Povinnosti zamestnávateľa pri získavaní osobných údajov uchádzačov o zamestnanie podľa GDPR

Každý zamestnávateľ, ako aj personálna agentúra si musia v súvislosti s ochranou osobných údajov splniť informačnú povinnosť voči uchádzačom o zamestnanie v náborovom procese. V niektorých prípadoch je potrebný aj súhlas so spracúvaním takýchto údajov.

Od 25. mája 2018 vstúpi do platnosti nový zákon o ochrane osobných údajov č. 18/2018 (ďalej len "zákon") a nariadenie č. 2016/679, známe ako GDPR (General Data Protection Regulation). Legislatíva týkajúca sa ochrany osobných údajov výrazne ovplyvňuje nielen každú fyzickú osobu, ale aj každého prevádzkovateľa a obzvlášť, ak je týmto prevádzkovateľom zamestnávateľ.

Prevádzkovateľom je každý, kto spracúva osobné údaje fyzickej osoby vo vlastnom mene. Za prevádzkovateľa sa nepovažuje fyzická osoba, ktorá spracúva osobné údaje pre súkromné potreby alebo v rámci domácej činnosti. Prevádzkovateľom je teda aj zamestnávateľ a dotknutými osobami sú aj uchádzači o zamestnanie (kandidáti) a zamestnanci.

Už Zákonník práce myslí na ochranu osobných údajov v predzmluvných vzťahoch. Ten hovorí, že zamestnávateľ nesmie vyžadovať od fyzickej osoby informácie o:

Informačná povinnosť

Žiadny prevádzkovateľ sa nevyhne v praxi  často zabúdanej tzv. informačnej povinnosti voči dotknutým osobám. Ide o zoznam informácií, ktoré je prevádzkovateľ povinný poskytnúť každej dotknutej osobe pri získavaní jej osobných údajov.

Aké informácie má teda zamestnávateľ poskytnúť uchádzačom? To striktne určuje zákon v závislosti od toho, či osobné údaje boli získané priamo od uchádzača alebo z iného zdroja. Rozoberieme si to nižšie.

Súhlas so spracúvaním osobných údajov

Súhlas je jednoznačný, slobodne daný, konkrétny prejav vôle dotknutej osoby a tá má právo ho kedykoľvek odvolať.

Súhlas môže byť udelený písomne (potvrdený podpisom na samostatnom dokumente), prostredníctvom  elektronických prostriedkov (napr. zaškrtnutie políčka na webovom sídle) a zákon umožňuje aj ústny súhlas (napr. telefonická nahrávka). Ako má vyzerať a aké sú podmienky poskytnutia súhlasu, sú uvedené najmä v:

Kedy je potrebné splnenie informačnej povinnosti a kedy je potrebný aj súhlas, záleží od toho, či si zamestnávateľ vytvára alebo nevytvára databázu uchádzačov. V oboch prípadoch však platí, že splnenie informačnej povinnosti voči uchádzačovi a udelenie súhlasu uchádzačom musí vedieť zamestnávateľ preukázať.

Zdroje osobných údajov

1. Osobné údaje (životopisy) získava zamestnávateľ priamo od uchádzačov

Ak sú osobné údaje získané priamo od uchádzača - najčastejšie prostredníctvom formulára umiestneného na webe spoločnosti (najmä u personálnych agentúr), alebo uchádzač zašle životopis na e-mailovú adresu spoločnosti.

Zoznam informácií, ktoré mu musí zamestnávateľ pri ich získavaní poskytnúť, je uvedený v článku 13 GDPR.

Povinnosti zamestnávateľa:

a) zamestnávateľ si neuchováva životopisy = len informačná povinnosť

b) zamestnávateľ si vytvára databázu uchádzačov = informačná povinnosť + súhlas

Ak zamestnávateľ získava osobné údaje priamo od uchádzača a vie hodnoverne preukázať, že mu boli niektoré informácie poskytnuté už vopred, poskytne mu informácie len v takom rozsahu, ktoré mu ešte poskytnuté neboli.

2. Osobné údaje (životopisy) získava zamestnávateľ nie priamo od dotknutej osoby

Ak nie sú osobné údaje získané priamo od uchádzača, tzn. z iného zdroja, ktorým je aj napríklad pracovný portál.

Zoznam informácií, ktoré mu musí zamestnávateľ poskytnúť, je uvedený v článku 14 GDPR.

Povinnosti zamestnávateľa:

a) zamestnávateľ si neuchováva životopisy = len informačná povinnosť

b) zamestnávateľ si vytvára databázu uchádzačov = informačná povinnosť + súhlas

Zamestnávateľ sa môže úplne alebo čiastočne zbaviť informačnej povinnosti najmä ak:

Pri spracúvaní osobných údajov získaných z iného zdroja má prevádzkovateľ informačnú povinnosť splniť:

Povinnosti zamestnávateľa pri získaní a spracúvaní osobných údajov uchádzačov

OOÚ nábory
OOÚ nábory

Pre 1. aj 2. prípad platí, že po splnení účelu, na ktorý bol životopis vrátane akýchkoľvek ďalších osobných údajov získaný, je potrebné tieto údaje bezodkladne zlikvidovať (aj v písomnej, aj v elektronickej podobe vrátane e-mailov), tzn. po ukončení výberového procesu u neúspešných uchádzačov a po podpise pracovnej zmluvy u úspešného uchádzača. Ak uchádzač udelil súhlas s uchovaním životopisu v databáze, životopis sa zlikviduje po uplynutí stanovenej doby (pokiaľ o výmaz uchádzač nepožiadal skôr).

Získavanie údajov o fyzických osobách na sociálnych sieťach

Pri výberových konaniach zamestnávatelia čoraz častejšie vyhľadávajú nových zamestnancov prostredníctvom sociálnych sietí, alebo si overujú informácie zo životopisov, prípadne zisťujú charakter človeka podľa jeho správania sa na sieťach (záľuby, preferencie, vyjadrovanie, názory). Získané údaje môžu ovplyvniť zamestnávateľa v procese výberu zamestnanca.

Avšak verejná dostupnosť osobných profilov automaticky neoprávňuje zamestnávateľa spracúvať osobné údaje o potenciálnom kandidátovi na takéto účely a takéto praktiky využívania informácií a profilovanie nemajú oporu v zákone.

Ak napriek tomu má zamestnávateľ záujem spracúvať údaje z verejných profilov, je jeho povinnosťou informovať dotyčnú osobu o spracúvaní v súlade GDPR (ešte pred samotným použitím údajov v procese náboru).

Pozn.: Zamestnávatelia by nemali vyžadovať od zamestnancov, aby si zriaďovali profily na sociálnych sieťach za účelom zviditeľňovania zamestnávateľa. Rovnako to platí aj v prípade, ak propagácia firmy vyplýva zamestnancovi priamo z náplne práce (ako napr. u pozície hovorcu). Zamestnanci majú právo odmietnuť vytvorenie takéhoto konta bez toho, aby ich zamestnávateľ za to postihoval.

Splnením informačnej povinnosti a zabezpečením súhlasov však práca zamestnávateľa spojená s ochranou osobných údajov zďaleka nekončí. Musí kompletne zanalyzovať stav, tok a bezpečnosť osobných údajov, prijať primerané bezpečnostné opatrenia a splniť ďalšie povinnosti.

Silvia Dutková

Silvia DutkováAko personálny poradca a audítor vo FINAP Consulting odbremeňujem podnikateľov od komplikovanej personálnej agendy, pomáham im s nábormi, nastavujem HR dokumentáciu a vytváram GDPR riešenia na mieru, a to v začínajúcich aj v existujúcich firmách. Spolu s tímom realizujeme externé zamestnanecké prieskumy a hodnotenia zamestnancov. Viac informácií

Prejsť na začiatok stránky