25.5.2018
Rady brigádníkům, Legislativa, Mediální zóna

GDPR lidsky a srozumitelně: jak ovlivní práci personalistů?

Co všechno se podle GDPR považuje za osobní údaj? Můžeme čekat, že se kvůli novým pravidlům ochrany osobních údajů prodlouží výběrová řízení? A co dělat, když chceme dát fotky zaměstnanců na firemní Facebook?

Jak GDPR ovlivní práci nás personalistů?

Jako personalisté pracujete s mnoha údaji o lidech, ať už jsou to osobní údaje zaměstnanců nebo kandidátů. GDPR říká, že je nutné údaje lidí chránit, zvláště v dnešní digitální době. Internet nezapomíná a my nechceme, aby se jím šířily informace o naší osobě nekontrolovaně a nekonečně dlouho. Každý personalista pracuje trochu jinak a dopad GDPR tudíž bude také různý. Když to ale zobecníme, od 25. května 2018 byste měli mít dokonalý přehled o osobních údajích, které projdou vašima rukama. Měli byste přesně vědět, jak s nimi pracujete, kde jsou uloženy, proč a k jakým účelům je můžete využít.

Co všechno GDPR považuje za osobní údaj?

Osobní údaj je jakákoli informace, podle které můžete identifikovat určitého člověka. Může to být nejen jméno a příjmení, ale třeba i jeho e-mail, telefonní číslo nebo pracovní pozice. Když budete vyprávět přátelům veselé historky o řediteli určité firmy, kdokoli z posluchačů si jednoduše dohledá, z koho si vlastně utahujete. Zjednodušte si život, moc nad tím nepřemýšlejte a za osobní údaj považujte vše, co se dá o jedinci zjistit.

A co je myšleno pojmem automatizované zpracování?

Když si do papírového diáře poznamenáte jméno uchazeče, měli byste s ním zacházet zodpovědně. Neztratit ho nebo jej po skončení roku jen tak nevyhodit do kontejneru. GDPR ale ještě řešit nemusíte. Pokud však máte v e-mailu či elektronickém kalendáři záznam o plánované schůzce, dá se už takový údaj někde automaticky ukládat, zálohovat, shromažďovat, sdílet, analyzovat atd. Už se jedná o zpracování osobního údaje, které je alespoň částečně automatizované, a proto musíte myslet na omezení a pravidla GDPR. Když vás ten člověk později požádá o vymazání svých osobních údajů, musíte si být jistí, že jste schopni najít a smazat informace na všech místech výskytu.

Uveďme jako příklad náborový proces. Zůstane v praxi stejný? Nebo bude složitější, časově náročnější?

Personalisté nemusí s novým nařízením měnit způsob své práce. Jde spíš o kvalitní přípravu, která si vyžádá nějaký čas a úsilí. O to, aby byl každý personalista s GDPR seznámen, aby znal aktuální interní směrnice a postupy. Aby pracoval s dobře zabezpečeným systémem, solidními subdodavateli a věděl, jaké situace mohou nastat a jak je řešit.

Musíme si na něco dávat pozor již ve fázi, kdy píšeme text inzerátu? Třeba jaké informace po kandidátovi smíme požadovat?

Zjednodušeně řečeno můžete po uchazečích chtít jen takové informace, které jsou nezbytné pro výkon nabízené práce. Nic navíc. V každém okamžiku náboru byste si měli být schopni odůvodnit, proč je pro vás požadovaná informace potřebná. Je například nutné vědět, jestli má kandidát životního partnera a jakého je pohlaví? Nebo kolik vychovává dětí a jak jsou staré? Do toho vám (ani podle současných zákonů) prostě nic není. Málo se ví, že nesmíte vyžadovat výpis z rejstříku trestů, pokud se nejedná o práci, kde je to opodstatněné. Jedná se například o práci prodavačů zbraní či bankovních úředníků. Na druhou stranu, když budete přijímat strojvedoucího, neobejdete se bez posudku jeho zdravotní způsobilosti, ale nebudete se vyptávat na zdraví uchazeče o místo asistenta ředitele. Takže, v obsahu inzerátů se nic dramaticky nezmění, tohle vše už řeší současná legislativa. Kromě GDPR musíte pamatovat na antidiskriminační zákon a také zákoník práce, které personalistům stanovují mantinely možných dotazů a otázek v souvislosti s hledáním vhodného uchazeče.

Když jsme u náboru, co nástroje k němu používané (e-mail, LinkedIn účet, aplikace)? Musí být nějak speciálně zabezpečené? Kdo za to ručí?

Rozhodně buďte opatrní s tím, jaké nástroje využíváte, neboť zpracování údajů z jiných zdrojů může být problematické s ohledem na prokazování případného právního základu a jeho tzv. legitimity (omluvitelnosti). Každá aplikace by měla být řádně zabezpečena, o tom není pochyb.

Když nám někdo pošle „jen tak“ svoje CV e-mailem, protože ho naše firma zaujala, jak s ním můžeme nakládat?

Pokud vám někdo zašle životopis, přeje si, abyste s ním pracovali. Otázkou ale je, jak dlouho můžete se životopisem nakládat? Zájemci o práci většinou nic takového do e-mailu ani životopisu nepíší. Nejlepší proto bude, když odesílateli poděkujete a zeptáte se ho, jak dlouho můžete s jeho CV a v něm obsaženými údaji pracovat. Důležité je, abyste byli schopni kdykoliv doložit, že vám daný člověk souhlas se zpracováním údajů dal. Takže si e-mail ideálně založte do svého archivu spolu s životopisem a prokazatelným souhlasem až do jeho vypršení.

Co dalšího nařízení GDPR v oblasti HR ovlivní? Přece jen dnešní personalistika není pouze o třídění CV. Zveřejňujeme fotky lidí ve firmě, sbíráme kontakty na konferencích, monitorujeme chování zaměstnanců…

GDPR tuto oblast mění pouze do určité míry. Většina pravidel platí již dnes, byť není striktně dodržována tak, jak by měla být. Například ve firmách je a bylo zvykem na jakékoliv nástěnky oznamovat blížící se narozeniny svých zaměstnanců s fotkami. Dá se čekat, že s GDPR si většina zaměstnavatelů uvědomí plynoucí rizika a zváží možný zásah do soukromí těchto zaměstnanců.

Fotka je tedy osobní údaj. Znamená to, že od 25. května 2018 nebudeme moci na firemním webu nebo Facebooku zveřejnit snímky, na kterých jsou naši zaměstnanci?

Naprostá většina pracovních smluv zahrnuje i část, kde zaměstnanec souhlasí se zpracováním osobních údajů. Tam je blíže rozvedeno, co to obnáší. Pokud souhlas zahrnuje i zveřejňování fotografií pro prezentační účely, je to v pořádku. Jestli to v souhlasu ošetřeno není, měli byste zaměstnance o souhlas požádat. Může být i ústní, ale z hlediska prokazatelnosti to nebude vhodným způsobem. A nebojte se, nemusí to být žádná formalistická právničina a pamatujte na situaci, kdy si „Honza“ své zveřejnění časem rozmyslí a bude chtít fotku stáhnout a vy ji budete muset smazat.

GDPR pracuje s právem být zapomenut. Může kandidát požadovat vymazání z databáze? A musíme mu vždy vyhovět? Kde všude ho musíme vymazat?

Ano, kandidát může požadovat výmaz z databáze. Budete však muset zvážit každou situaci zvlášť. Právo být zapomenut je jedno z nejdůležitějších práv pro subjekty, které GDPR zavádí. Žádosti o vymazání osobních údajů lze vyhovět za předpokladu, že údaje zpracováváte na základě jeho souhlasu a že nemáte jiný právní základ (například nesoudíte se s kandidátem, protože u vás neuspěl). Nicméně smazat ho musíte ze všech míst, kterých se týká GDPR.

A co s údaji o bývalých zaměstnancích?

To, že přestal být vaším zaměstnancem, nehraje roli, neboť máte povinnost jeho osobní údaje chránit a zpracovávat pro účely archivace.

 

Zdroj: https://www.lmc.eu/cs/gdpr-lidsky-srozumitelne-ovlivni-praci-personalistu/?utm_source=lmc.eu&utm_medium=email&utm_campaign=nl-2018-04-05-velky-gdpr-special

Mohly by Vás zajímat tyto brigády
190
spokojených zákazníků
23500
registrovaných uchazečů
6500
přidělených brigádníků ročně
11
let zkušeností