Rekruter musi zgłosić naruszenie do UODO, jeśli
doszło do naruszenia ochrony danych osobowych, które może powodować
ryzyko naruszenia praw lub wolności osób fizycznych (np. kandydatów). To
obowiązek z art. 33 RODO — i dotyczy każdej sytuacji, w której dane „wyszły
spod kontroli”.
Poniżej masz praktyczną listę przykładów typowych
naruszeń rekrutacyjnych, przy których zgłoszenie do UODO jest konieczne
lub wysoce prawdopodobne.
🔥 Kiedy rekruter narusza
RODO i musi zgłosić naruszenie do UODO?
1) Wyciek danych kandydatów
Naruszenie, które prawie ZAWSZE wymaga zgłoszenia:
- wysłanie
CV do złego klienta lub niewłaściwego managera,
- przesłanie
pliku z danymi kandydatów pod zły adres e-mail,
- pozostawienie
CV w niezabezpieczonym miejscu (druk, pendrive),
- przechowywanie
CV w chmurze/ATS bez odpowiednich zabezpieczeń, a dane „uciekły”.
👉 Jeśli dane trafiły do
osoby nieupoważnionej — zgłoszenie jest obowiązkowe.
2) Udostępnienie danych osobom, które nie powinny ich
widzieć
Np.:
- rekruter
udostępnia CV komuś z firmy „bo może będzie pasował”, mimo braku
upoważnienia,
- przesyłanie
CV do zewnętrznych podmiotów bez umowy powierzenia.
Jeśli dane obejmują telefon, e-mail, historię zatrudnienia,
wynagrodzenie — jest to realne ryzyko dla kandydata → zgłoszenie wymagane.
3) Zastosowanie AI lub narzędzi automatyzujących bez
poinformowania kandydata
Np.:
- rekruter
używa AI do selekcji kandydatów,
- AI
profiluje, ocenia, automatycznie odrzuca kandydatów,
- kandydaci
nie wiedzą, że podlegają automatycznemu przetwarzaniu.
To jest naruszenie obowiązku informacyjnego.
Czy wymaga zgłoszenia? Tak — jeśli działanie mogło realnie wpłynąć na prawa
kandydatów (np. redukcja szans na zatrudnienie przez algorytm bez ich wiedzy).
4) Przetwarzanie danych, których nie powinno się zbierać
Np.:
- rekruter
gromadzi dane wrażliwe (zdrowie, wyznanie, poglądy polityczne) z forów
jak Li, FB itp.,
- dalej
je przechowuje lub przekazuje dalej,
- nie
ma podstawy prawnej, a kandydat nie wyraził zgody.
Dane szczególnych kategorii = wysokie ryzyko, więc
zwykle → zgłoszenie do UODO.
5) Utrata danych
Nawet jeśli nikt ich nie „podejrzał”, ale:
- CV
zostało skasowane,
- dane
zostały uszkodzone,
- rekruter
nie ma do nich dostępu (awaria, ransomware),
To również jest naruszenie, bo kandydat traci kontrolę
nad swoimi danymi.
Zgłaszamy, jeśli może to mieć skutki dla kandydata — np.
dokumenty zawierały pełną historię zatrudnienia, PESEL, dane kontaktowe.
⚠️ Kiedy rekruter NIE musi
zgłaszać naruszenia do UODO?
Jeśli naruszenie nie niesie ryzyka dla osoby, np.:
- CV
wysłano do innego rekrutera wewnątrz tej samej firmy, który ma
upoważnienie,
- dane
zostały chwilowo utracone, ale były w pełni zaszyfrowane i zabezpieczone.
Zawsze jednak trzeba to udokumentować w rejestrze
naruszeń.
⏱️ Termin
Zgłoszenie do UODO trzeba wysłać w ciągu 72 godzin od stwierdzenia naruszenia. Jest to czas, w którym doszło do naruszenia i ktoś u Administratora to stwierdził np.: zorientował się, że źle wysłał maila po 2 godzinach, ale czas biegnie od wysłania maila, ponieważ oceniamy to z perspektywy danych osobowych a nie Administratora. Dlatego wysłane DO są już 2 godziny poza kontrolą u osoby nieupoważnionej, a więc naruszenia trwa już od 2 godzin.
Brak komentarzy:
Prześlij komentarz