Co się dzieje z naszymi CV? Czy lądują w archiwum firmy, gdy zostajemy przyjęci, a znikają w niebycie, jeśli nam podziękują? Czy pracodawcę obowiązują w tym temacie jakieś reguły? I co kryje się za tajemniczym sformułowaniem o wyrażaniu zgody na przetwarzanie danych, jakie widnieje w anonsach? A może ta klauzula daje szefowi możliwość sprzedawania naszych danych np. firmom marketingowym? Dyrektor Zespołu Rzecznika Prasowego Biura Generalnego Inspektora Danych Osobowych Małgorzata Kałużyńska-Jasak wyjaśnia, że każdy administrator danych, a jest nim także pracodawca, jest zobowiązany do dbałości o dane osobowe. Przepisy Ustawy o ochronie danych osobowych określają ogólne zasady ich zabezpieczania.
- Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem - wyjaśnia dyrektor biura.
Jak zabezpieczać dane? To już ustawodawca pozostawia administratorowi, czyli w tym przypadku pracodawcy. Systemy alarmowe, sejfy, wyspecjalizowane służby ochroniarskie - każdy sposób jest dobry, jeśli prowadzi do celu. Ważne jest jedno: dokumenty, a w tym i pracownicze CV, trzeba chronić, bo brak zabezpieczeń może pociągnąć za sobą dotkliwe kary. Wśród nich - karę ograniczenia lub pozbawienia wolności, nawet do dwóch lat, oraz grzywny. Media donosiły o przypadkach, gdy lekkomyślny administrator danych musiał zapłacić nawet 100 tys. zł.
Na jakie paski szef musi pociąć CV
Gdy mowa o przechowywaniu dokumentów, pojawia się często pojęcie ich przetwarzania. Co ono znaczy? Może to dziwić, ale przetwarzanie oznacza również niszczenie. Jest ono jedną z form przetwarzania danych osobowych. A jako takie, podlega określonym regułom.
- Nie ma przy tym znaczenia, czy chodzi o niszczenie danych osobowych zawartych w dokumentach papierowych, czy na nośnikach informatycznych - wyjaśnia dyrektor biura. - Ustawa nie wskazuje konkretnego sposobu niszczenia (pozbywania się) zgromadzonych danych osobowych. Najistotniejsze, by wybrana metoda uniemożliwiała ponowne odtworzenie zniszczonych danych osobowych.
Administrator danych może zniszczyć je sam, ale może zlecić to zadanie wykonawcy z zewnątrz. W takim wypadku jednak musi z nim zawrzeć umowę powierzenia przetwarzania danych. W umowie tej trzeba dokładnie określić, w jakim celu i w jakim zakresie taki wykonawca będzie przetwarzał powierzone mu dane. Jeśli więc ma je zniszczyć, musi to być określone w umowie.
Samo niszczenie dokumentów również podlega ściśle określonym regułom. Określają je międzynarodowe normy. Zgodnie z nimi, wyróżnia się 5 poziomów bezpieczeństwa, na których niszczy się: dokumenty ogólnego użytku, wewnętrzne, poufne, tajne i ściśle tajne. Im wyższy poziom bezpieczeństwa, tym mniejsze paski i ścinki, na które powinny być pocięte niszczone dokumenty. Na przykład te ogólnego użytku muszą zostać pocięte na paski węższe niż 6 mm lub ścinki o powierzchni mniejszej niż 800 mm2. W przypadku papierów ściśle tajnych to już odpowiednio: mniej niż 0,8 mm szerokości i powierzchnia ścinek mniejsza niż 10 mm2.
Eksperci przypominają przy tym, że do rzetelności i uwagi przy przechowywaniu oraz przetwarzaniu dokumentów powinna skłaniać pracodawców przede wszystkim myśl o bezpieczeństwie ich firmy. Ochrona informacji dotyczących umów i kontrahentów, wyciągów bankowych, ale również danych osobowych pracowników zabezpiecza przed ich kradzieżą. Szpiegostwo przemysłowe to realne zagrożenie - zwłaszcza dla firm liczących się na rynku i operujących wrażliwymi informacjami.
Zgoda na przetwarzanie - cóż to jest?
Wątpliwości przy składaniu CV budzi też niekiedy konieczność podpisania klauzuli o wyrażeniu zgody na przetwarzanie danych osobowych. Czy nie oznacza ona, że zgadzamy się np. na sprzedaż swoich danych firmom marketingowym? Otóż nie. Klauzula winna być podana w formie jednoznacznie wskazującej, iż zgoda na przetwarzanie danych osobowych zawartych w CV dotyczy wyłącznie potrzeb niezbędnych przy realizacji procesu rekrutacyjnego.
Co za tym idzie, jeśli kandydat wyrazi zgodę na przetwarzanie jego danych tylko w celu przeprowadzenia konkretnej rekrutacji, to w razie, gdy nie zostanie przyjęty, jego dane powinny zostać usunięte. Zaś warunkiem niezbędnym do ich dalszego przetwarzania, na przykład w celach marketingowych, jest jego dodatkowa, wyraźna zgoda. NSA już w wyroku z 2001 r. stwierdził, iż zgoda na przetwarzanie danych osobowych w celach związanych z marketingiem powinna być zawarta w złożonym przez kandydata odrębnym oświadczeniu o wyrażeniu zgody.
TK /AK/WP.PL