Jak na výběr zaměstnance v souladu s GDPR

S osobními údaji uchazečů o práci byste měli nakládat v souladu s obecným nařízením o ochraně osobních údajů (GDPR). Aby to pro vás bylo jednodušší, provedeme vás krok za krokem pravidly, na která při hledání nového zaměstnance myslet.

Co řešit před začátkem výběrového řízení

1. Určete si účely a právní důvody zpracování osobních údajů uchazečů

Předem si určete, za jakými účely chcete s osobními údaji uchazečů nakládat. Zároveň si stanovte právní důvody pro jejich zpracování, jak je vymezuje článek 6 GDPR.

Pravděpodobně budete potřebovat informace o uchazečích za účelem jejich zařazení do výběrového řízení a vyhledání nového zaměstnance. Právním důvodem zpracování těchto údajů je nezbytnost pro uzavření pracovní smlouvy, dohody o provedení práce (DPP) nebo dohody o pracovní činnosti (DPČ).

Možná si budete chtít informace poskytnuté zaměstnancem ověřit z veřejně dostupných zdrojů. Za tímto účelem můžete údaje uchazeče zpracovávat na základě vašeho oprávněného zájmu na volbě nejvhodnějšího zaměstnance. Váš oprávněný zájem ale musí převážit nad právy a svobodami uchazeče. To se zpravidla nestane při prohledávání soukromých profilů na neprofesních sociálních sítích uchazeče (např. na Facebooku nebo Instagramu). Pokud vystupování uchazeče na sociální síti není podstatné (např. v případech, kdy hledáte managera, jehož vystupování by mohlo ohrozit vaši pověst), můžete profil uchazeče prohledávat jen s jeho dobrovolným souhlasem. Uchazeč je v rámci výběrového řízení ale ve slabším postavení, a získání skutečně dobrovolného souhlasu je v praxi problematické. Proto se soukromým profilům na sociálních sítích raději vyhněte.

Plánujete si informace o uchazeči ověřit u současného nebo bývalého zaměstnavatele? Potom budete potřebovat za tímto účelem jeho souhlas. Ten je třeba také pro uchování údajů neúspěšných uchazečů po skončení výběrového řízení za účelem nabídky další pracovní pozice. ‍

2. Stanovte si, jaké informace, budete od uchazečů požadovat

V dalším kroku si stanovte, jaké konkrétní informace potřebujete od uchazečů za vámi určenými účely získat.

Pozor na to, že dle zákoníku práce můžete požadovat jen informace, které bezprostředně souvisejí s uzavřením pracovní smlouvy, DPP nebo DPČ. Zároveň dle GDPR musí jít jen o minimum informací, které skutečně potřebujete k dosažení stanoveného účelu.

Během výběrového řízení si můžete od uchazeče vyžádat například jméno, kontaktní údaje, informace o vzdělání, pracovních zkušenostech a jeho motivaci u vás pracovat.

Naopak nesmíte zjišťovat informace o těhotenství, rodinných a majetkových poměrech, sexuální orientaci, původu, členství v odborové organizaci, v politických stranách nebo hnutích, o příslušnosti k církvi nebo náboženské společnosti nebo trestněprávní bezúhonnosti. Výjimkou jsou případy, kdy to povaha práce nebo zákon vyžaduje.

Stejná pravidla platí i pro vyhledávání těchto informací z veřejně dostupných zdrojů. Je v pořádku, pokud si prohlédnete profesní profil uchazeče na síti LinkedIn. Soukromým profilům na síti Facebooku, Instagram nebo TikTok se ale raději vyhněte, pokud vám k tomu uchazeč nedá skutečně dobrovolný souhlas (např. vás k prohlídce sám vyzve). Problematické bude i ověřování solventnosti uchazeče v insolvenčním rejstříku nebo centrální evidenci exekucí. Pokud solventnost není nezbytnou podmínkou pro výkon práce nového zaměstnance, raději tyto zdroje informací vynechejte.‍

3. Nastavte si pravidla zabezpečení osobních údajů uchazečů

Osobní údaje byste měli vhodně zabezpečit před jejich odcizením, ztrátou, poškozením nebo jiným zneužitím. Je vhodné zavést aspoň následující bezpečnostní opatření:

• ‍Určete zaměstnance, kteří budou mít k údajům uchazečů přístup.‍
• ‍Ujasněte si, jaké externí osoby mohou mít k osobním údajům uchazečů přístup.
  Možná do výběrového řízení zapojíte headhuntery. Pravděpodobně budete informace o uchazečích shromažďovat v software provozovaném externím dodavatelem. Tyto třetí osoby budou v postavení zpracovatele osobních údajů. Měli byste s nimi proto mít uzavřenou zpracovatelskou smlouvu, ve které je zavážete k dostatečné ochraně osobních údajů.
• ‍Nastavte si dostatečně silná hesla k systémům a elektronickým složkám s informacemi o uchazečích, heslo neukládejte do prohlížeče ani nikomu neukazujte.
• ‍Zabezpečte sítě a systémy, např. s použitím firewall a antivirových programů.
• ‍Nastavte si pravidelné zálohování dokumentů uložených v informačních systémech. Co kdyby se náhodou ztratily.
• ‍Pokud si materiály o uchazečích tisknete, zamkněte skříňky, ve kterých je uchováváte. Klíč by měl dostat jen pověřený zaměstnanec.
• ‍Sepište si pravidla pro vyřizování žádostí uchazečů ohledně zpracování osobních údajů a pravidla pro řešení bezpečnostních incidentů.

4. Nastavte si okamžik výmazu osobních údajů uchazečů

Pokud uchazeč ve výběrovém řízení neuspěje, nebudete mít souhlas s uchováním jeho údajů a nebude existovat jiný důvod pro uchování jeho údajů, měli byste jeho údaje co nejrychleji po skončení výběrové řízení smazat.

Když vám uchazeč souhlas dal, určete si období, během kterého pro vás může být perspektivní a kdy ho skutečně můžete chtít kontaktovat. Délku uchování údajů neúspěšných uchazečů může ovlivnit třeba pracovní pozice, na kterou by se uchazeč hodil, nebo jeho věk. Pokud jste například ve výběrovém řízení hledali studenty na pozici recepčního, nemá význam si údaje uchazečů uchovávat poté, co dostudují. Přiměřená doba uchování jejich údajů může být proto 3 až 5 let. Naopak pokud jste hledali zkušeného operátora CNC stroje, je možné si obhájit i 10letou dobu uchování údajů.  Raději se vyhněte uchování údajů uchazečů po neomezenou dobu.  Zpravidla si takto dlouhou dobu uchování neobhájíte a budete údaje uchazečů zpracovávat nezákonně.

Jakmile vámi stanovená doba uchování uplyne nebo uchazeč svůj souhlas odvolá, údaje smažte.

Co řešit během výběrového řízení

1. Informujte uchazeče o zpracování osobních údajů

Než se uchazeč do výběrového řízení přihlásí, měli byste ho informovat o tom, jaké osobní údaje a za jakým účelem budete zpracovávat. Dále by měl vědět, na jakém právním základě údaje zpracováváte, jak dlouho je budete zpracovávat, kdo k nim bude mít přístup a jaká uchazeči náleží práva.

Informace musí být pro uchazeče jasné a snadno dostupné, bez potřeby dlouhého hledání. Můžete je například umístit na náborovou webovou stránku, na kterou uchazeče odkážete v kontaktním formuláři, nebo je zaslat emailem.

2. Získejte od uchazeče souhlas se zpracováním osobních údajů

Chcete-li zjišťovat informace o zaměstnanci od jeho současného nebo bývalého zaměstnavatele nebo chcete uchovávat údaje neúspěšných uchazečů pro budoucí nabídky, potřebujete jejich souhlas. Ten vám uchazeč musí dát dobrovolně, poté, co jste ho informovali o zpracování osobních údajů a předtím, než za daným účelem začnete jeho údaje zpracovávat.

Způsob, jakým souhlas od uchazeče získáte, je na vás. Souhlas můžete získat například zaškrtnutím políčka ve formuláři s přihláškou do výběrového řízení nebo emailem. ‍

3. Poskytnutí informací o zpracování osobních údajů i získání souhlasů si evidujte

Úřadu pro ochranu osobních údajů musíte být schopni prokázat, že jste splnili své povinnosti stanovené v GDPR. Proto si logujte proces přihlášení do výběrového řízení přes online formulář a ukládejte si e-mailovou komunikaci, ve které uchazeč obdržel informace o zpracování osobních údajů a udělil souhlas.

Evidenci si ponechávejte tak dlouho, dokud potřebujete uchovávat osobní údaje uchazeče. Typicky do skončení výběrového řízení nebo do uplynutí období, ve kterém můžete neúspěšné uchazeče kontaktovat s nabídkou pracovní pozice.  ‍

4. Dodržujte stanovená bezpečnostní pravidla

Bezpečnostní opatření na papíře vám nebudou nic platná, pokud je nebudete skutečně dodržovat. Během výběrového řízení si proto například zkontrolujte, zda se provádí zálohování, zda vám nevypršela licence k antivirovému programu a zda k údajům mají přístup jen oprávnění zaměstnanci.

5. Vyřizujte správně a včas žádosti uchazečů týkající se jejich osobních údajů

Uchazeči se na vás dle GDPR mohou obrátit se řadou žádostí týkajících se jejich práv na ochranu osobních údajů. Mají například právo na přístup k informacím o tom, jaké údaje o nich shromažďujete a jak je používáte. Uchazeči mohou také žádat o opravu poskytnutých údajů nebo odvolat svůj souhlas se zpracováním osobních údajů pro budoucí pracovní nabídky a žádat jejich výmaz.

Pověření zaměstnanci by měli vědět, že tyto žádosti musíte vyřídit do 1 měsíce od jejich doručení a jakým způsobem na ně mají reagovat.

Co řešit po skončení výběrového řízení

Po skončení výběrového řízení si můžete standardně ponechat jen údaje budoucího zaměstnance a těch neúspěšných uchazečů, kteří vám dali souhlas s jejich uchováním pro možné budoucí nabídky pracovních pozic. Bez souhlasu uchazeče si jeho osobní údaje můžete ponechat i v případech, kdy potřebujete chránit své zájmy ve sporech s uchazečem. Osobní údaje, které vám takto zůstanou, byste měli nadále dostatečně zabezpečit. Ostatní osobní údaje o neúspěšných uchazečích musíte bez zbytečného odkladu smazat.

Uchazeč, který úspěšně prošel výběrovým řízením, se brzy stane vaším zaměstnancem. Tady se kolo povinností dle GDPR roztáčí znovu. Od nového zaměstnance budete totiž potřebovat další osobní údaje, které budete používat k mnoha dalším účelům. Při podpisu pracovní smlouvy, DPP nebo DPČ tak budete muset nového zaměstnance o zpracování osobních údajů informovat znovu a nadále dodržovat další povinnosti stanovené v GDPR.

Potřebujete pomoci?

Chcete mít jistotu, že během výběrového řízení zpracováváte osobní údaje uchazečů správně? Pak nás neváhejte kontaktovat na e-mailu kancelar@kroupalide.cz. 

Kde hledat více informací?

• § 30 odst. 2 a § 314 odst. 4 zákona č. 262/2006 Sb., zákoník práce
• nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)