie kvalifikacijos kėlimą, informaciją apie kalbų mokėjimą, kitas kompetencijas, vairavimo pažymėjimą, asmenines savybes, tam tikrais atvejais ir sveikatos duomenis ir t. t.

Tad šiame straipsnyje apie dalykus, kuriuos privalo žinoti ir taikyti kiekviena, darbuotojų ieškanti, įmonė.

 

1. Informacinis pranešimas kandidatui apie tai kaip tvarkomi jo duomenys

Pradėkime nuo pradžių. Paprastai pirmasis kontaktas su kandidatais ir potencialiais darbuotojais prasideda nuo darbo pasiūlymo (skelbimo) paskelbimo darbuotojų paieškų portaluose, socialiniuose tinkluose, įmonės internetiniame puslapyje ir t. t., o kandidatas, siųsdamas gyvenimo aprašymą, potencialiam darbdaviui pateikia ir savo asmens duomenis.

Tuo tarpu BDAR 13 straipsnyje numatyta, kad „<...> kai iš duomenų subjekto renkami jo asmens duomenys, duomenų valdytojas asmens duomenų gavimo metu duomenų subjektui pateikia visą <..>“ informaciją apie tai kaip tvarkomi duomenų subjekto asmens duomenys. Kitaip tariant, kandidatas turi būti supažindinamas (pateikiant informacinį pranešimą) su jo asmens duomenų tvarkymu jam kandidatuojant (siunčiant gyvenimo aprašymą, motyvacinį laišką) į darbo poziciją. Kandidatas turi būti informuojamas apie tai kokiu tikslu ir pagrindu renkami jo asmens duomenys, kas yra duomenų valdytojas, kiek laiko asmens duomenys bus saugojami, kokios yra kandidato teisės ir t. t.

Griežto reikalavimo kaip ši informacija turi būti pateikta BDAR nenumato, todėl įmonė gali pati pasirinkti kokiu būdu informuos kandidatą. Tai gali būti ir trumpas tekstas skelbime su nuoroda į interneto svetainę, kurioje galima plačiau susipažinti su kandidatų privatumo politika, arba visas privatumo pranešimas patalpintas kartu su darbo pasiūlymu. Šiuo atveju svarbiausia, kad būtų užtikrintas vienas esminių BDAR principų – skaidrumo principas, t. y., kad duomenų subjektas būtų aiškiai ir tinkamai informuojamas apie jo duomenų tvarkymą.

 

2. Kandidato asmens duomenų tvarkymo pagrindas. Kada reikalingas sutikimas?

Labai svarbu nusistatyti kokiu tikslu ir pagrindu yra tvarkomi kandidato asmens duomenys. Sutikimas yra tik vienas iš asmens duomenų tvarkymo pagrindų, kurį įmonė gali, bet neprivalo, pasirinkti, jei yra kitų pagrindų tvarkyti asmens duomenis (pavyzdžiui, teisėtas interesas, sutarties sudarymas, teisinės prievolės vykdymas). Šiuo atveju reikia atskirti du kandidato asmens duomenų tvarkymo etapus: pirmas – iki tol kol sudaroma darbo sutartis, antras – po darbo sutarties sudarymo, kai kandidato asmens duomenys saugomi galimiems kitiems darbo pasiūlymams.

Pirmuoju etapu kandidatas teikia savo gyvenimo aprašymą į darbo poziciją, kartu visą informaciją, kad įmonė galėtų įvertinti jo kvalifikaciją ir pasiūlytų sudaryti darbo sutartį, o įmonė tvarko kandidato asmens duomenis taip pat su tikslu įvertinti kandidatą kaip potencialų darbuotoją ir taip pat sudaryti su atrinktu kandidatu darbo sutartį.  Todėl be sutikimo įmonė gali taikyti ir kitus pagrindus tvarkyti kandidatų asmenes duomenis, kaip antai, teisėto intereso pagrindą (BDAR 6 str. 1 d. (f) punktas) ar tam tikrais atvejais sutarties sudarymo ir vykdymo pagrindą (BDAR 6 str. 1 d. (b) punktas)). Tokiu atveju kandidato sutikimas nėra reikalingas, pakanka informuoti kandidatą apie tai kaip tvarkomi jo asmens duomenys pagal šio straipsnio 1 punktą.

Tuo tarpu jei po atrankos į darbo vietą įmonė ir toliau nori saugoti kandidato asmens duomenis, tai ji turi daryti jau kitu, t. y. sutikimo, pagrindu (pagal BDAR 6 str. 1 d. (a) punktą). Neturint kandidato sutikimo, jo asmens duomenys po atrankos negali būti toliau tvarkomi ir turi būti ištrinami. Šiuo atveju svarbu nusimatyti ir tikslą, kuriam bus saugomi asmens duomenys sutikimo pagrindu (dažniausiai – teikti pasiūlymus atviroms darbo pozicijoms ateityje) ir užtikrinti, kad asmens duomenys nebūtų naudojami kitiems, sutikime nenumatytiems, tikslams.

 

3. Dėl kandidato asmens duomenų saugojimo terminų

Kitas labai svarbus aspektas yra užtikrinti, kad kandidato asmens duomenys būtų tvarkomi tik tiek laiko, kiek yra būtina, o pasibaigus tikslui ir pagrindui, dėl kurio buvo renkami asmens duomenys, jie būtų ištrinami.

BDAR įtvirtina tik bendrąjį principą dėl asmens duomenų saugojimo termino. Konkretūs asmens duomenų saugojimo terminai gali būti įtvirtinti teisės aktuose (nacionaliniuose ar tarptautiniuose teisės aktuose) arba juos nustatyti turi pats duomenų valdytojas (įmonė). Įmonei nustatant duomenų saugojimo terminą reikėtų atsižvelgti į tikslus, dėl kurių įmonei reikia tvarkyti duomenis, ir į visas teisines prievoles saugoti duomenis nustatytą laikotarpį[1]. Kadangi teisės aktai nenustato kiek laiko turi būti saugomi kandidatų asmens duomenys, įmonė privalo pati užtikrinti, kad asmens duomenų saugojimo laikotarpis būtų minimalus, o jam pasibaigus kandidatų asmens duomenys tikrai ištrinami.

Jei  su kandidatu nebuvo sudaryta darbo sutartis, darbdavys turi ištrinti kandidato gyvenimo aprašymą ir kitus dokumentus iš duomenų bazės, elektroninio pašto ar kitų laikmenų iš karto po to, kai buvo sudaryta darbo sutartis su atrinktu kandidatu. Tuo tarpu jei kandidatas yra davęs sutikimą ilgesniam jo asmens duomenų saugojimui, asmens duomenys gali būti saugomi ir ilgiau, bet tik tokį laikotarpį, kuris numatytas sutikime (pvz., 2 metus) arba iki tol kol kandidatas atšaukia savo duota sutikimą (jei atšaukia anksčiau nei sutikime numatytas saugojimo terminas).

 

4. Kokius dokumentus reikia turėti?

Kad įmonė galėtų įrodyti, jog tinkamai tvarkosi su kandidatų asmens duomenimis, reikalinga pasiruošti tam tikrus dokumentus. Iš esmės įmonės dokumentuose turėtų atsispindėti visas procesas, kuris aprašytas šiame straipsnyje, taip pat kitos privalomos nuostatos pagal BDAR. Rekomenduotina įmonei pasiruošti ir turėti šiuos dokumentus:

  • Kandidatų į darbuotojus asmens duomenų privatumo taisykles, kuriose turėtų būti aptartas visas kandidatų asmens duomenų tvarkymo procesas, kokiu tikslu ir pagrindais tvarkomi duomenys, kokie asmenes duomenys tvarkomi, kiek laiko saugomi, kam gali būti perduodami ir iš kur gaunami, kokios yra kandidato teisės ir t. t.;
  • Privatumo pranešimas;
  • Sutikimo forma dėl kandidato asmens duomenų tvarkymo jei įmonė nori tvarkyti kandidato asmens duomenis nesant kitų pagrindų tokiam tvarkymui.  

 

Pabaigai. Šiame straipsnyje yra aptarti esminiai aspektai, kuriuos įmonė turėtų įgyvendinti norėdama tvarkyti kandidatų asmens duomenis. Kartu paminėtina, kad kiekvienas atvejis yra individualus, todėl labai svarbu įmonėje procesus susidėlioti taip, kad jie tiek atitiktų BDAR reikalavimus, tiek būtų „patogūs“ įmonei. Šiuo atveju negalime pamiršti ir to, kad potencialaus darbuotojo gyvenimo aprašymo išsiuntimas yra pirmas jo kontaktas su potencialiu darbdaviu, todėl, norint atsirinkti pačius geriausius kandidatus, ir pačiai įmonei konkrečiais veiksmais (šiuo atveju įmonės požiūriu į privatumą) galima save pristatyti kaip atsakingą verslą. Taip gausite naudos ne tik dėl baudų prevencijos, bet ir tapsite patrauklesniu darbdaviu.

Straipsnį paruošė Birutė Kusaitė, advokatė, sertifikuota asmens duomenų apsaugos ekspertė (CIPP/E), Advokatų kontora Šarka, Jankauskas ir partneriai.  

 

 

[1] Valstybinės duomenų apsaugos inspekcijos 2019 m. „Asmens duomenų apsaugos gairės smulkiajam ir vidutiniam verslui“

Daugiau patarimų