MENU Zavřít

Zpracování osobních údajů při náboru zaměstnanců: jaké jsou povinnosti a možnosti zaměstnavatele?

  • JUDr. et Mgr. Eva Janečková
  • 9. 1. 2024
  • 12 minut čtení

V průběhu náboru zaměstnanců musí vždy zaměstnavatel zpracovávat osobní údaje, bez toho není postup personalistů možný. Zaměstnavatel se proto ještě před uzavřením pracovněprávního vztahu stává správcem osobních údajů, jak tuto pozici chápe Obecné nařízení (GDPR), a musí plnit všechny povinnosti, které z tohoto právního předpisu vyplývají. O které se jedná? 

Přestože současná právní úprava je účinná již od roku 2018, personalisté stále v některých oblastech tápou, a i po letech se stále tradují některé mýty, které již byly mnohokrát vyvráceny. Mezi ně patří například přesvědčení o tom, že již v průběhu výběrového řízení je zapotřebí od uchazeče vyžadovat souhlas se zpracováním osobních údajů, že je nezbytné mít speciální souhlas pro zpracování rodného čísla apod. 

6 povinností zaměstnavatele jako správce osobních údajů? 

Ve chvíli, kdy zaměstnavatel začne zpracovávat osobní údaje zaměstnance, tedy nejčastěji od okamžiku, kdy je mu doručen životopis uchazeče, stává se správcem osobních údajů podle čl. 4 odst. 7 Obecné nařízení (GDPR) a musí plnit všechny povinnosti, které z tohoto právního předpisu vyplývají.

Základní povinnosti jsou stanoveny v čl. 5 Obecného nařízení (GDPR). Osobní údaje musí být:  

  1. ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“) – osobní údaje tedy musí být zpracovávány v souladu s právními předpisy a také, aby zpracování bylo transparentní, musí být plněna informační povinnost podle čl. 13 a násl. Obecného nařízení (GDPR).
    Zaměstnavatelé běžně tuto povinnost uplatňují vůči zaměstnancům, ale na uchazeče o zaměstnání často zapomínají. 
  2. shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný („účelové omezení“) – z této zásady vyplývá, že zaměstnavatel musí údaje uchazečů zpracovávat pouze za účelem provedení výběrového řízení. Pokud je bude chtít uchovávat i dále, například pro účel vytvoření databáze vhodných potenciálních zaměstnanců, musí definovat nový účel (viz níže). 
  3. přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“) – osobní údaje smí být zpracovávány pouze v rozsahu, který odpovídá účelu. Zaměstnavatel tedy smí u uchazečů zpracovávat pouze ty údaje, které potřebuje pro rozhodnutí, zda je pro něj daný uchazeč vhodný či nikoli. 
  4. přesné a v případě potřeby aktualizované – musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“).
  5. uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány („omezení uložení“) – jakmile pomine stanovený účel (provedení výběrového řízení), měly by být údaje uchazečů zlikvidovány nebo navráceny. K databázím uchazečů viz níže.
  6. zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů („integrita a důvěrnost“). 

Přihlaste se k odběru newsletteru a získávejte novinky ze světa HR včas.

Jaký je právní základ zpracování údajů uchazečů podle Obecného nařízení (GDPR)?  

Čl. 6 Obecného nařízení (GDPR) stanoví, že pro každé zpracování osobních údajů musí správce (zaměstnavatel) mít některý z v tomto ustanovení uvedených právních základů.

Souhrnně lze říci, že zaměstnavatelé proto musí vzít na vědomí následující:  

  1. Pro většinu zpracování údajů na pracovišti právním základem nemůže být, a ani by neměl být, souhlas zaměstnanců [čl. 6 písm. a)] 
  2. Zpracování může být nezbytné pro plnění smlouvy nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů [čl. 6 písm. c)] - Tento právní základ je nejběžnější právě pro zpracování osobních údajů uchazečů. 

Často se však můžeme setkat s tím, že personalisté od uchazečů požadují souhlas se zpracováním osobních údaj pro účely provedení výběrového řízení s tím, že pokud tento souhlas nebude poskytnut, uchazeč bude z výběrového řízení vyřazen.

  • Pokud pomineme skutečnost, že Obecné nařízení (GDPR) stanoví, že souhlas musí být svobodný a že za jeho neudělení nesmí být subjektu údajů nijak postižen, je třeba zdůraznit, že zpracování je založeno na čl. 6 písm. c) Obecného nařízení (GDPR) a zaměstnavatel nesmí požadovat souhlas uchazeče, protože by ho tak uváděl v omyl a porušil zásadu transparentnosti.
  • Pokud je souhlas vyžadován, jedná se tzv. nadbytečný souhlas

Přestože Úřad pro ochranu osobních údajů drží toto stanovisko konzistentně již mnoho let, lze se často setkat na školeních pro personalisty s doporučením, aby pro jistotu ten souhlas vyžadovali a „kryli si tak záda“. 

Jaké osobní údaje SMÍ zaměstnavatel zpracovávat pro účel provedení výběrového řízení? 

Zaměstnavatel smí od uchazeče vyžadovat pouze osobní údaje o uchazeči, které bezprostředně souvisí s uzavřením pracovní smlouvy, tj. údaje, které jsou nezbytné pro výběr nejvhodnějšího z uchazečů. Rozsah údajů bude tedy rozdílný dle obsazované pracovní pozice, souvisejících požadavků a předpokladů. 

Požadovat lze:

  1. základní identifikační a kontaktní údaje (jméno, příjmení, bydliště, datum narození, adresa elektronické pošty, telefonní kontakt).  
  2. další rozsah údajů bude záviset na:  
    • požadavcích zaměstnavatele (řidičské oprávnění kategorie B, certifikát o složení mezinárodní jazykové zkoušky z cizího jazyka) či  
    • na předpokladech stanovených právními předpisy pro výkon práce na daném pracovním místě (vysokoškolské vzdělání, trestněprávní bezúhonnost atp.). 

Velmi často zaměstnavatelé požadují již v průběhu výběrového řízení informace, které jsou žádoucí až v případě vzniku pracovního poměru (např. rodné číslo pro účel sociálního a zdravotního pojištění, číslo zdravotního pojištění, počet dětí). Chtějí tyto údaje o vybraném uchazeči už mít pohromadě, aby si usnadnili práci.

  • Tímto postupem může zaměstnavatel porušit tzv. zásadu minimalizace. Což představuje povinnost, že zpracovávané osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány (viz výše). 

Jaké osobní údaje NESMÍ zaměstnavatel zpracovávat pro účel provedení výběrového řízení? 

Rozhodování, jaké osobní údaje může a má zaměstnavatel zpracovávat, se objevuje už na počátku výběrového řízení.

První omezení přináší § 12 odst. 2 zákona o zaměstnanosti, který říká, že zaměstnavatel nesmí při výběru zaměstnanců vyžadovat informace týkající se: 

  • národnosti,
  • rasového nebo etnického původu,
  • politických postojů,
  • členství v odborových organizacích,
  • náboženství, filozofického přesvědčení,
  • sexuální orientace, 
  • informace, které odporují dobrým mravům,
  • a osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem.

Na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje.  

Do výběru možných údajů zasahuje také § 316 odst. 4 zákoníku práce, podle něhož zaměstnavatel nesmí vyžadovat od zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem. Výčet se tedy rozšiřuje i o: 

  • těhotenství,
  • rodinných a majetkových poměrech,
  • trestněprávní bezúhonnosti. 

Na jednu stranu může zaměstnavatel stanovit kritéria pro výběr zaměstnance sám, pokud se bude držet uvedených zákazů, na druhou stranu splnění některých z nich může požadovat zákon. 

Pro usnadnění plnění požadavků GDPR při výběru nových pracovníků nabízí Vema modul Výběrová řízení, který zajistí celý proces v souladu s GDPR.

Plnění nároků GDPR usnadní také aplikace Personalistika. Její hlavní výhodou je centrální správa personálních dokumentů.

Aplikace Mobilní výplatní lístek zase umožňuje odesílat výplatní lístky zabezpečené heslem na mobil nebo na e-mail. 

Kde jsou hranice získávání osobních údajů uchazečů z jejich účtů na sociálních sítích?  

Používání sociálních médií fyzickými osobami je všeobecně rozšířené a je poměrně běžné, že uživatelské profily jsou veřejně viditelné, v závislosti na nastavení zvoleném držitelem účtu. V důsledku toho se zaměstnavatelé mohou domnívat, že kontrola profilů případných uchazečů na sociálních sítích během náborového procesu je v pořádku. Toto může platit i pro další veřejně dostupné informace o potenciálním zaměstnanci.

Zaměstnavatelé by však neměli předpokládat, že mohou zpracovávat tyto údaje pro své vlastní účely pouze proto, že profil fyzické osoby na sociálních médiích je veřejně dostupný. Pro toto zpracování je vyžadován právní základ, jako například oprávněný zájem.

  • V této souvislosti by zaměstnavatel měl – před kontrolou profilu na sociálních médiích – zohlednit, zda profil žadatele na sociálních médiích souvisí s obchodními nebo soukromými účely, jelikož se může jednat o důležité vodítko pro právní přípustnost kontroly údajů.
  • Kromě toho mohou zaměstnavatelé shromažďovat a zpracovávat osobní údaje uchazečů o zaměstnání pouze v rozsahu, v jakém je shromažďování těchto údajů nezbytné a důležité pro výkon zaměstnání, o které se daná osoba uchází. 

Pozor na reference o uchazeči 

V průběhu hledání nového zaměstnání může dojít k situaci, kdy se stávající zaměstnavatel od potenciálního (budoucího) zaměstnavatele dozví, že jeho zaměstnanec se uchází o práci někde jinde. Předání informace o tom, že se zaměstnanec uchází o nové zaměstnání bez souhlasu tohoto zaměstnance, je však porušením Obecného nařízení (GDPR).

Podobná situace může nastat i při ověřování referencí. Při hledání nového zaměstnance budou zaměstnavatele nepochybně zajímat nejen informace o dosaženém vzdělání a praxi uchazeče, ale i další údaje - např. o způsobu, jakým plní své pracovní povinnosti. Za tímto účelem zaměstnavatel často vyžaduje reference. 

  • Tento pojem zákoník práce ani jiné právní předpisy nepoužívají, tedy ani neupravují a nevysvětlují. Jde zpravidla o neformální získávání jiných informací, než které sdělil sám uchazeč o zaměstnání. Ani v tomto případě nelze získávat informace neformálně, neboť by mohlo dojít k předání informace, že zaměstnanec hledá nové zaměstnání, a to často proti vůli tohoto zaměstnance. Potenciální zaměstnavatel proto musí využít postupu, který obsahuje zákoník práce.  

Zaměstnavatel má především právo na to, aby mu zaměstnanec předložil posudek o pracovní činnosti, který vydává předchozí zaměstnavatel podle § 314 zákoníku práce.

Může se stát, že o posudek předchozího zaměstnavatele požádá přímo budoucí zaměstnavatel. Takové žádosti by však bývalý zaměstnavatel neměl vyhovět, byť zákon toto výslovně nezakazuje. Ustanovení § 314 odst. 1 zákoníku práce však jednoznačně říká: „Požádá-li zaměstnanec…“.

Zaměstnavatel, který o posudek nebo reference žádá, by měl předem požádat o souhlas s takovým postupem zaměstnance a následně by jej s obsahem takového hodnocení měl seznámit, ještě lépe pak, aby jej s ním seznámil přímo zaměstnavatel, který hodnocení provádí. 

Je zaměstnavatel oprávněn požadovat prokázání tvrzení o splnění požadavků uchazečem?  

V případě předpokladů stanovených právními předpisy je zaměstnavatel splnění povinen požadovat a ověřit.  

Jsou-li uvedené informace prokazovány předložením listin, v návaznosti na zásadu minimalizace by si měl zaměstnavatel pořizovat kopie listin, či si listiny obsahující i jiné než nezbytné údaje, ponechat jen tehdy, stanoví-li tak zákon, případně je-li to ve smyslu čl. 6 odst. 1 písm. f) Obecného nařízení (GDPR) nezbytné k ochraně práv a právem chráněných zájmů zaměstnavatele (např. doklad o nejvyšším dosaženém vzdělání, protože na pracovní pozice v určité platové třídě se mohou hlásit jen uchazeči, kteří prokáží příslušný stupeň vzdělání. Pokud ho nemají, jsou vyřazeni).

V ostatních případech postačuje předložení listiny k nahlédnutí a pořízení záznamu o předložení listiny a ověření tvrzené skutečnosti.  

Nelze pořizovat kopie dokladů, např. kopii rodného listu, neboť tato obsahuje i další osobní údaje, které nejsou pro zaměstnavatele potřebné. Není proto možné zakládat kopie veškerých dokladů, které obsahují údaje nezbytné pro zaměstnavatele, a to ani se souhlasem subjektu údajů (zaměstnance). 

Za jakých okolností je možné uchovat životopisy neúspěšných uchazečů?  

Osobní údaje neúspěšných uchazečů nemusí být po ukončení výběru (naplnění účelu) vždy zlikvidovány. Další zpracování osobních údajů neúspěšných uchazečů může probíhat pro některý z doprovodných účelů:

  1. riziko soudního sporu (uchování až 3 roky) - podle čl. 6 písm. f) Obecného nařízení (GDPR) – oprávněný zájem, uchování osobních údajů neúspěšných uchazečů z výše uvedeného důvodu by ale nemělo být automatické;
  2. vytvoření databáze potenciálních budoucích uchazečů o zaměstnání, mezi kterými bude zaměstnavatel v případě uvolnění další pracovní pozice vybírat a nabízet jim pracovní uplatnění - podle čl. 6 písm. a) Obecného nařízení (GDPR) – souhlas, ten musí splňovat všechny požadavky čl. 7 Obecného nařízení (GDPR) a musí obsahovat základní informace o tom, jaké osobní údaje budou pro výše uvedený účel uchovány (kontaktní údaje, kvalifikace), zaměstnavatel také musí určit dobu uchování, která bude odpovídat nově stanovenému účelu.

Běžnou praxí je také vrácení dokumentů neúspěšným uchazečům, tento postup je zcela v souladu s právními předpisy. 

Přečtěte si, jak je to se zpracováním osobních údajů zaměstnanců v průběhu pracovního poměru.

Podobné
články

Systém Vema vám přináší Seyfor