Tato práva jsou:

1. Právo na přístup k osobním údajům

Uchazeči vás mohou požádat o to, abyste jim sdělili

• jaká data o nich máte,
• proč je zpracováváte,
• jak dlouho údaje uchováváte
• a jak s daty nakládáte.

Díky datovému auditu, do kterého jste se pustili hned na začátku, máte v termínech a účelech jasno, takže nebude případně problém informaci kandidátům na požádání sdělit.

2. Právo na opravu, doplnění a aktualizaci

Uchazeč může zažádat o opravu nepřesných osobních údajů. Toto právo ale neznamená, že musíte ve svých databázích nepřesnosti sami aktivně vyhledávat nebo pravidelně žádat o kontrolu jejich aktuálnosti.

Když už vás ale uchazeč požádá o doplnění nebo úpravu jeho osobních údajů, musíte se takovou žádostí zabývat.

3. Právo na výmaz

Neboli právo být zapomenut. Jakožto správce údajů máte povinnost trvale odstranit údaje o kandidátovi. Aby vás uchazeč o takovou akci mohl požádat, musí nastat některá z těchto situací:

• Osobní údaje již nejsou potřebné pro účel, za kterým jste je shromažďovali nebo zpracovávali.
• Kandidát odvolá souhlas se zpracováním a neexistuje žádní další právní důvod ke zpracování údajů.
• Uchazeč vznese námitku proti zpracování z důvodu oprávněných zájmů správce osobních údajů, jako je např. vedení záznamů o zaměstnancích.
• Údaje zpracováváte protiprávně.
• Nedostali jste rodičovský souhlas se zpracováním osobních údajů dětí.
• Osobní údaje musí být vymazány podle právní povinnosti stanovené právem Unie nebo členským státem.

Vzpomeňte si na kapitolu s přehledem podmínek pro naplnění účelů. V personalistice se nejčastěji setkáte s dvěma „podmínkami” – souhlasem se zpracováním nebo zájemem uzavřít smlouvu (sem spadá dobrovolná účast na výběrovém řízení na konkrétní vypsanou pozici).

Může ale nastat situace, kdy se budete soudit s kandidátem nebo vaší firmě vznikne jiná právní povinnost, kvůli které musíte data uchovávat a zpracovávat. V takovém případě je vymazat jen tak nelze.

4. Právo na omezení zpracování

V tomto případě nemusí dojít k výmazu údajů na základě požadavku subjektu údajů, aby správce omezil zpracování. Teď si pojďme tuto právnickou definici trochu polidštit.

Takové situace mohou nastat ve chvíli, kdy vy, jakožto správce údajů, už údaje pro stanovené účely zpracovávat nepotřebujete, ale uchazeč je požaduje z důvodu určení, výkonu nebo obhajoby právních nároků.

Omezení může kandidát požadovat i tehdy, když popírá přesnost svých údajů. Třeba když bude namítat, že zpracovávané rodné číslo není přesné. V tu chvíli by správce měl po dobu potřebnou k prokázání správnosti zpracování rodného čísla omezit a také zabránit předávání údaje jiným subjektům (například pojišťovně). Zamezí tím šíření nesprávných údajů.

5. Právo na přenositelnost údajů

To je pro českou legislativu novinkou. V praxi může vypadat tak, že vás kandidát požádá, abyste jeho data ze svého systému vyjmuli a předali – ať už přímo jemu nebo jím zvolené osobě či firmě.

Ačkoliv to vypadá složitě, vaší náborové praxe se toto právo příliš nedotkne.

6. Právo vznést námitku

Každý může kdykoliv vznést námitku proti zpracování osobních údajů. A to i ve chvíli, kdy:

• je zpracování nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
• zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, jako třeba v případě některých kamerových systémů

Jak asi tušíte, po takové námitce nesmíte dále s údaji pracovat. Jedině, že byste dokázali, že máte oprávněné důvody zpracování. Třeba když bude zaměstnanec požadovat výmaz kamerového záznamu, protože si je vědom, že ho kamerový záznam usvědčuje z incidentu, pak nemáte povinnost takový záznam vymazat. Záznam lze předat oprávněným státním orgánům.

Vznese-li subjekt údajů námitku proti zpracování osobních údajů za účelem marketingu, údaje bohužel nesmí být dále pro tyto účely zpracovávány.

7. Právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování

Poslední právo zajišťuje, že až na výjimečné případy nemohou být zpracovávané osobní údaje využívané například k tomu, aby řidič dostal automaticky pokutu za překročení rychlosti, aniž by případ nepřezkoumal člověk.

V náborové praxi by tak neměla nastat situace, že by například vaše databáze na základě předem určených algoritmů a zpracovávaných údajů o kandidátech vybrala nejvhodnějšího uchazeče a automaticky mu vystavila pracovní smlouvu.

Děkujeme, že jste se do řešení GDPR pustili společně s námi. Doufáme, že všechny právní povinnosti zvládnete do svých náborových postupů lehce zahrnout.

Naše rady si můžete také poslechnout ve videokurzu o GDPR v náboru na Seduo.cz, kde GDPR návod dělá společnost desítkám dalších výukových videí.

Přejeme hodně štěstí s náborem nových kolegů v souladu s novou GDPR legislativou.

Váš tým LMC

„Ačkoliv tento dokument viděly oči několika právníků, LMC s. r. o. není advokátní kancelář. Tento dokument proto prosím chápejte jako informativní, s obecným charakterem, který nereflektuje Vaše konkrétní požadavky nebo poměry. Nezamýšleli jsme ho jako právní poradenství, komplexní vyjádření zákona nebo návrh na řešení Vašich individuálních požadavků, a proto neodpovídáme za soulad tohoto dokumentu s právními předpisy, ani za použití tohoto dokumentu jinak než v souladu s námi zamýšleným účelem. Pokud ve Vaší společnosti řešíte ochranu osobních údajů, doporučujeme Vám obrátit se na nezávislou právní kancelář a probrat s ní veškeré postupy tak, aby vyhovovaly přesně Vašim účelům.“