Jako personalisté pracujete s mnoha údaji o lidech, ať už jsou to osobní údaje zaměstnanců nebo kandidátů. GDPR říká, že je nutné údaje lidí chránit, zvláště v dnešní digitální době. Internet nezapomíná a my nechceme, aby se jím šířily informace o naší osobě nekontrolovaně a nekonečně dlouho. Každý personalista pracuje trochu jinak a dopad GDPR tudíž bude také různý. Když to ale zobecníme, od 25. května 2018 byste měli mít dokonalý přehled o osobních údajích, které projdou vašima rukama. Měli byste přesně vědět, jak s nimi pracujete, kde jsou uloženy, proč a k jakým účelům je můžete využít.
Osobní údaj je jakákoli informace, podle které můžete identifikovat určitého člověka. Může to být nejen jméno a příjmení, ale třeba i jeho e-mail, telefonní číslo nebo pracovní pozice. Když budete vyprávět přátelům veselé historky o řediteli určité firmy, kdokoli z posluchačů si jednoduše dohledá, z koho si vlastně utahujete. Zjednodušte si život, moc nad tím nepřemýšlejte a za osobní údaj považujte vše, co se dá o jedinci zjistit.
Když si do papírového diáře poznamenáte jméno uchazeče, měli byste s ním zacházet zodpovědně. Neztratit ho nebo jej po skončení roku jen tak nevyhodit do kontejneru. GDPR ale ještě řešit nemusíte. Pokud však máte v e-mailu, elektronickém kalendáři nebo Teamiu záznam o plánované schůzce, dá se už takový údaj někde automaticky ukládat, zálohovat, shromažďovat, sdílet, analyzovat atd. Už se jedná o zpracování osobního údaje, které je alespoň částečně automatizované, a proto musíte myslet na omezení a pravidla GDPR. Když vás ten člověk později požádá o vymazání svých osobních údajů, musíte si být jistí, že jste schopni najít a smazat informace na všech místech výskytu.
Nemyslím si, že by personalisté měli s novým nařízením měnit způsob své práce. Jde spíš o kvalitní přípravu, která si vyžádá nějaký čas a úsilí. O to, aby byl každý personalista s GDPR seznámen, aby znal aktuální interní směrnice a postupy. Aby pracoval s dobře zabezpečeným systémem, solidními subdodavateli a věděl, jaké situace mohou nastat a jak je řešit.
Zjednodušeně řečeno můžete po uchazečích chtít jen takové informace, které jsou nezbytné pro výkon nabízené práce. Nic navíc. V každém okamžiku náboru byste si měli být schopni odůvodnit, proč je pro vás požadovaná informace potřebná. Je například nutné vědět, jestli má kandidát životního partnera a jakého je pohlaví? Nebo kolik vychovává dětí a jak jsou staré? Do toho vám (ani podle současných zákonů) prostě nic není. Málo se ví, že nesmíte vyžadovat výpis z rejstříku trestů, pokud se nejedná o práci, kde je to opodstatněné. Jedná se například o práci prodavačů zbraní či bankovních úředníků. Na druhou stranu, když budete přijímat strojvedoucího, neobejdete se bez posudku jeho zdravotní způsobilosti, ale nebudete se vyptávat na zdraví uchazeče o místo asistenta ředitele. Takže se domnívám, že v obsahu inzerátů se nic dramaticky nezmění, tohle vše už řeší současná legislativa. Kromě GDPR musíte pamatovat na antidiskriminační zákon a také zákoník práce, které personalistům stanovují mantinely možných dotazů a otázek v souvislosti s hledáním vhodného uchazeče.
Rozhodně buďte opatrní s tím, jaké nástroje využíváte, neboť zpracování údajů z jiných zdrojů může být problematické s ohledem na prokazování případného právního základů a jeho tzv. legitimity (omluvitelnosti). Každá aplikace by měla být řádně zabezpečena, o tom není pochyb.
Pokud vám někdo zašle životopis, přeje si, abyste s ním pracovali. Otázkou ale je, jak dlouho můžete se životopisem nakládat? Zájemci o práci většinou nic takového do e-mailu ani životopisu nepíší. Nejlepší proto bude, když odesílateli poděkujete a zeptáte se ho, jak dlouho můžete s jeho CV a v něm obsaženými údaji pracovat. Důležité je, abyste byli schopni kdykoliv doložit, že vám daný člověk souhlas se zpracováním údajů dal. Takže si e-mail ideálně založte do Teamia nebo svého archivu spolu s životopisem a prokazatelným souhlasem až do jeho vypršení.
GDPR tuto oblast mění pouze do určité míry. Většina pravidel platí již dnes, byť není striktně dodržována tak, jak by měla být. Například ve firmách je a bylo zvykem na jakékoliv nástěnky oznamovat blížící se narozeniny svých zaměstnanců s fotkami. Dá se čekat, že s GDPR si většina zaměstnavatelů uvědomí plynoucí rizika a zváží možný zásah do soukromí těchto zaměstnanců.
Naprostá většina pracovních smluv zahrnuje i část, kde zaměstnanec souhlasí se zpracováním osobních údajů. Tam je blíže rozvedeno, co to obnáší. Pokud souhlas zahrnuje i zveřejňování fotografií pro prezentační účely, je to v pořádku. Jestli to v souhlasu ošetřeno není, měli byste zaměstnance o souhlas požádat. Může být i ústní, ale z hlediska prokazatelnosti to nebude vhodným způsobem. A nebojte se, nemusí to být žádná formalistická právničina a pamatujte na situaci, kdy si „Honza“ své zveřejnění časem rozmyslí a bude chtít fotku stáhnout a vy ji budete muset smazat.
Ano, kandidát může požadovat výmaz z databáze. Budete však muset zvážit každou situaci zvlášť. Právo být zapomenut je jedno z nejdůležitějších práv pro subjekty, které GDPR zavádí. Žádosti o vymazání osobních údajů lze vyhovět za předpokladu, že údaje zpracováváte na základě jeho souhlasu a že nemáte jiný právní základ (například nesoudíte se s kandidátem, protože u vás neuspěl). Nicméně smazat ho musíte ze všech míst, kterých se týká GDPR.
To, že přestal být vaším zaměstnancem, nehraje roli, neboť máte povinnost jeho osobní údaje chránit a zpracovávat pro účely archivace.
Pokud jste se doposud poctivě řídili stávající „stojedničkou“ (zákonem o ochraně osobních údajů), neměl by přechod na GDPR představovat velký problém. Zásadní je, abyste měli o osobních datech uchazečů nebo zaměstnanců, které zpracováváte, přehled. Pokud máte ve firmě složitější postupy a procesy, které se zpracování osobních údajů nějakým způsobem dotýkají, možná bude nutné odborné poradenství vyhledat.
Každý persoalista by měl ke zpracování údajů přistupovat takovým způsobem, aby dodržoval veškeré zásady zpracování osobních údajů, tedy zejména zákonnost, transparentnost a účelovost. Pozice personalisty není jednoduchá, neboť pro posouzení vhodnosti kandidáta by chtěl mít co nejvíce údajů, což je v protikladu se zásadou minimalizace osobních údajů. Postavení personalisty tak není v návaznosti na GDPR zcela jednoduché, ale to není ani se současnou „stojedničkou“.
Tip LMC: Připravili jsme pro vás „check list“, díky kterému si zkontrolujete, jak jste na tom s přípravou na GDPR v náboru. LMC chystá také kuchařku GDPR v náboru, těšte se! 🙂
Ocenili bychom, kdybyste nám po přečtení článku odpověděli na krátkou anketu. Její vyplnění vám zabere přesně 3 kliknutí. Děkujeme.
„Ačkoliv tento dokument viděly oči několika právníků, LMC s. r. o. není advokátní kancelář. Tento dokument proto prosím chápejte jako informativní, s obecným charakterem, který nereflektuje Vaše konkrétní požadavky nebo poměry. Nezamýšleli jsme ho jako právní poradenství, komplexní vyjádření zákona nebo návrh na řešení Vašich individuálních požadavků, a proto neodpovídáme za soulad tohoto dokumentu s právními předpisy, ani za použití tohoto dokumentu jinak než v souladu s námi zamýšleným účelem. Pokud ve Vaší společnosti řešíte ochranu osobních údajů, doporučujeme Vám obrátit se na nezávislou právní kancelář a probrat s ní veškeré postupy tak, aby vyhovovaly přesně Vašim účelům.“