Magazín

Píšeme o tom, co má v HR smysl číst.

Právo

GDPR lidsky a srozumitelně: jak ovlivní práci personalistů?

GDPR lidsky a srozumitelně: jak ovlivní práci personalistů?

4. 4. 2018 Co všechno se podle GDPR považuje za osobní údaj? Můžeme čekat, že se kvůli novým pravidlům ochrany osobních údajů prodlouží výběrová řízení? A co dělat, když chceme dát fotky zaměstnanců na firemní Facebook? Víme, že třeba tohle vás ohledně GDPR zajímalo. Přinášíme odpovědi od právníků, které jsme však poprosili, aby to vysvětlili…

Lucie Vurbsová
Lucie Vurbsová · 5 min čtení
4. dubna
GDPR lidsky a srozumitelně: jak ovlivní práci personalistů?

4. 4. 2018

Co všechno se podle GDPR považuje za osobní údaj? Můžeme čekat, že se kvůli novým pravidlům ochrany osobních údajů prodlouží výběrová řízení? A co dělat, když chceme dát fotky zaměstnanců na firemní Facebook? Víme, že třeba tohle vás ohledně GDPR zajímalo. Přinášíme odpovědi od právníků, které jsme však poprosili, aby to vysvětlili hlavně lidsky, srozumitelně a prakticky. Povedlo se.

Jak GDPR ovlivní práci nás personalistů?

Jako personalisté pracujete s mnoha údaji o lidech, ať už jsou to osobní údaje zaměstnanců nebo kandidátů. GDPR říká, že je nutné údaje lidí chránit, zvláště v dnešní digitální době. Internet nezapomíná a my nechceme, aby se jím šířily informace o naší osobě nekontrolovaně a nekonečně dlouho. Každý personalista pracuje trochu jinak a dopad GDPR tudíž bude také různý. Když to ale zobecníme, od 25. května 2018 byste měli mít dokonalý přehled o osobních údajích, které projdou vašima rukama. Měli byste přesně vědět, jak s nimi pracujete, kde jsou uloženy, proč a k jakým účelům je můžete využít.

Co všechno GDPR považuje za osobní údaj?

Osobní údaj je jakákoli informace, podle které můžete identifikovat určitého člověka. Může to být nejen jméno a příjmení, ale třeba i jeho e-mail, telefonní číslo nebo pracovní pozice. Když budete vyprávět přátelům veselé historky o řediteli určité firmy, kdokoli z posluchačů si jednoduše dohledá, z koho si vlastně utahujete. Zjednodušte si život, moc nad tím nepřemýšlejte a za osobní údaj považujte vše, co se dá o jedinci zjistit.

A co je myšleno pojmem automatizované zpracování?

Když si do papírového diáře poznamenáte jméno uchazeče, měli byste s ním zacházet zodpovědně. Neztratit ho nebo jej po skončení roku jen tak nevyhodit do kontejneru. GDPR ale ještě řešit nemusíte. Pokud však máte v e-mailu, elektronickém kalendáři nebo Teamiu záznam o plánované schůzce, dá se už takový údaj někde automaticky ukládat, zálohovat, shromažďovat, sdílet, analyzovat atd. Už se jedná o zpracování osobního údaje, které je alespoň částečně automatizované, a proto musíte myslet na omezení a pravidla GDPR. Když vás ten člověk později požádá o vymazání svých osobních údajů, musíte si být jistí, že jste schopni najít a smazat informace na všech místech výskytu.

Uveďme jako příklad náborový proces. Zůstane v praxi stejný? Nebo bude složitější, časově náročnější?

Nemyslím si, že by personalisté měli s novým nařízením měnit způsob své práce. Jde spíš o kvalitní přípravu, která si vyžádá nějaký čas a úsilí. O to, aby byl každý personalista s GDPR seznámen, aby znal aktuální interní směrnice a postupy. Aby pracoval s dobře zabezpečeným systémem, solidními subdodavateli a věděl, jaké situace mohou nastat a jak je řešit.

Musíme si na něco dávat pozor již ve fázi, kdy píšeme text inzerátu? Třeba jaké informace po kandidátovi smíme požadovat?

Zjednodušeně řečeno můžete po uchazečích chtít jen takové informace, které jsou nezbytné pro výkon nabízené práce. Nic navíc. V každém okamžiku náboru byste si měli být schopni odůvodnit, proč je pro vás požadovaná informace potřebná. Je například nutné vědět, jestli má kandidát životního partnera a jakého je pohlaví? Nebo kolik vychovává dětí a jak jsou staré? Do toho vám (ani podle současných zákonů) prostě nic není. Málo se ví, že nesmíte vyžadovat výpis z rejstříku trestů, pokud se nejedná o práci, kde je to opodstatněné. Jedná se například o práci prodavačů zbraní či bankovních úředníků. Na druhou stranu, když budete přijímat strojvedoucího, neobejdete se bez posudku jeho zdravotní způsobilosti, ale nebudete se vyptávat na zdraví uchazeče o místo asistenta ředitele. Takže se domnívám, že v obsahu inzerátů se nic dramaticky nezmění, tohle vše už řeší současná legislativa. Kromě GDPR musíte pamatovat na antidiskriminační zákon a také zákoník práce, které personalistům stanovují mantinely možných dotazů a otázek v souvislosti s hledáním vhodného uchazeče.

Když jsme u náboru, co nástroje k němu používané (e-mail, LinkedIn účet, aplikace)? Musí být nějak speciálně zabezpečené? Kdo za to ručí?

Rozhodně buďte opatrní s tím, jaké nástroje využíváte, neboť zpracování údajů z jiných zdrojů může být problematické s ohledem na prokazování případného právního základů a jeho tzv. legitimity (omluvitelnosti). Každá aplikace by měla být řádně zabezpečena, o tom není pochyb.

Když nám někdo pošle „jen tak“ svoje CV e-mailem, protože ho naše firma zaujala, jak s ním můžeme nakládat?

Pokud vám někdo zašle životopis, přeje si, abyste s ním pracovali. Otázkou ale je, jak dlouho můžete se životopisem nakládat? Zájemci o práci většinou nic takového do e-mailu ani životopisu nepíší. Nejlepší proto bude, když odesílateli poděkujete a zeptáte se ho, jak dlouho můžete s jeho CV a v něm obsaženými údaji pracovat. Důležité je, abyste byli schopni kdykoliv doložit, že vám daný člověk souhlas se zpracováním údajů dal. Takže si e-mail ideálně založte do Teamia nebo svého archivu spolu s životopisem a prokazatelným souhlasem až do jeho vypršení.

Co dalšího nařízení GDPR v oblasti HR ovlivní? Přece jen dnešní personalistika není pouze o třídění CV. Zveřejňujeme fotky lidí ve firmě, sbíráme kontakty na konferencích, monitorujeme chování zaměstnanců…

GDPR tuto oblast mění pouze do určité míry. Většina pravidel platí již dnes, byť není striktně dodržována tak, jak by měla být. Například ve firmách je a bylo zvykem na jakékoliv nástěnky oznamovat blížící se narozeniny svých zaměstnanců s fotkami. Dá se čekat, že s GDPR si většina zaměstnavatelů uvědomí plynoucí rizika a zváží možný zásah do soukromí těchto zaměstnanců.

Fotka je tedy osobní údaj. Znamená to, že od 25. května 2018 nebudeme moci na firemním webu nebo Facebooku zveřejnit snímky, na kterých jsou naši zaměstnanci?

Naprostá většina pracovních smluv zahrnuje i část, kde zaměstnanec souhlasí se zpracováním osobních údajů. Tam je blíže rozvedeno, co to obnáší. Pokud souhlas zahrnuje i zveřejňování fotografií pro prezentační účely, je to v pořádku. Jestli to v souhlasu ošetřeno není, měli byste zaměstnance o souhlas požádat. Může být i ústní, ale z hlediska prokazatelnosti to nebude vhodným způsobem. A nebojte se, nemusí to být žádná formalistická právničina a pamatujte na situaci, kdy si „Honza“ své zveřejnění časem rozmyslí a bude chtít fotku stáhnout a vy ji budete muset smazat.

GDPR pracuje s právem být zapomenut. Může kandidát požadovat vymazání z databáze? A musíme mu vždy vyhovět? Kde všude ho musíme vymazat?

Ano, kandidát může požadovat výmaz z databáze. Budete však muset zvážit každou situaci zvlášť. Právo být zapomenut je jedno z nejdůležitějších práv pro subjekty, které GDPR zavádí. Žádosti o vymazání osobních údajů lze vyhovět za předpokladu, že údaje zpracováváte na základě jeho souhlasu a že nemáte jiný právní základ (například nesoudíte se s kandidátem, protože u vás neuspěl). Nicméně smazat ho musíte ze všech míst, kterých se týká GDPR.

A co s údaji o bývalých zaměstnancích?

To, že přestal být vaším zaměstnancem, nehraje roli, neboť máte povinnost jeho osobní údaje chránit a zpracovávat pro účely archivace.

Rady na závěr:

Zvládne si firma s implementací GDPR poradit sama, nebo potřebuje odborníky?

Pokud jste se doposud poctivě řídili stávající „stojedničkou“ (zákonem o ochraně osobních údajů), neměl by přechod na GDPR představovat velký problém. Zásadní je, abyste měli o osobních datech uchazečů nebo zaměstnanců, které zpracováváte, přehled. Pokud máte ve firmě složitější postupy a procesy, které se zpracování osobních údajů nějakým způsobem dotýkají, možná bude nutné odborné poradenství vyhledat.

Existují nějaké univerzální postupy nebo nástroje, které byste mohl personalistům doporučit?

Každý persoalista by měl ke zpracování údajů přistupovat takovým způsobem, aby dodržoval veškeré zásady zpracování osobních údajů, tedy zejména zákonnost, transparentnost a účelovost. Pozice personalisty není jednoduchá, neboť pro posouzení vhodnosti kandidáta by chtěl mít co nejvíce údajů, což je v protikladu se zásadou minimalizace osobních údajů. Postavení personalisty tak není v návaznosti na GDPR zcela jednoduché, ale to není ani se současnou „stojedničkou“.

Tip LMC: Připravili jsme pro vás „check list“, díky kterému si zkontrolujete, jak jste na tom s přípravou na GDPR v náboru. LMC chystá také kuchařku GDPR v náboru, těšte se! 🙂

Ocenili bychom, kdybyste nám po přečtení článku odpověděli na krátkou anketu. Její vyplnění vám zabere přesně 3 kliknutí. Děkujeme. 

Vyplnit anketu

 

„Ačkoliv tento dokument viděly oči několika právníků, LMC s. r. o. není advokátní kancelář. Tento dokument proto prosím chápejte jako informativní, s obecným charakterem, který nereflektuje Vaše konkrétní požadavky nebo poměry. Nezamýšleli jsme ho jako právní poradenství, komplexní vyjádření zákona nebo návrh na řešení Vašich individuálních požadavků, a proto neodpovídáme za soulad tohoto dokumentu s právními předpisy, ani za použití tohoto dokumentu jinak než v souladu s námi zamýšleným účelem. Pokud ve Vaší společnosti řešíte ochranu osobních údajů, doporučujeme Vám obrátit se na nezávislou právní kancelář a probrat s ní veškeré postupy tak, aby vyhovovaly přesně Vašim účelům.“