Оксана Задніпровська, партнерка Axon Partners, співкерівниця практики приватності, розповідає про те, що варто знати про приватність даних, якщо ви почали наймати людей у Європі.

Через війну ваш клієнт загітував вас відкрити офіс в Польщі і найняти туди місцевих. А тепер уявіть, що вам написав орган із захисту даних Польщі, бо ваші українські рекрутери хантили європейця через WhatsApp. У цій статті розбираємося, як компанії не облажатися на рекрутингу, зважаючи на GDPR.

Як НЕ варто рекрутити в ЄС:

Використовувати традиційні українські підходи до пошуку і комунікації 

Зазвичай рекрутинг в Україні передбачає агресивне втручання в приватність. Для українського рекрутера знайти контактні дані кандидата нескладно – вони є десь на LinkedIn чи в інших соцмережах. Якщо дані приховані – тоді їх можна знайти в інших місцях, скажімо, серед відкритих даних. І тоді починається: 

  • Кандидат не відписує у LinkedIn, значить треба знайти його email, чого би це не коштувало;
  • Кандидат не відповідає на email – рекрутер пише в Telegram чи навіть телефонує. 

Такі методи геть не годяться, і не тільки з морально-етичних міркувань. В ЄС є суворий GDPR – регламент, що регулює правила обробки даних з ЄС і встановлює штрафи за неправомірне втручання у приватність до 20 мільйонів євро або 4% річного світового обороту. 

Якщо в Україні важко покарати за збір даних із сумнівних джерел і їх використання без належної правової підстави, в ЄС регулятор незалежний, має достатньо людей і часу, аби опрацювати скаргу кандидата і прийти до компанії за поясненнями. 

Використовувати застосунки типу Contactout чи hireEZ

Це переважно втручання у приватність. Ці сервіси збирають дані людей у відкритому доступі і формують з них бази даних, які потім продають своїм клієнтам. Точно ви ніколи не дізнаєтеся, де вони взяли дані людей, чи законно їх отримали, чи не порушили правила соцмереж, з яких їх отримували. Люди зазвичай добровільно не передають дані власне цим застосункам (не плутати із передачею LinkedIn чи соцмережам). А отже, кандидати не можуть розумно очікувати, що їх дані передадуть комусь чи спарсять. 

Перед використанням таких сервісів варто, щоб ваші юристи перевірили:

  • у правилах та політиках приватності сервісів – звідки саме вони отримують дані,
  • у правилах-політиках соцмереж – кому, для чого і за яких умов вони можуть передавати дані.

Додатково юристам варто провести оцінку легітимних інтересів (legitimate interest assessment). Це аналіз, як інтерес ІТ-компанії шукати дані кандидатів у відкритих джерелах співіснує із правом кандидата на приватність. У процесі треба відповісти на питання, звідки зібрані дані кандидата, чи законно, чи повідомляє сервіс кандидатів про збір їх даних, чи є в кандидата можливість відмовитися від збору, чи може кандидат очікувати, що йому буде писати рекрутер з використанням цих даних і так далі. 

З великою ймовірністю, в результаті юристи скажуть, що тест на легітимний інтерес провалено. Але такі сервіси бувають різні, тож можуть бути і винятки.

Шукати email через коміти людини на GitHub 

Це теж втручання в приватність. Користувач GitHub може приховати свою електронну пошту, але “забуває”, що її можна знайти в інших місцях. Наприклад, рекрутеру досить зайти в репозиторії, які людина виклала у GitHub, перейти до коміту з іменем людини, зайти в ID коміту і скопіювати звідти email. Або, якщо там немає пошти, то в рядку з адресою сторінки коміту рекрутер додає «.patch», і тоді копією пошту з другого ж рядка. 

Вже сама складність маніпуляцій натякає: 

  • це суперечить очікуванням користувача: користувач свідомо приховує свій email з публічного доступу, налаштувавши приватність в обліковому записі GitHub; рекрутер в обхід налаштувань знаходить цю пошту і використовує для своїх цілей;
  • це суперечить правилам GitHub: навіть публічна пошта користувача може використовуватися лише для цілей GitHub, а не для рекрутингу і реклами:

“…where a GitHub user has made an email address public-facing for the purpose of identification and attribution, do not use that email address for the purposes of sending unsolicited emails to users or selling personal information, such as to recruiters, headhunters, and job boards, or for commercial advertising…”.

Збирати згоду які підставу для обробки даних кандидатів

Згода – не найкращий вибір. 

Для обробки персональних даних треба мати на це правові підстави за GDPR. Наприклад, підставами обробки може бути згода, легітимний інтерес, потреба виконати договір із субʼєктом. Якщо вони є – обробка законна.

В українських ІТ-компаній можуть свербіти руки зібрати згоди від кандидатів. Але будь-який прайвасі-юрист скаже вам, що на відміну від українського закону про захист персональних даних, GDPR рекомендує збирати згоду тільки коли більше нічого не підходить. 

Ще одна причина не використовувати згоду – вимоги до неї вкрай суворі. Вона має бути:

  • інформованою – кандидат має чітко знати, на що погоджується;
  • вільно наданою – кандидат має мати вибір – погоджуватися чи ні, і якщо він не погодиться, для нього не буде негативних наслідків;
  • спеціальною – згода має надаватися під чітко визначену мету, і якщо мета не одна – під кожну мету треба збирати окрему згоду;
  • недвозначною – згоду має бути неможливо сплутати з чимось іще (наприклад, з бажанням працювати із компанією).

А ще кандидат має мати змогу відкликати (забрати) згоду, як тільки йому захочеться, і тоді його дані обробляти не можна. Ну і наостанок, у випадку суперечки, компанія муситиме доводити, що вона отримала згоду. Тобто, треба якось фіксувати, що конкретна людина погодилася у конкретній формі у конкретний момент на конкретну обробку. А це величезний головняк не тільки для ваших рекрутерів, а і для технічних спеціалістів.

Контактувати у WhatsApp/Telegram

Тут рівень втручання у приватність зашкалює. Цього робити не варто, якщо тільки сама людина не дала свій контакт вашим рекрутерам і не попросила далі спілкуватися в месенджері. Перший контакт з людиною у такий спосіб не сподобається ні європейцю, ні регуляторам у сфері приватності (якщо європеєць їм поскаржиться). 

Зберігати бази кандидатів до нескінченності

Дані потрібно видаляти, як тільки стає зрозуміло, що людина не підходить на вакансію. Так вважає European Data Protection Board (орган, що має право тлумачити GDPR) та WP29 (його попередник). 

Якщо все ж вашим рекрутерам дуже хочеться – можна зберігати дані довше, для майбутніх вакансії. Але людину треба повідомити про це і надати їй можливість заперечити (за Рекомендаціями Комітету Міністрів державам-членам ЄС). Якщо людина не заперечує у відповідь на таке повідомлення – можна зберігати дані трішки довше. Але тільки не нескінченність. А взагалі чим менше – тим краще.

Як ВАРТО рекрутити в ЄС:

Шукати кандидатів і комунікувати з ними вперше через LinkedIn 

Ймовірно, ваші рекрутери уже використовують платний функціонал LinkedIn для рекрутерів. Використовувати його для пошуку і контактування з людьми не тільки можна за правилами LinkedIn, а ще й правомірно і з повагою до приватності. Найперше це тому, що люди реєструються на LinkedIn з очікуваннями, що це професійна соцмережа, через яку можна знайти роботу і підтримувати контакти з рекрутерами. А ще люди прямо погоджуються з правилами і політиками платформи. 

Активно публікувати вакансії 

Варто робити публікацію вакансій. Найкраще – на сервісі для пошуку працівників, який належить компанії з ЄС, бо:

  • компанія в ЄС зобовʼязана захищати дані відповідно до високих стандартів GDPR;
  • коли ваші рекрутери публікують вакансію, то людина сама на неї приходить, сама надає дані компанії і має безліч шансів дізнатися про всі privacy-практики напряму – скажімо, у місці публікації вакансії буде посилання на документи компанії. 

Мати правильні підстави обробки

Замість згоди, найчастіше у рекрутингу юристи пропонують апелювати до таких підстав:

  • необхідність робити кроки до укладення договору за запитом кандидата: людина сама приходить на опубліковану вакансію або присилає резюме у відповідь на запитання, чи цікава їй вакансія. Ваші рекрутери обробляють резюме, отримують інформацію зі співбесід і виконані завдання – все, щоб людина змогла підписати з компанією договір (стати працівником/підрядником);
  • легітимний інтерес: ваші рекрутери знаходять контакт в LinkedIn чи в іншому місці і в теорії можуть написати людині про вакансію на її електронну пошту (ні згоди, ні кроків до договору за запитом кандидата тут немає). Або це коли рекрутерам хочеться зберігати дані кандидата, якому компанія відмовила, щоб пізніше пропонувати інші вакансії. Перед тим, як щось таке робити – ваші юристи мають провести legitimate interest assessment. Якщо він буде негативним – краще не обробляти дані у такий спосіб. 

Обережно контактувати з кандидатами

Кандидат в ЄС має право на прозору і зрозумілу інформацію про практики обробки його даних. Це право треба реалізувати одразу ж, при першому контакті.

Наприклад, рекрутер від імені компанії звертається до кандидата, дані якого знайшов у відкритих джерелах. Тут обовʼязково треба пояснити, звідки взялися ці дані кандидата, які саме дані є в рекрутера, яка мета обробки, хто контролер (компанія, що найматиме). 

Це можна зробити повідомленням в рамках того ж листа до кандидата. 

Щоб не перевантажувати лист, можна додати посилання на privacy notice компанії або ж прикріпити privacy notice до листа. 

Як виглядає чекліст юридично правильного рекрутингу

Жодний європейський ІТ-шник не буде мати претензій до вашої компанії, якщо ви:

  • разом із юристом переглянете інструкції ваших рекрутерів щодо пошуку людей і після оцінки легітимного інтересу приберете все сумнівне; 
  • переглянете та редагуєте тексти листів, які шлють ваші рекрутери кандидатам; 
  • підготуєте тексти повідомлення про приватність (privacy notice), де ваші юристи опишуть практики обробки даних у компанії;
  • налаштуєте систему управління даними на вчасне видалення, не зберігатимете нічого зайвого;
  • подбаєте, щоб рекрутери вміли безпечно поводитися з персональними даними на технічному рівні.

Бо повірте, правильно все налаштувати буде легше, ніж готувати розʼяснення для регулятора.

Автор: Оксана Задніпровська, партнерка Axon Partners, співкерівниця практики приватності