Základní pravidla pro zpracování osobních údajů uchazečů o práci v rámci výběrového řízení upravuje především obecné nařízení o ochraně osobních údajů (GDPR) a zákoník práce. V tomto článku si popíšeme, o jaká pravidla jde a jak v praxi efektivně zajistit jejich dodržování.
Příprava na výběrové řízení
Před začátkem výběrového řízení si ujasněte, jaké informace budete od uchazečů vyžadovat, za jakými účely (proč) je budete potřebovat, na jakém právním důvodu zpracování údajů založíte, jak dlouho si údaje potřebujete uchovávat a jak je po celou dobu zpracování zabezpečíte.
1. Stanovte účely a právní důvody zpracování osobních údajů uchazečů
Předem si jednoznačně určete, za jakými účely chcete s osobními údaji účastníků výběrového řízení nakládat. Ke každému účelu si stanovte právní důvod, jak je vymezuje článek 6 GDPR.
Jaké jsou typické účely a právní důvody zpracování osobních údajů uchazečů?
Zařazení uchazeče do výběrového řízení a výběr nového zaměstnance
Právním důvodem zpracování osobních údajů je v tomto případě provedení opatření před uzavřením pracovní smlouvy, dohody o provedení práce (DPP) nebo dohody o pracovní činnosti (DPČ) v souladu s čl. 6 odst. 1 bod) GDPR.
Ověření informací poskytnutých uchazečem z veřejně dostupných zdrojů
Právním důvodem tohoto zpracování může být oprávněný zájem zaměstnavatele na výběru nejvhodnějšího zaměstnance. Pozor ale na to, že na základě tohoto právního důvodu je zpracování možné pouze tehdy, pokud oprávněný zájem zaměstnavatele převáží nad právy uchazečů. Ověřování informací musí být proto přiměřené a souladné s dále popsanými pravidly. Pokud práva uchazečů vaše zájmy převáží (například budete chtít hledat informace zakázané zákoníkem práce nebo takové, které k výběru zaměstnance nepotřebujete), nemůžete takto údaje uchazečů zpracovávat, a to ani na základě souhlasu uchazeče.
Ověření informací poskytnutých uchazečem u jeho současného nebo bývalého zaměstnance
Získávat reference u současného nebo bývalého zaměstnavatele je možné pouze s předchozím svobodným souhlasem uchazeče o zaměstnání.
Ponechání údajů po skončení výběrového řízení pro ochranu ve sporech s uchazečem nebo pro možnost nabídky nové pracovní pozice
Údaje uchazeče si můžete po skončení výběrového řízení po nezbytnou dobu také ponechat pro ochranu svých práv v případě sporu s uchazečem, například pokud by neúspěšný uchazeč namítal, že jste postupovali diskriminačně. Toto zpracování lze opět opřít o oprávněný zájem zaměstnavatele.
Pokud budete chtít uchazeče v budoucnu kontaktovat s nabídkou nové pracovní pozice, budete k tomu už potřebovat jeho předchozí svobodný souhlas..
2. Určete, jaké informace budete od uchazečů požadovat
Dále si určete, jaké konkrétní informace potřebujete od uchazečů o zaměstnání k jednotlivým účelům získat.
Při nastavení rozsahu zpracovávaných údajů jste omezeni zákonnými pravidly. Podle zákoníku práce totiž můžete požadovat jen informace, které bezprostředně souvisejí s uzavřením pracovní smlouvy, DPP nebo DPČ. V souladu s obecnými pravidly GDPR pak můžete shromažďovat jen nezbytné minimum informací, které skutečně potřebujete k dosažení stanoveného účelu, například ověření pracovní historie či kvalifikace uchazeče o zaměstnání.
Co to znamená konkrétně?
Během výběrového řízení si můžete od uchazeče vyžádat například jméno, kontaktní údaje, informace o vzdělání, pracovních zkušenostech a jeho motivaci u vás pracovat.
Naopak nesmíte zjišťovat informace o těhotenství, rodinných a majetkových poměrech, sexuální orientaci, původu, členství v odborové organizaci, v politických stranách nebo hnutích, o příslušnosti k církvi nebo náboženské společnosti nebo trestněprávní bezúhonnosti. Výjimkou jsou případy, kdy to povaha práce nebo zákon vyžaduje.
Stejná pravidla platí i pro vyhledávání těchto informací z veřejně dostupných zdrojů. Je v pořádku, pokud si prohlédnete profesní profil uchazeče na síti LinkedIn. Soukromým profilům na síti Facebook, Instagram nebo TikTok se ale raději vyhněte. Prohlížení těchto profilů může být opodstatněné jen výjimečně, pokud by například soukromé činnosti budoucího zaměstnance mohly v kontextu obsazované pozice vážně narušit vaši pověst.
Problematické může být i ověřování finanční situace uchazeče v insolvenčním rejstříku nebo centrální evidenci exekucí. Tyto zdroje při ověřování uchazeče volte jen tehdy, pokud by finanční problémy zaměstnance představovaly pro danou pozici vážné riziko, například pokud obsazujete pracovní místo, jehož součástí je manipulace s hotovostí nebo jiným relevantním majetkem organizace.
3. Zaveďte bezpečnostní opatření k ochraně osobních údajů uchazečů
Osobní údaje získané v rámci výběrového řízení zabezpečte před jejich odcizením, ztrátou, poškozením nebo jiným zneužitím. Můžete přijmout například tato bezpečnostní opatření:
Určete zaměstnance s přístupem k osobním údajům uchazečů. K informacím o uchazečích by měli mít přístup jen zaměstnanci zapojení do výběrového řízení. Typicky jde o zaměstnance personálního oddělení, člena týmu, do kterého má být zaměstnanec přijat, nebo managera, který nábor zastřešuje.
Ujasněte si, které externí osoby mohou mít k osobním údajům uchazečů přístup. Osobní údaje uchazečů možná zpřístupníte headhunterům, dodavatelům software nebo dalším externím spolupracovníkům. Tyto osoby budou pravděpodobně v postavení zpracovatele osobních údajů a je třeba s nimi uzavřít zpracovatelskou smlouvu, ve které je zavážete k dostatečné ochraně osobních údajů a nastavíte pravidla pro bezpečné předání a uchování dat.
Zabezpečte sítě a systémy, ve kterých budete data z výběrových řízení zpracovávat, např. s použitím firewall a antivirových programů.
Nastavte si dostatečně silná hesla k systémům a elektronickým složkám s informacemi o uchazečích, heslo neukládejte do prohlížeče ani nikomu neukazujte. Zajistěte, aby každý uživatel měl přístup jen k těm datům, ke kterým přístup má mít, a zaveďte logování práce s daty uchazečů.
Nastavte si pravidelné zálohování dokumentů uložených v informačních systémech, nejlépe do odlišného systému.
Pokud uchováváte tištěné dokumenty, zamykejte úložné prostory i místnosti, ve kterých je uchováváte. Klíč by měl dostat jen pověřený zaměstnanec, vydávání klíčů evidujte.
Sepište si pravidla pro vyřizování žádostí uchazečů o uplatnění jejich práv podle GDPR, např. práva na přístup, a pravidla pro řešení bezpečnostních incidentů.
4. Nastavte lhůtu pro výmaz údajů uchazečů
Pokud uchazeč ve výběrovém řízení neuspěje, nebudete mít souhlas s dalším uchováním jeho údajů a nebude existovat jiný důvod pro uchování jeho údajů, měli byste jeho údaje po skončení výběrové řízení smazat.
I když uchazeč souhlasil s tím, že si jeho údaje ponecháte i po skončení výběrového řízení pro případnou nabídku jiné pracovní pozice, určete si období, během kterého pro vás může být perspektivní a kdy ho skutečně můžete chtít kontaktovat. Délku uchování údajů neúspěšných uchazečů může ovlivnit třeba pracovní pozice, na kterou by se uchazeč hodil, nebo jeho věk. Vyhněte se uchování údajů uchazečů po neomezenou dobu. Takto dlouhou dobu uchování si zpravidla neobhájíte.
Průběh výběrového řízení
Jakmile výběrové řízení začne, je nutné výše stanovená pravidla uplatňovat v praxi. To znamená hlavně následující:
1. Informujte uchazeče o zpracování jejich osobních údajů
Uchazeče předem informujte o tom, jaké osobní údaje a za jakým účelem budete zpracovávat. Dále by měl vědět, na jakém právním základě údaje zpracováváte, jak dlouho je budete uchovávat, kdo k nim bude mít přístup a jaká mu náleží práva.
Informace musí být pro uchazeče jasné a snadno dostupné. Můžete je například umístit na náborovou webovou stránku, na kterou uchazeče odkážete v kontaktním formuláři, nebo je uchazeči zaslat e‑mailem.
2. Získejte souhlasy se zpracováním osobních údajů
Chcete-li zjišťovat informace o zaměstnanci od jeho současného nebo bývalého zaměstnavatele nebo chcete uchovávat údaje neúspěšných uchazečů pro budoucí nabídky, potřebujete jejich svobodný, informovaný, konkrétní a jednoznačný souhlas se zpracováním osobních údajů.
Uchazeč vám souhlas musí dát dobrovolně a ke konkrétnímu, jasně vymezenému účelu. Souhlas lze udělit až poté, kdy uchazeče o zpracování jeho osobních údajů informujete, a předtím, než jeho údaje začnete za tímto účelem zpracovávat.
Způsob, jakým souhlas od uchazeče získáte, je na vás. Musí z něj být ale zřetelné, že vám uchazeč souhlas dal aktivně. Souhlas můžete získat například zaškrtnutím políčka ve formuláři s přihláškou do výběrového řízení nebo e‑mailem.
Uchazeč může souhlas kdykoliv odvolat. Poté již jeho údaje nesmíte za daným účelem dále zpracovávat.
3. Poskytnutí informací o zpracování osobních údajů i získání souhlasů si evidujte
Úřadu pro ochranu osobních údajů či inspektorátu práce musíte být schopni prokázat, že jste splnili své povinnosti stanovené v GDPR a zákoníku práce. Proto si logujte přihlášky do výběrového řízení provedené přes online formulář, ukládejte si e-mailovou komunikaci, ve které uchazeč obdržel informace o zpracování osobních údajů a udělil souhlas a dokumentujte i další důležité skutečnosti týkající se zadání a průběhu výběrového řízení.
Evidenci si ponechávejte tak dlouho, dokud potřebujete uchovávat osobní údaje uchazeče. Typicky do skončení výběrového řízení nebo do uplynutí období, ve kterém můžete neúspěšné uchazeče kontaktovat s nabídkou pracovní pozice. Ve sporných případech až do skončení promlčecí lhůty, ve které uchazeč o zaměstnání může nárokovat náhradu újmy způsobené tvrzeným diskriminačním nebo jiným protiprávním jednáním. Promlčecí lhůta trvá v tomto případě 3 roky od chvíle, kdy se dotčený uchazeč o vzniku újmy dozví, maximálně 10 let od jejího vzniku.
4. Dodržujte stanovená bezpečnostní opatření
Bezpečnostní opatření na papíře vám nebudou nic platná, pokud je nebudete skutečně dodržovat. Během výběrového řízení si proto například zkontrolujte, zda správně zálohujete, jestli vám nevypršela licence k antivirovému programu a jestli k údajům uchazečů mají skutečně přístup jen oprávnění zaměstnanci.
5. Žádosti uchazečů o uplatnění jejich práv vyřizujte řádně a včas
Uchazeči se na vás mohou obrátit se řadou žádostí týkajících se jejich práv na ochranu osobních údajů. Mají například právo na přístup k informacím o tom, jaké údaje o nich shromažďujete, jak je používáte a komu byly zpřístupněny. Uchazeči mohou také žádat o opravu poskytnutých údajů, odvolat svůj souhlas se zpracováním osobních údajů a žádat jejich výmaz.
Pověření zaměstnanci by měli vědět, že tyto žádosti musíte vyřídit do 1 měsíce od jejich doručení a jakým způsobem na ně mají reagovat, například jak budete evidovat odvolaný souhlas s dalším využitím údajů neúspěšného uchazeče, jaké informace jim o zpracování jejich údajů poskytovat atd.
Skončení výběrového řízení
Po skončení výběrového řízení si standardně můžete ponechat jen údaje budoucího zaměstnance a těch neúspěšných uchazečů, kteří vám dali souhlas s jejich uchováním pro možné budoucí nabídky pracovních pozic. Bez souhlasu uchazeče si jeho osobní údaje můžete ponechat jen v případech, kdy potřebujete chránit své zájmy v případných sporech s neúspěšným uchazečem nebo při kontrole dozorových úřadů.
Osobní údaje, které budete nadále uchovávat, musíte rovněž dostatečně zabezpečit. Ostatní osobní údaje neúspěšných uchazečů po skončení výběrového řízení bez zbytečného odkladu smažte.
