U pravilu, javna tijela ili tijela javne vlasti, uključujući i javne ustanove, fakulteti, škole, dječji vrtići, jedinice lokalne uprave i ostali obveznici transparentnosti postupaka selekcije i zapošljavanja putem javno objavljenih natječaja, u okviru svojih postupaka moraju slijediti jasna pravila objave i primjene kriterija evaluacije kandidata, osigurati jasne informacije kandidatima o terminima testiranja i intervjua i osigurati da takve informacije zaista i dođu do svakog kandidata te moraju dokazati i da su postupak proveli po zadanim procedurama i ispunili obveze transparentnosti.
No, nije rijedak slučaj da javno tijelo objavi imena i prezimena kandidata za radno mjesto na svojim web stranicama, zajedno s OIB-om, stručnom spremom, adresom prebivališta, datumom rođenja...
Takvo postupanje nije ispravno, najkraće i najblaže rečeno.
Takvim se postupanjem krši GDPR.
Ali ne samo iz razloga što je tako AZOP rekao u svom javno objavljenom stajalištu:
https://azop.hr/info-servis/detaljnije/objava-osobnih-podataka-kandidata-u-natjecajnom-postupku
kojim daje uputu da se umjesto javne objave osobnih podataka kandidata pošalju izravni mailovi ili pošta kandidatima o terminima testiranja ili intervjua ili na način da se raspored testiranja provodi uz poduzimanje odgovarajućih mjera zaštite, primjerice: navodeći prvo slovo prezimena kandidata po abecednom redoslijedu i sl.
Moramo biti svjesni da postoje kandidati koji ne žele da njihov trenutni poslodavac sazna da se kandidiraju za radno mjesto kod drugog poslodavca.
Situacija u kakvoj se takav kandidat može naći je vrlo nezgodna za kandidata koji ne uspije pobjediti na natječaju, a istovremeno ga njegov sadašnji poslodavac može početi promatrati drugim očima, pa i temeljem određene "nelojalnosti" kazniti ga ili čak i otpustiti, što vodi do financijskog gubitka. Može doći i do štete na ugled tog pojedinca i narušavanja njegovih odnosa u privatnom i poslovnom životu.
U takvim slučajevima kandidat trpi materijalnu i nematerijalnu štetu, uzrokovanu nezakonitom javnom objavom njegovih osobnih podataka na web stranicama organizacije koja je otvorila javni natječaj.
Koje su moguće posljedice?
Prema članku 82. GDPR-a svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja GDPR-a ima pravo na naknadu od voditelja ili izvršitelja obrade za pretrpljenu štetu, i to pred domaćim nadležnim sudom.
Istovremeno, neovisno od sudskog postupka, oštećeni kandidat može pokrenuti postupak i pred AZOP-om (Agencija za zaštitu osobnih podataka), čime ukupni iznosi kazni organizatoru natječaja za radno mjesto mogu biti još ozbiljniji.
Pri tom se voditelj ili izvršitelj obrade mogu izuzeti od odgovornosti samo ako dokažu da ni na koji način nisu odgovorni za događaj koji je prouzročio štetu.
Objektivno, dokazati prethodno navedeno je "mission impossible" jer se radi o javnoj objavi osobnih podataka kandidata koju je upravo voditelj obrade izvršio.
Stoga, oprezno s osobnim podacima kandidata za vrijeme natječaja.
Također i nakon izvršenog natječaja moramo biti vrlo oprezni s osobnim podacima i dokumentacijom neprimljenih kandidata. Trajno zadržavanje osobnih podataka i dokumentacije neprimljenih kandidata za radno mjesto je po GDPR-u nezakonito i mora se odrediti jasan rok na koji se takvi podaci i dokumenti zadržavaju i komunicirati ga kandidatima prije natječaja. Tu GDPR kaže jednostavno da se takvi podaci čuvaju samo onoliko dugo koliko je potrebno u svrhe radi kojih se čuvaju. Promislimo i argumentirajmo koji je to rok, kako bismo mogli dokazati našu usklađenost s GDPR-om.