18. 12. 2018
ID: 108526upozornění pro uživatele

Zpracování osobních údajů uchazeče o zaměstnání ve fázi výběrového řízení

Již při náboru nového zaměstnance dochází ke zpracování jeho osobních údajů ze strany zaměstnavatele. Zaměstnavatelům a jejich personalistům však tato fáze často činí nemalé problémy, neboť nezřídka nevědí, jak uchazeče řádně informovat o zpracování jeho osobních údajů, které osobní údaje lze zpracovávat a které už nikoliv, a po jak dlouho dobu tak lze činit. Tento článek zamýšlí stručně shrnout základní povinnosti zaměstnavatele při náboru nových zaměstnanců z hlediska ochrany osobních údajů.

 
Glatzová & Co., s.r.o. 
 
O zpracování osobních údajů je třeba uchazeče řádně informovat

Proces výběru vhodného zaměstnance začíná zpravidla zveřejněním inzerátu, na nějž zájemci o zaměstnání nejčastěji reagují zasláním motivačního dopisu s přiloženým životopisem. Tím se zaměstnavatel dostává k poměrně širokému okruhu osobních údajů uchazeče, zejména pak k jeho identifikačním a kontaktním údajům, někdy dokonce i k tzv. zvláštním kategoriím osobních údajů (dříve citlivým údajům) ve smyslu čl. 9 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“). Zaměstnavatel je přitom dle čl. 12 a násl. GDPR povinen uchazečům o zaměstnání nejpozději v okamžiku získání osobních údajů poskytnout informace o okolnostech jejich zpracování, tj. zejména (i) svou totožnost a kontaktní údaje, (ii) účel, za jakým budou osobní údaje uchazeče zpracovávány, (iii) dobu, po kterou budou osobní údaje zpracovávány, a (iv) související práva uchazeče [1].

Praxe je nicméně taková, že zaměstnavatelé často své uchazeče vůbec o zpracování osobních údajů neinformují, nebo tak činí pouze v nedostatečné míře. Jednoduchým řešením je přitom umístění informace o zpracování osobních údajů na webovou stránku zaměstnavatele, prostřednictvím níž odesílají uchazeči o zaměstnání své životopisy. Uchazeč pak před odesláním životopisu pouze zaškrtne políčko, že byl před odesláním seznámen se zásadami zpracování jeho osobních údajů. Další možností je zasílání automatických e-mailů uchazečům o zaměstnání obratem po odeslání jejich životopisu zaměstnavateli. V takovém automatickém e-mailu bude uchazeč řádně informován o zpracování jeho osobních údajů.

Zaměstnavatelé – právnické osoby s centrálním ústředím v zahraničí rovněž často zapomínají informovat své uchazeče, že jejich osobní údaje jsou předávány do zahraniční centrály. Podle čl. 13 odst. 1 písm. f) GDPR se nicméně jedná o jednu ze základních informací, kterou musí zaměstnavatel uchazeči při získání jeho osobních údajů sdělit.

„Rozmohl se nám tu takový nešvar“ aneb nadbytečné souhlasy

Dalším problémem při náboru zaměstnanců je časté vyžadování nadbytečného souhlasu se zpracováním osobních údajů. Uchazeči musí totiž nezřídka kdy zaškrtávat různá políčka, že v souvislosti se zaslaným životopisem souhlasí se zpracováním svých osobních údajů. Taková praxe však v žádném případě nemůže obstát, neboť nabírání nových zaměstnanců a obsazování volných pozic je tzv. oprávněným zájmem každého zaměstnavatele (čl. 6 odst. 1 písm. f) GDPR) a zpracování takových osobních údajů je rovněž nezbytné pro provedení opatření přijatých před případným uzavřením pracovní či jiné smlouvy (čl. 6 odst. 1 písm. b) GDPR). Osobní údaje (nejen uchazečů o zaměstnání a zaměstnanců) lze zpracovávat na základě různých právních titulů, přičemž souhlas je jen jedním z nich [2]. Pro účely výběrového řízení však není souhlas uchazeče o zpracování jeho osobních údajů nutný. 

Potřeba udělení souhlasu se zpracováním osobních údajů ze strany uchazeče by vyvstávala až v případě, že by jím zaměstnavatel nakonec volnou pozici neobsadil, chtěl by však i nadále jeho osobní údaje zpracovávat (typicky životopis) pro případ potenciálního oslovení uchazeče v budoucnu, pokud by zaměstnavatel například otevíral jinou, pro uchazeče vhodnou pozici. Zpracování osobních údajů neúspěšných uchazečů o práci je totiž omezeno pouze na relativně krátkou dobu trvání výběrového řízení, přičemž po jeho skončení je zaměstnavatel povinen veškeré digitální i fyzické kopie dokumentů obsahující osobní údaje uchazeče o zaměstnání zlikvidovat. 

Ze shora uvedeného je zřejmé, že po skončení výběrového řízení již nelze na oprávněný zájem spoléhat, a je proto třeba pro další zpracování osobních údajů získat výslovný souhlas daného zájemce o práci splňující náležitosti dle GDPR. Ani takové zpracování na základě souhlasu však nemůže být neomezené, vždy je třeba stanovit přiměřenou dobu, po kterou budou osobní údaje zpracovávány.

Pro účely náboru zaměstnance postačí jen některé osobní údaje

Zaměstnavatelé mnohdy zpracovávají osobní údaje uchazečů o zaměstnání, které pro účely výběrového řízení vůbec nepotřebují. Podle čl. 5 odst. 1 písm. c) GDPR přitom platí tzv. zásada minimalizace osobních údajů, podle které lze shromažďovat a zpracovávat pouze osobní údaje, které jsou ve vztahu k účelu zpracování relevantní, a zpracování provádět pouze v rozsahu nezbytně nutném. Pakliže tedy zaměstnavatel vyžaduje v rámci výběrového řízení například rodná čísla uchazečů o zaměstnání, jedná se o nadbytečný údaj pro účely náboru zaměstnance zcela nepotřebný.

Takového zpracování nadbytečných osobních údajů je tedy třeba se vyvarovat, neboť za něj může být dokonce ze strany dozorového úřadu udělena správní pokuta. 

Nad rámec výše uvedeného je třeba připomenout i pracovněprávní rovinu náboru zaměstnanců, když podle ustanovení § 30 odst. 2 zákona č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů (dále jen „ZP“), smí zaměstnavatel od osob ucházejících se u něj o práci vyžadovat pouze údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy. Zaměstnavatel dále nesmí vyžadovat zejména údaje demonstrativně stanovené v ustanovení § 316 odst. 4 ZP, tj. jakékoliv údaje o sexuální orientaci, původu, členství v odborové organizaci a politických stranách či hnutích, příslušnosti k církvi nebo náboženské společnosti, a za určitých okolností ani údaje o těhotenství, rodinných a majetkových poměrech, a trestněprávní bezúhonnosti.

Zaměstnavatelé nezajišťují potřebnou úroveň ochrany

Podle čl. 32 GDPR je zaměstnavatel kromě jiného povinen s přihlédnutím ke stavu techniky, nákladům na provedení, povaze a účelům zpracování a jiným skutečnostem provést vhodná technická a organizační opatření, aby zajistil odpovídající bezpečnost osobních údajů. Během výběrových řízení však zaměstnavatelé, respektive jejich pracovníci, mnohdy nakládají s osobními údaji uchazečů o zaměstnání způsobem, který se s výše uvedenými požadavky GDPR v žádném případě neslučuje. 

Typicky se jedná o různé přeposílání životopisů uchazečů o zaměstnání mezi pracovníky zaměstnavatele podílejícími se na výběrovém řízení v přílohách e-mailu. Taková praxe však nezajišťuje potřebnou úroveň bezpečnosti přenosu osobních údajů. Zaměstnavatel v takovém případě ztrácí kontrolu nad osobními údaji uchazeče, neboť nemá přehled, kde všude se osobní údaje takto nacházejí. Podobným příkladem je ukládání osobních údajů uchazečů o zaměstnání do různých veřejných excelovských tabulek na sdílených discích, ke kterým má přístup neomezený počet pracovníků zaměstnavatele. Ani v tomto případě nezajišťuje zaměstnavatel potřebnou úroveň bezpečnosti uchovávání osobních údajů. 

Zaměstnavatel by měl zcela jasným způsobem vymezit, jakými prostředky a na jakých místech (ať už fyzických či virtuálních) budou osobní údaje uchazečů o zaměstnání zpracovávány a kteří z jeho zaměstnanců k nim budou mít přístup, přičemž by se mělo jednat výhradně o ty, kteří se budou na průběhu výběrového řízení aktivně podílet (zaměstnanci HR oddělení, atd.).

Závěr

Oblast ochrany osobních údajů významným způsobem ovlivňuje i proces výběrových řízení. Zaměstnavatelé se dostávají do styku s osobními údaji uchazečů o zaměstnání, a musí proto vědět, jak s nimi dle platných právních předpisů správně nakládat, a přizpůsobit tomu své vnitřní procesy a mechanismy. V opačném případě se vystavují nebezpečí postihu ze strany dozorového úřadu.


Mgr. Jiří Koubek


Betlémský palác 
Husova 5 
110 00 Praha 1 

Tel.:    +420 224 401 440 
Fax:    +420 224 248 701 

_____________________
[1] V podrobnostech viz čl. 13 GDPR
[2] Čl. 6 odst. 1 písm. f) GDPR


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz