Az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation – GDPR) 2018. május 25-től kötelező és közvetlenül alkalmazandó minden tagállamban, így Magyarországon is. Erre tekintettel elkerülhetetlen, hogy az adatkezelők, illetve adatfeldolgozók felülvizsgálják eddigi adatkezelésük jogi kereteit, és azokat az új adatvédelmi követelményekhez igazítsák. A felülvizsgálat egyik kiemelt területe a munkajogviszonnyal összefüggésben történő személyes adatok kezelése. Személyes adatok birtokába azonban nemcsak a munkaviszony fennállása során jut a munkáltató, hanem már a munkaviszony létesítését megelőzően is. Jelen cikk az álláshirdetésekkel és a pályázatokkal, valamint a közösségi oldalon létrehozott profil megtekintésével kapcsolatos adatkezelés lényeges szabályait foglalja össze különös figyelemmel a Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: NAIH) gyakorlatára.
Személyes adatok kezelése – az anonim álláshirdetések tilalma és a megfelelő (előzetes) tájékoztatás követelménye
A NAIH gyakorlata szerint anonim álláshirdetések közzététele – eltekintve néhány kivételes, a munkáltató gazdasági (piaci) érdekeivel megfelelő módon indokolható esetkörtől – mindenképpen kerülendő. Az az álláshirdetés anonim, amelyben a cégnév nem kerül feltüntetésre. A pályázó információs önrendelkezési jogához tartozik ugyanis, hogy már pályázatának elküldését megelőzően a személyes adatok kezelése tekintetében megfelelő információval rendelkezhessen többek között arról, hogy kinek, illetve mely társaságnak adja meg a személyes adatait. Különösen fontos, hogy az álláshirdetésben e-mail-cím, illetve telefonszám is kerüljön feltüntetésre, amelyek segítségével a pályázó a személyes adatok kezelésével összefüggésben gyakorolhatja jogait, így például kérheti személyes adatainak törlését.
Közösségi oldalon létrehozott profil megtekintése
A NAIH gyakorlata – és a 29-es Adatvédelmi Munkacsoport ajánlása – szerint a közösségi oldalak megtekintésével összefüggésben legalább az alábbi adatvédelmi követelményeket szükséges betartani a kiválasztási eljárások során:
- Előzetes tájékoztatást kell biztosítani a pályázók részére (ismertetni szükséges, hogy a kiválasztási eljárás során a munkáltató megtekinti a pályázó valamely közösségi oldalon létrehozott profilját, annak bárki által elérhető, nyilvános tartalmát).
- A munkáltató az ún. korlátozottan nyilvános adatokat nem ismerheti meg (például zárt csoportban közzétett adatok a csoport más tagja által történő megszerzése).
- Kizárólag azok az adatok ismerhetőek meg, amelyek az adott álláspályázat kapcsán lényegesnek és relevánsnak minősülnek.
- A pályázó közösségi oldalon nyilvánosan végzett tevékenysége megismerhető, abból következtetés vonható le, de bárminemű további adatkezelés nem megengedett (azaz a pályázó profiloldala nem tárolható el és nem továbbítható).
Sikertelen pályázat – a munkáltatót értesítési kötelezettség terheli
A pályázók információs önrendelkezési jogával függ össze a sikertelen pályázatról való értesítés követelménye. A NAIH gyakorlata szerint így nem megfelelő az álláshirdetésben olyan (és ehhez hasonló) kikötés feltüntetése, amely szerint „amennyiben a pályázó a jelentkezési határidő lejártát követő 8 napon belül nem kap értesítést, úgy jelentkezése elutasítottnak tekintendő”.
A pályázati anyagok megőrzése
A kiválasztással és a pozíció betöltésével az adatkezelés célja megszűnik, így a ki nem választott pályázók személyes adatait törölni kell, illetve amennyiben a pályázó kéri, úgy a pályázati anyagot vissza kell küldeni részére. Fontos kiemelni, hogy személyes adatnak minősül az adatból levont, a pályázóra vonatkozó következtetés is. Azaz, ha a munkáltató feljegyzést készít a pályázóról, akkor az is személyes adatnak minősül, amelyet szintén törölni kell a kiválasztás lezárásakor. A pályázatok jogszerű továbbkezeléséhez kizárólag a pályázó önkéntes, konkrét és megfelelő tájékoztatáson alapuló, egyértelműen kinyilvánított hozzájárulása esetében van mód. Így például nem fogadható el az olyan (és ehhez hasonló) munkáltatói kikötés, amely szerint „amennyiben levelünkre nem válaszol 8 napon belül, úgy személyes adatait tovább kezeljük”.
Az álláshirdetések és pályázatok során is – tekintettel arra, hogy ebben a fázisban is történik személyes adatok kezelése – kellő körültekintéssel, az adatvédelemmel összefüggő szabályok betartása mellett szükséges tehát eljárni.
Amennyiben Önt is érdekli, hogy cége adatkezelési gyakorlata megfelel-e a GDPR követelményeinek, lépjen velünk kapcsolatba, szívesen áttekintjük jelenlegi helyzetét!
