Odpowiedzialność rekrutera zależy od jego roli wobec danych:
1. Rekruter jako pracownik działu HR (w imieniu
pracodawcy)
- Administrator
danych: to pracodawca (firma zatrudniająca), nie indywidualny
rekruter.
- Rekruter
działa na podstawie upoważnienia do przetwarzania danych osobowych
i w ramach procedur wdrożonych przez pracodawcę.
- Odpowiedzialność
rekrutera ma wtedy charakter pracowniczy – musi przestrzegać
procedur, nie wynosić CV, nie kopiować danych na prywatne nośniki, nie
przekazywać ich osobom nieuprawnionym.
- Za
naruszenie przepisów (np. wyciek danych z winy rekrutera) odpowiedzialność
ponosi pracodawca wobec organów nadzorczych i kandydatów, ale
rekruter może odpowiadać dyscyplinarnie lub materialnie wobec swojego
pracodawcy.
2. Rekruter jako firma zewnętrzna (agencja pracy,
headhunter)
- Jeśli
działa na zlecenie pracodawcy, zwykle jest podmiotem
przetwarzającym (procesorem) – musi mieć podpisaną umowę powierzenia
danych z klientem.
- Jeżeli
sam zbiera CV, buduje własną bazę kandydatów i dopiero później rekomenduje
ich klientom – wtedy pełni rolę administratora danych osobowych (bo
sam decyduje o celach i sposobach przetwarzania).
- W
obu przypadkach musi:
- realizować
obowiązek informacyjny wobec kandydatów,
- dbać
o podstawę prawną (np. zgoda kandydata, uzasadniony interes),
- zapewnić
odpowiednie zabezpieczenia techniczne i organizacyjne,
- umożliwiać
kandydatom korzystanie z praw (dostęp, usunięcie, sprostowanie,
ograniczenie).
3. Ryzyka i konsekwencje
- Odpowiedzialność
administracyjna: kary finansowe od UODO (do 20 mln € lub 4% obrotu).
- Odpowiedzialność
cywilna: kandydat może domagać się odszkodowania za naruszenie jego
praw.
- Odpowiedzialność
karna: w Polsce np. za nieuprawnione udostępnianie danych (art. 107
ustawy o ochronie danych osobowych).
- Odpowiedzialność
pracownicza: jeśli rekruter działa w ramach stosunku pracy i złamie
zasady.
Brak komentarzy:
Prześlij komentarz