Google neupravičeno hranil osebne podatke kandidatov za zaposlitev
Matej Huš
10. maj 2023 ob 19:47:56
Splošna uredba (GDPR) je zelo jasna v določbah, da podjetja ne smejo osebnih podatkov ljudi dlje, kot je to nujno potrebno. Zato se Googlu obeta preiskava, saj je žvižgač Mohamed Maslouh ugotovil, da je podjetj več kot desetletje hranilo osebne podatke kandidatov za delovna mesta, četudi jih kasneje niso zaposlili.
Maslouh je delal kot pogodbeni podizvajalec, ko je pri prijavi v Googlov interni kadrovski sistem gHire ugotovil, da so v njem dostopni osebni podatki več tisoč ljudi iz EU in Velike Britanije. Šlo je za imena, telefonske številke, osebne elektronske naslove, življenjepise in podobno. To je v nasprotju z GDPR, zato je početje prijavil britanskemu (ICO) in irskemu (DPC) informacijskemu pooblaščencu. Ta bosta sedaj verjetno preiskala - uradne potrditve še ni -, kaj se je dogajalo.
Google je v odzivu povedal, da so lani zagnali orodje, ki je globalno v celem gHire prečistilo vnose in poskrbelo za zasebnost kandidatov. Trdijo, da je Maslouh podatke videl pred tem. To morda drži, a GDPR velja od leta 2018, zato je bil Google v prekršku vsaj štiri leta, četudi so čiščenje interno začeli že leta 2021, kot so zatrdili. GDPR je namreč omogočal zgolj eno leto časa, da se to uredi.
Čeprav v GDPR ni izrecne časovne omejitve, Evropska komisija in sodišča tolmačijo določbe o najkrajšem nujno potrebnem času zelo striktno. Pri zaposlovanju je to lahko zgolj nekaj tednov po izbiri kandidata, izjemoma pa eno leto, če kandidati pisno dovolijo daljše hranjenje podatkov. GDPR tudi jasno določa, da je dokazno breme na podjetju, torej bo moral Google dokazati, da je imel upravičene razloge za več hrambo več kot desetletje starih osebnih podatkov kandidatov. Še teže pa bo Google utemeljil, zakaj je hranil podatke pasivnih kandidatov - to so ljudje, ki se niso nikoli prijavili, temveč jih je Google sam zaznal kot potencialno zanimive kadre. Google izrecno zavrača, da bi te podatke strgali z interneta (scraping). Trdijo, da imajo zgolj podatke prijavljenih kandidatov ali prek priporočil.
ICO in DPC se na poizvedbe nista odzvala.