• GDPR pre zamestnávateľov

    GDPR a recruitment

    Dodnes si nie som istá, či som konala zákonne alebo nie, keď som v roku 2002 dávala headhuntovaným kandidátom podpisovať súhlas so spracúvaním osobných údajov. V dobách pred rozmachom internetových vyhľadávačov, v časoch na informácie chudobných firemných stránok a dlho – dlho pred nástupom sociálnych sietí na scénu, sme vhodných kandidátov pre klientov vyhľadávali cieleným oslovením. 

    To znamenalo, že sme zavolali na recepciu či sekretariát firmy, odkiaľ sme mali záujem o pracovníka zastávajúceho nejakú pozíciu, napríklad finančného manažéra. Zistili sme si, ako sa volá, jeho telefónne číslo a zavolali sme mu. Čisto dôverne, chápete. Kumšt bolo získať tie mená a telefónne čísla, ale o tom možno niekedy inokedy.  A ten súhlas v kontexte celej tejto praxe asi celkom kóšer nebol.

    V každom prípade, súhlas so spracúvaním osobných údajov uchádzača o zamestnania sa žiadal odkedy si pamätám. Ale je skutočne správe žiadať ho? O súhlasoch sme už pojednávali a odkazovali sme na stanovisko pracovnej skupiny  WP29, ktorá v usmernení uvádza, že taký súhlas nie je v súlade s GDPR, pretože z podstaty veci nemôže byť daný slobodne, je teda neplatný.

    Príklad z praxe

    Čo je problém:

    Zamestnávateľ inzeruje voľné pracovné miesto na portáli určenom na vyhľadávanie zamestnania. Tento prevádzkovateľ síce poskytuje informáciu o tom, kto je zamestnávateľ a informuje rozsiahlo, ktoré zákony touto žiadosťou dodržiava, avšak – neposkytuje podstatnú a zákonom požadovanú informáciu o účele a právnom základe spracúvania, ani o tom, aké sú práva dotknujte osoby a na koho sa môže obrátiť (zodpovedná osoba, ak je menovaná, alebo kto iný). Zmätočne pôsobia aj záverečné vety, že súhlas je udelený na dobu 3 rokov ale je možné je ho kedykoľvek odvolať.

    Prečo je to problém:

    Výslovný súhlas so spracúvaním osobných údajov je možné žiadať podľa článku 9 GDPR len v prípade spracúvania osobných údajov osobitných kategórií. V minulosti sme ich nazývali citlivé údaje a patrili medzi ne aj fotografia a rodné číslo.

    Ako je to dnes

    Zakazuje sa spracúvať osobné údaje osobitných kategórií, ktorými sú: 

    1. údaje odhaľujúce rasový alebo etnický pôvod, 
    2. politické názory, 
    3. náboženské alebo filozovické presvedčenie, 
    4. členstvo v odborových organiáciách, 
    5. genetické údaje, 
    6. biometrické údaje spracúvané na individuálnu identifikáciu fyzickej osoby, 
    7. údaje týkajúce sa zdravia, 
    8. sexuálneho života,
    9. sexuálnej orientácie fyzickej osoby.

    Zákaz spracúvania nie je generálny (čl. 9, ods 1 GDPR), má tieto výnimky:

    1. Výslovný súhlas dotknutej osoby
    2. Plnenie povinnosti a výkon osobitných práv v oblasti pracovného práva, práva sociálneho zabezpečenia a sociálnej ochrany
    3. Ochrana životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby
    4. Zákonná činnosť nadácie, združenia alebo iného neziskového subjektu s politickým, filozofickým, náboženským alebo odborárskym zameraním
    5. Údaje preukázateľne zverejnené dotknutou osobou
    6. Preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov a výkon súdnej právomoci
    7. Významý verejný zájjem na zákalde práva Únie alebo práva členského štátu
    8. Zdravotná a sociálna starostlivosť
    9. Verejný záujem v oblasti verejného zdravia
    10. Archivácia vo verejnom záujme, vedecký alebo historický výskum a štatistika

    Avšak pozor! Článok 9, ods. 1, písm. a) hovorí, že za súhlas sa nepovažuje “jednoznačný potvrdzujúci úkon”, za ktorý by sa dalo napríklad považovať zaslanie životopisu. Je potrebné doložiť výslovný, jednoznačný, slobodný, konkrétny a informovaný súhlas. 

    Špecifikum GDPR je šalamúnstvo prejavené aj tentokrát – musíte žiadať súhlas ak to stanovuje zákon, ale zároveň ho nesmiete žiadať v prípadoch, kedy ho zákon nevyžaduje. Jasné, nie?

    Ako by mal postupovať zamestnávateľ?

    1. V záznamoch o spracovateľských činnostiach a/ alebo Internej smernici o ochrane osobných údajov (a súvisiacich dokumentov, ako napríklad pokyny pre oprávnené osoby atď.), určíte účel spracúvania osobných údajov ako výber vhodného uchádzača na voľnú pracovnú pozíciu. Či potrebujete viesť Záznamy stanovuje zákon.
    2. Právnym základom bude oprávnený záujem prevádzkovateľa s vypracovanými balančnými testami.
    3. V Záznamoch/ Smernici budú popísané aj technicko-organizačné bezpečnostné opatrenia a stanovené lehoty na výmaz. 
    4. V Záznamoch a/ alebo Smernici rozlíšujte spracúvanie osobných údajov získaných verejne dostupných zdrojov, od dodávateľa alebo formou odporúčania inou fyzickou osobu; a získané priamo od dotknutej osoby. 

    V prípade, že osobné údaje v životopise získavate priamo od dotknutej osoby stačí, ak splníte informačnú povinnosť podľa čl. 14 GDPR, teda dokázateľne informujete uchádzača o zamestnanie na aký účel, na ako právnom základe a ako dlho údaje bude spracúvať, na koho sa má obrátiť v prípade namietania.

    V prípade, že zamestnávateľ spracúva osobné údaje získané z verejne dostupných zdrojov, potrebuje: 

    • Informovať dotknutú osobu na aký účel, na ako právnom základe a ako dlho údaje bude spracúvať
    • Uviesť zdroj, odkiaľ ich získal 
    • Dodržiavať princípy GDPR (minimalizácia, transparnentosť, intergrita a dôvernosť, bezpečnosť)
    • Dodržať zákonnosť spracúvania podľa čl. 6 GDPR
    • Umožniť kandidátovi výkon svojho práva byť zabudnutý

    Zákonnosť spracúvania OÚ z verejne dostupných zdrojov a čl. 6 GDPR 

    Najčastejšim scénarom je, že dotknutá osoba poskytla súhlas so spracúvaním osobných údajov nejakej spoločnosti – Prevádzkovateľovi, ktorá údaje zhromažďuje. Napadá mi slovenská Profesia alebo Facebook, Linkedin či iná sociálna sieť. 

    Vy ako prevádzkovateľ, ktorý tieto údaje z verejne dostupných zdrojov čerpáte, zase budete mať oprávnený záujem tak konať. Ako sme si povedali, oprávnený záujem je v súlade s legislatívou len v prípade, že máte vypracované balančné testy. Pracovná skupina WP 29 k tomu pripravila podrobný dokument, odkaz nájdete na konci článku.

    V každom prípade by spracovateľské operácie a rozsah spracúvaných dajov mali zohľadňovať opodstatnené a primerané očakávania dotknutých osôb, ako aj status prevádzkovateľa a dotknutej osoby. 

    Inak povedané – čím detailnejšie a citlivejšie (pozor, nezamieňať s citlivými údajmi) informácie (teda údaje, dáta) budú spracúvané, a čím viac ľudí k nim bude mať prístup (v najhoršom prípade “verejnosť”), tým je menej pravdepodobné, že balančný test bude v prospech prevádzkovateľa. Problémom napríklad môže byť, ak máte v organizácii síce legálne kúpenú a drahú databázu kandidátov s prístupovými právami nastavenými tak, že osobné údaje nie sú chránené.

    Oprávnený záujem, naopak, môže byť posilnený procesom, keď sú spracúvané osobné údaje len v obmedzenom rozsahu, v malom počte a zdieľané len obmedzene.

    V neposlednom rade je dôležité, aby verejne dostupné osobné údaje boli čo najúzkostlivejšie spracúvané v súlade s pôvodným účelom spracúvania. Napríklad verejné registre by mali tiež zverejňovať len nevyhnutne nutné údaje. 

    Zhrnutie

    GDPR – respektíve povinnosti prevádzkovateľa chrániť osobné údaje a dodržiavať zákonné povinnosti – sa vzťahuje aj na údaje získané z verejne dostupných zdrojov. Súhlas nie je potrebný, ak nespracúvame osobné údaje osobitnej kategórie. Informačná povinnosť a prijatie príslušných technicko-organizačných bezpečnostných opatrení sú nutné vždy. 

    Autor: Martina Javůrková, MBA