Jak chránit osobní údaje při náboru zaměstnanců?
- Datum: 09.09.2024
- Autor: Kristýna Gembalová
Při náboru nových zaměstnanců se nevyhnete práci s velkým rozsahem osobních údajů uchazečů o zaměstnání. Jak při náboru postupovat v souladu s právními předpisy a vyhnout se riziku pokuty nebo sporu s neúspěšným uchazečem?
Základní pravidla pro zpracování osobních údajů uchazečů o práci v rámci výběrového řízení upravuje především obecné nařízení o ochraně osobních údajů (GDPR) a zákoník práce. V tomto článku si popíšeme, o jaká pravidla jde a jak v praxi efektivně zajistit jejich dodržování.
Příprava na výběrové řízení
Před začátkem výběrového řízení si ujasněte, jaké informace budete od uchazečů vyžadovat, za jakými účely (proč) je budete potřebovat, na jakém právním důvodu zpracování údajů založíte, jak dlouho si údaje potřebujete uchovávat a jak je po celou dobu zpracování zabezpečíte.
Stanovte účely a právní důvody zpracování osobních údajů uchazečů
Předem si jednoznačně určete, za jakými účely chcete s osobními údaji účastníků výběrového řízení nakládat. Ke každému účelu si stanovte právní důvod, jak je vymezuje článek 6 GDPR.
Jaké jsou typické účely a právní důvody zpracování osobních údajů uchazečů?
Zařazení uchazeče do výběrového řízení a výběr nového zaměstnance
Právním důvodem zpracování osobních údajů je v tomto případě provedení opatření před uzavřením pracovní smlouvy, dohody o provedení práce (DPP) nebo dohody o pracovní činnosti (DPČ) v souladu s čl. 6 odst. 1 bod) GDPR.
Ověření informací poskytnutých uchazečem z veřejně dostupných zdrojů
Právním důvodem tohoto zpracování může být oprávněný zájem zaměstnavatele na výběru nejvhodnějšího zaměstnance. Pozor ale na to, že na základě tohoto právního důvodu je zpracování možné pouze tehdy, pokud oprávněný zájem zaměstnavatele převáží nad právy uchazečů. Ověřování informací musí být proto přiměřené a souladné s dále popsanými pravidly. Pokud práva uchazečů vaše zájmy převáží (například budete chtít hledat informace zakázané zákoníkem práce nebo takové, které k výběru zaměstnance nepotřebujete), nemůžete takto údaje uchazečů zpracovávat, a to ani na základě souhlasu uchazeče.
Ověření informací poskytnutých uchazečem u jeho současného nebo bývalého zaměstnance
Získávat reference u současného nebo bývalého zaměstnavatele je možné pouze s předchozím svobodným souhlasem uchazeče o zaměstnání.
Ponechání údajů po skončení výběrového řízení pro ochranu ve sporech s uchazečem nebo pro možnost nabídky nové pracovní pozice
Údaje uchazeče si můžete po skončení výběrového řízení po nezbytnou dobu také ponechat pro ochranu svých práv v případě sporu s uchazečem, například pokud by neúspěšný uchazeč namítal, že jste postupovali diskriminačně. Toto zpracování lze opět opřít o oprávněný zájem zaměstnavatele.
Pokud budete chtít uchazeče v budoucnu kontaktovat s nabídkou nové pracovní pozice, budete k tomu už potřebovat jeho předchozí svobodný souhlas..
Určete, jaké informace budete od uchazečů požadovat
Dále si určete, jaké konkrétní informace potřebujete od uchazečů o zaměstnání k jednotlivým účelům získat.
Při nastavení rozsahu zpracovávaných údajů jste omezeni zákonnými pravidly. Podle zákoníku práce totiž můžete požadovat jen informace, které bezprostředně souvisejí s uzavřením pracovní smlouvy, DPP nebo DPČ. V souladu s obecnými pravidly GDPR pak můžete shromažďovat jen nezbytné minimum informací, které skutečně potřebujete k dosažení stanoveného účelu, například ověření pracovní historie či kvalifikace uchazeče o zaměstnání.
Problematické může být i ověřování finanční situace uchazeče v insolvenčním rejstříku nebo centrální evidenci exekucí. Tyto zdroje při ověřování uchazeče volte jen tehdy, pokud by finanční problémy zaměstnance představovaly pro danou pozici vážné riziko, například pokud obsazujete pracovní místo, jehož součástí je manipulace s hotovostí nebo jiným relevantním majetkem organizace.
Zaveďte bezpečnostní opatření k ochraně osobních údajů uchazečů
Osobní údaje získané v rámci výběrového řízení zabezpečte před jejich odcizením, ztrátou, poškozením nebo jiným zneužitím. Můžete přijmout například tato bezpečnostní opatření:
Určete zaměstnance s přístupem k osobním údajům uchazečů. K informacím o uchazečích by měli mít přístup jen zaměstnanci zapojení do výběrového řízení.
Ujasněte si, které externí osoby mohou mít k osobním údajům uchazečů přístup. Osobní údaje uchazečů možná zpřístupníte headhunterům, dodavatelům software nebo dalším externím spolupracovníkům. Tyto osoby budou pravděpodobně v postavení zpracovatele osobních údajů a je třeba s nimi uzavřít zpracovatelskou smlouvu, ve které je zavážete k dostatečné ochraně osobních údajů a nastavíte pravidla pro bezpečné předání a uchování dat.
Zabezpečte sítě a systémy, ve kterých budete data z výběrových řízení zpracovávat, např. s použitím firewall a antivirových programů.
Nastavte si dostatečně silná hesla k systémům a elektronickým složkám s informacemi o uchazečích, heslo neukládejte do prohlížeče ani nikomu neukazujte. Zajistěte, aby každý uživatel měl přístup jen k těm datům, ke kterým přístup má mít, a zaveďte logování práce s daty uchazečů.
Nastavte si pravidelné zálohování dokumentů uložených v informačních systémech, nejlépe do odlišného systému.
Pokud uchováváte tištěné dokumenty, zamykejte úložné prostory i místnosti, ve kterých je uchováváte. Klíč by měl dostat jen pověřený zaměstnanec, vydávání klíčů evidujte.
Sepište si pravidla pro vyřizování žádostí uchazečů o uplatnění jejich práv podle GDPR, např. práva na přístup, a pravidla pro řešení bezpečnostních incidentů.
Nastavte lhůtu pro výmaz údajů uchazečů
Pokud uchazeč ve výběrovém řízení neuspěje, nebudete mít souhlas s dalším uchováním jeho údajů a nebude existovat jiný důvod pro uchování jeho údajů, měli byste jeho údaje po skončení výběrové řízení smazat.
Průběh výběrového řízení
Jakmile výběrové řízení začne, je nutné výše stanovená pravidla uplatňovat v praxi. To znamená hlavně následující:
- Informujte uchazeče o zpracování jejich osobních údajů
- Získejte souhlasy se zpracováním osobních údajů
- Poskytnutí informací o zpracování osobních údajů i získání souhlasu si evidujte
- Dodržujte stanovaná bezpečnostní opatření
- Žádosti uchazečů o uplatnění jejich práv vyřizujte řádně a včas
Skončení výběrového řízení
Po skončení výběrového řízení si standardně můžete ponechat jen údaje budoucího zaměstnance a těch neúspěšných uchazečů, kteří vám dali souhlas s jejich uchováním pro možné budoucí nabídky pracovních pozic. Bez souhlasu uchazeče si jeho osobní údaje můžete ponechat jen v případech, kdy potřebujete chránit své zájmy v případných sporech s neúspěšným uchazečem nebo při kontrole dozorových úřadů.
Osobní údaje, které budete nadále uchovávat, musíte rovněž dostatečně zabezpečit. Ostatní osobní údaje neúspěšných uchazečů po skončení výběrového řízení bez zbytečného odkladu smažte.