Onboarding a ochrana osobných údajov zamestnanca

Prijímanie zamestnancov je najmä vo väčších firmách administratívne zaťažujúci proces. Zamestnanec prechádza výberovým konaním, pristupuje k podpisu zmluvy, preberá firemné zariadenia, zoznamuje sa s firemnými procesmi. Ako zabezpečiť, aby bola dodržaná ochrana osobných údajov zamestnanca počas tohto procesu, ale aj počas trvania pracovného procesu a jeho ukončení?

Počas celého procesu, od získania informácií o potenciálnych uchádzačoch, cez pohovory, až po podpis pracovnej zmluvy, je nevyhnutné reflektovať na to, čo by mala obsahovať ochrana osobných údajov zamestnanca.

Získavanie kontaktov – od získania životopisu až po podpis pracovnej zmluvy

Ochrana osobných údajov zamestnanca pri jeho prijímaní začína ešte pred získaním prvých kontaktov. Zamestnávateľ má viacero povinností. Už pred získaním osobných údajov má byť uchádzač oboznámený o tom, ako sú jeho osobné údaje spracúvané. 

Kompletné informácie o plnení informačnej povinnosti – oboznamovaní – nájdete nižšie v článku “Oboznámenie a oboznamovanie zamestnancov”.

Akvizícia zamestnancov prebieha na externých portáloch, využitím sociálnych sietí, využitím vlastnej webovej stránky, prípadne ADZ, personálnej agentúry alebo cez headhunterov. Externé portály aj sociálne siete už poskytujú možnosti na vloženie informačnej povinnosti – buď cez hypertextové odkazy alebo rovno vložením dokumentov. 

Pri ADZ, personálnej agentúre alebo headhunteroch je režim osobitný. Venujeme sa mu v samostatnom článku “Vzťahy so sprostredkovateľmi”

So začatím výberového procesu a pred získaním prvých životopisov je potrebné:

• zaznamenať účely spracúvania a definovať právne základy
• pripraviť informačnú povinnosť vo vzťahu k získavaniu zamestnancov
• prijať bezpečnostné opatrenia 
• poveriť oprávnenú osobu spracúvaním osobných údajov na tieto účely spracúvania

Právne základy v súvislosti s výberovým konaním

Zamestnávateľ má viacero možností, ako nastaviť výberové konanie. Právne základy, ktoré v štádiu “prijímania životopisov” možno využiť:

1. súhlas so spracovaním osobných údajov – čl. 6 ods. 1 písm. a) GDPR
2. plnenie zmluvných povinností alebo vykonanie opatrení pred uzatvorením zmluvy v zmysle – čl. 6 ods. 1 písm. b) GDPR

Účely spracúvania v zázname o spracovateľských činnostiach v súvislosti s prijímaním zamestnancov:

Ako vybrať právny základ?

Osobné údaje pre výber zamestnanca potrebujeme už v rámci výberového konania. Podľa nášho názoru nie je chybou voľba súhlasu alebo plnenia zmluvných povinností. 

V oboch prípadoch je potrebné evidovať účel spracúvania – napríklad ako “vedenie výberových konaní” a vo vzťahu k dotknutým osobám – uchádzačom o zamestnanie, plniť informačnú povinnosť.

Súhlas so spracovaním osobných údajov

Pri súhlase je nevýhodou potreba doručenia súhlasu so spracovaním osobných údajov pred doručením životopisu. Aj keď uchádzači, ktorí vás kontaktujú cez externé portály uvádzajú v životopise súhlas, ten nie je dostatočný z pohľadu obsahových náležitostí.

Získavanie súhlasu, ktorý spĺňa všetky podmienky a náležitosti vyžadované GDPR Nariadením je z tohto pohľadu náročné. (pozn. pod čiarou – o náležitostiach súhlasu so spracovaním osobných údajov píšeme v článku.

Zmluvné povinnosti

Ak je zvolený právny základ – plnenie (pred)zmluvných povinností, súhlas nie je potrebné získavať. Získavanie osobných údajov v rámci plnenia zmluvných povinností predpokladá aj § 41 a nasl. Zákonníka práce.

Treba si dať pozor na situáciu, kedy máte záujem evidovať uchádzača o zamestnanie aj po skončení výberového konania. V tom prípade je potrebné získať súhlas so spracovaním osobných údajov a túto spracovateľskú operáciu považujeme za samostatný účel spracúvania.

Tip 1: Pri predzmluvných vzťahoch uprednostňujeme určenie právneho základu v zmysle čl. 6 ods. 1 písm. c) GDPR Nariadenia. Hlavnou výhodou je, že nie je potrebné disponovať súhlasom so spracovaním osobných údajov k účelu spracúvania.

Tip 2: Odkaz na informačnú povinnosť (privacy policy) v súvislosti s predzmluvnými vzťahmi odporúčame umiestniť priamo do inzerátu tak, aby sme vedeli preukázať, že uchádzač o zamestnanie sa mal možnosť s ňou oboznámiť pred odoslaním osobných údajov, životopisu, prípadne iných informácií.

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Rozsah osobných údajov a doba uchovávania podľa GDPR

Rozsah osobných údajov

Keďže zamestnávateľ vopred nemá vedomosť o tom, aké osobné údaje mu budú doručené, predpokladáme doručenie bežných osobných údajov v rozsahu životopisu, potenciálne motivačného listu a referencií z predchádzajúcich prác. Uchádzači bežne doručujú aj fotografie.

Uvedený rozsah doručených osobných údajov považujeme za proporcionálny, v súlade so zásadou minimalizácie. Je potrebné si dať pozor na vedomé získavanie informácií o osobitných kategóriách osobných údajov – ako sú údaje zdravotnom stave, majetkových pomeroch… 

To platí pre prípady, kde to nie je nevyhnutné. Pri niektorých druhoch zamestnaní vyžadujú právne predpisy aj zdravotný stav uchádzača, potvrdenie o bezúhonnosti, výpis z registra trestov.

Niektoré z týchto osobných údajov patria medzi osobitné kategórie osobných údajov, ktoré môžu byť získavané len za splnenia podmienok a vyžadujú osobitnú ochranu.

Čl. 9 ods. 1 GDPR Nariadenia: 

„Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.“

Pozor na Zákonník práce

Tiež je potrebné dať pozor na informácie, ktorých získavanie je “tabu” z pohľadu Zákonníka práce. 

Doba uchovávania osobných údajov pri výberovom konaní

Pri výberovom konaní odporúčame uchovávať informácie o uchádzačov o zamestnanie a od nich doručené informácie len do ukončenia a vyhodnotenia výberového konania, prípadne krátku dobu po jeho ukončení.

Po uplynutí tejto doby je potrebné osobné údaje spracúvané za účelom “vedenia výberových konaní” vymazať.

Ak máte záujem udržať osobné údaje a životopisy neúspešných uchádzačov dlhšie – napríklad počas skúšobnej doby novoprijatého zamestnanca alebo sú niektorí uchádzači zaujímaví, už vyššie sme naznačili, že takéto uchovávanie osobných údajov možno považovať za iný účel spracúvania. Ten si tiež vyžaduje určenie právneho základu, doby uchovávania a plnenie ďalších náležitostí. 

Tip 3: Ako teda naložiť so životopismi a osobnými údajmi “nevybraných”, ale stále hodnotných uchádzačov? Môžete získať súhlas so spracovaním osobných údajov a stanoviť účel spracúvania “evidencia neúspešných uchádzačov”. Právnym základom je v tomto prípade súhlas. V špecifických podmienkach možno uvažovať aj o aplikácii oprávneného záujmu – čo si vyžaduje vypracovanie testu proporcionality alebo DPIA.

Informačná povinnosť a ochrana osobných údajov zamestnanca

Pred začatím spracúvania osobných údajov je potrebné sa zamerať na plnenie informačnej povinnosti voči dotknutým osobám. Rozlišujeme, či oslovujeme uchádzačov ako prevádzkovateľ – samostatne alebo cez tretiu stranu (sprostredkovateľ).

Dôležité je, aby mal každý uchádzač možnosť sa oboznámiť so spracúvaním osobných údajov.

Vybrali sme zamestnanca – čo ďalej?

Nasleduje podpis pracovnej zmluvy s vybranými uchádzačmi. Uchádzači sa stávajú zamestnancami, a s tým prináša ochrana osobných údajov zamestnanca ďalšie náležitosti a povinnosti, ktoré majú byť riešené komplexne v rámci spoločnosti.

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb