Málokterý personalista se nevěnuje při náboru zaměstnanců ochraně osobních údajů. Vždyť i dobře známý zákon o zaměstnanosti upravuje, které osobní údaje lze po uchazečích chtít. Pokud si chcete ověřit, že postupujete v souladu s GDPR, tak čtěte dále.
V prvé řadě je třeba se zamyslet nad zákonným důvodem pro zpracování. V případě náboru zaměstnanců lze zvažovat (i) souhlas uchazeče, (ii) provedení opatření přijatých před uzavřením smlouvy a (iii) oprávněné zájmy zaměstnavatele. Zde je třeba upozornit, že získání souhlasu nebude obvykle nutné, neboť si lze vystačit s ostatními důvody.
Souhlas je možné zvažovat v situacích, kdy bude vhodné uchovat údaje uchazečů pro další výběrová řízení nebo kdy budeme chtít přistupovat k údajům zaměstnance na internetu. V prvně uvedené situaci však namísto souhlasu lze do textu pracovního inzerátu uvést, že osobní údaje budou ponechány i pro další pracovní příležitosti. Uchazeč potom bude mít možnost vznést proti uchování těchto údajů námitku.
V případě veřejně dostupných údajů na internetu (včetně sociálních sítí) se lze obejít bez souhlasu, aby bylo možné posoudit konkrétní rizika v souvislosti s uchazeči o konkrétní místo. Na to musí být uchazeči upozorněni v textu pracovního inzerátu. Ohledně neveřejně přístupných údajů (např. soukromé části profilů) pak souhlas třeba bude. Je třeba v této situaci dbát na to, aby souhlas byl dobrovolný a nebyl nijak vynucován.
Při sepisování inzerátu je pak třeba dbát na údaje, které jsou po uchazečích vyžadovány. Zcela v pořádku je vyžadovat údaje o kvalifikaci, pracovní praxi, dovednostech a znalostech uchazeče o zaměstnání. Zakázané (až na výjimky) jsou typicky informace o těhotenství, členství v odborových organizacích, sexuální orientaci, náboženství atp.
Zcela zvlášť je třeba upozornit na získávání údajů o trestní bezúhonnosti. Jejich vyžadování je obecně zakázáno, ledaže je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, nebo v případech, kdy to zvláštní právní předpis umožňuje.
GDPR potom na správce klade i informační povinnost, tj. povinnost informovat uchazeče o různých důsledcích zpracování. Asi nejjednodušším způsobem je přiložení zásad pro zpracování osobních údajů k textu inzerátu, popř. odkazu na ně u elektronického inzerátu. Zároveň se tím dosáhne omezení zahlcení uchazeče nedůležitými informacemi.
Mnoho nejasností mezi zaměstnavateli také panuje ohledně postupu po skončení výběrového řízení. Konkrétně se jedná o nakládání s osobními údaji neúspěšných a úspěšných uchazečů. Na ochranu osobních údajů je nutné, ostatně jako při každém zpracování, myslet již od počátku výběrového řízení. Je proto třeba mít přehled o umístění osobních údajů (tj. kde jsou životopisy, poznámky, emaily atp.) hned od zahájení výběrového řízení.
Jakmile je výběrové řízení skončeno, za což lze považovat okamžik, kdy dojde ke konečnému rozhodnutí ohledně obsazení nebo neobsazení pracovního místa, resp. kdykoliv bude zřejmé, že nabídka zaměstnání nebude dotčené fyzické osobě učiněna, nebo že ji tato osoba nepřijme, tak musí být přistoupeno k rozhodnutí o osudu nashromážděných osobních údajů.
To bude záviset na tom, zdali uchazeči byli informování o možnosti uchování jejich údajů i nadále (popř. byl zajištěn jejich souhlas) nebo nikoliv. Pokud nastane dříve uvedený případ, tak je možné osobní údaje uchovat. V opačném případě bude muset dojít k jejich likvidaci nebo smazání (podle formy uchování). V případě elektronicky uchovávaných osobních údajů je vhodné myslet i na vytvářené zálohy, kdy by nemělo docházet k obnovení smazaných osobních údajů z vytvořených záloh.
Odlišnou situací je pak přijetí uchazečů. V těchto případech je oprávněným zájmem zaměstnavatele osobní údaje uchovat, kdy tyto v zásadě budou tvořit základ osobní složky zaměstnance.
Pokud dojde k zapojení třetích stran do náboru zaměstnanců (především různých pracovních agentur), pak je z hlediska GDPR nutné pamatovat na vzájemný vztah mezi zaměstnavatelem a třetí stranou. Pokud na některém serveru dojde jen k vyvěšení pracovního inzerátu s tím, že uchazeči budou komunikovat přímo se zaměstnavatelem, pak se nebude jednat o vztah upravený GDPR. Když však komunikace bude probíhat přes třetí stranu (pracovní agenturu), pak se již bude jednat o vztah správce – zpracovatel. V této situaci vzniká povinnost uzavřít zpracovatelskou smlouvu. Některé pracovní agentury mají možnost uzavřít zpracovatelskou smlouvu elektronicky, což je třeba ověřit.
Na závěr lze bodově shrnout pravidla pro zpracování osobních údajů při náboru zaměstnanců:
Koncem března vstoupily v účinnost zákony č. 65/2022 Sb. a č. 66/2022 Sb., které byly přijaty v souvislosti s trvajícím ozbrojeným konfliktem na území Ukrajiny vyvolaným invazí vojsk Ruské federace.
Zobrazit víceObecné nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“) jako jeden ze zákonných důvodů pro zpracování některých osobních údajů získání souhlasu subjektu údajů. Protože při získávání osobních subjektů se jedná o zásah do jeho práva na soukromí, tak GDPR stanoví takové podmínky, aby si byl subjekt vědom tohoto následku.
Zobrazit víceJednou z hlavních změn, kterou zavedlo Obecné nařízení o ochraně osobních údajů 2016/679 (GDPR), je povinnost ohlašovat případy, kdy dojde k narušení bezpečnosti ochrany osobních údajů (data breach).
Zobrazit více