Photo By Tom Sodoge

Ochrana osobních údajů na sítích a GDPR

Sdílíte fotky zaměstnanců na Facebooku? Našli jste si email kandidáta na LinkedInu? Používáte cloudový ATS systém? Pak je dobré vědět, jaké povinnosti a rizika se k této oblasti vztahují.

Tématem posledního Recruitment MeetUpu byla ochrana osobních údajů v náboru. Tato oblast už dávno není jen o souhlasu se zpracováním dat kandidáta, ale je daleko komplexnější. Data o kandidátech sbíráme na sítích, ukládáme jejich osobní údaje v cloudových úložištích na druhém konci zeměkoule, zveřejňujeme fotky zaměstnanců na Facebooku nebo monitorujeme jejich chování. Do toho všeho přichází nařízení GDPR (General Data Protection Regulation), která definuje povinnosti při správě osobních údajů, a hlavně zavádí astronomicky vysoké pokuty, na které se některé firmy již začaly vymezovat speciální fondy.

Zdeněk Bajer z firmy Datacruit a Vojta Chloupek z advokátní kanceláře Bird & Bird vysvětlili, co GDPR obnáší a na co si dát pozor.

Recruitment MeetUp #7

Začněme tím, co jsou osobní údaje?

Jsou to jak údaje, kterými je možné zaměstnance identifikovat, to znamená jméno, adresa či datum narození, tak další údaje s tím spojené. Osobním údajem může být i fotka zaměstnance, případně samotný fakt, že dotyčný u vás pracuje.

Když je osobní údaj fotka, můžu vyvěsit fotku s lidmi z kanceláře na Facebooku? Moderní trend je být maximálně otevřený, ukazovat, jak to ve firmě vypadá a kdo tam pracuje….

Zaměstnanec k tomu musí dát souhlas, ten nemusí být pouze explicitní (písemný), může být i implicitní, to znamená vyplývající z kontextu.

Pokud pár lidí poprosíte, že si uděláte fotku na Facebook a oni vám zapózují, je to v pořádku. Pokud na firemní akci chodí fotograf a lidé se vědomě nechávají fotit, je to také OK. Ovšem snímky by měly posloužit jako reportáž z akce. V případě, že je použijete pro náborovou reklamu, už to je jiný účel, než se kterým lidi při focení počítali.

Jak mám postupovat, pokud chci fotky použít pro náborovou reklamu, například na kariérním webu?

Focení lidé by měli přesně vědět, k čemu fotky slouží a je třeba získat písemný souhlas zaměstnance nejenom kvůli ochraně osobních údajů, ale obecně kvůli ochraně osobnosti. Můžete případně zvážit finanční odměnu a nezapomenout na ošetření autorských práv fotografa.

GDPR uvádí právo být zapomenut. Může mi kandidát napsat, že chce být vymazán z databáze uchazečů?

Ano, to může. Ale stejně tak je dobré vědět, že povinnost vymazat data se týká jen určitých situací popsaných v GDPR. Každopádně pokud byl kandidát v databázi veden s jeho souhlasem, pak právo na výmaz (resp. odvolání souhlasu) má.

Zrovna v náboru to naráží na jeden praktický problém. Pokud ho z databáze úplně vymažete, může se stát, že jiný kolega jej najde na LinkedInu a zkontaktuje. Poté, co je zapomenut, bude znovu “objeven”. Lepší bude si u něj v databázi napsat poznámku, že nechce být kontaktován a kandidátovi odpovědět v tom smyslu, že jeho osobní údaje pro dané konkrétní účely byly vymazány (což však nemusí znamenat, že takové osobní údaje nemohou být zpracovány pro jiné účely).

Je problém, pokud mi zaměstnanec nedal svůj e-mail, ale já si ho dohledal na internetu?

To by mělo být v pořádku za podmínky, že email byl zveřejněný oprávněně, ideálně přímo kandidátem. Nicméně sběr dat by měl být přiměřený jejich účelu. To znamená fotky kandidáta z dovolené by si člověk pro účely náboru ukládat neměl.

Je problém, pokud na Facebooku zaměstnance najdu fotky a udělám z nich koláž na nástěnku? Například chci představit nováčky ve firmě a trošku ukázat, kdo jsou i v soukromém životě.

V zásadě by k tomu měl zaměstnanec vždy dát souhlas, případně byste měli fotky získat od něj, ne je stahovat z internetu. To není ani tolik otázka zákona pro ochranu osobních údajů, případně GDPR, ale spíš obecná ochrana soukromí.

Mnoho ATS systémů pracuje v cloudu, data mohou být fyzicky uložena v zahraničí. Je s tím problém? Na co si při výběru ATS dát pozor?

Z pohledu ochrany osobních údajů je v takovém případě potřeba zaměřit se na otázku předávání dat do zahraničí. V rámci EU je možné data předávat v podstatě volně, mimo EU už jsou k tomu potřeba jiné nástroje (v praxi se nejvíce používají tzv. vzorové smluvní doložky). Umístění serveru tak může mít velký vliv na správné nastavení daného smluvního vztahu. Navíc je dobré si uvědomit, že poskytovatel cloudového řešení bude pravděpodobně v postavení zpracovatele osobních údajů a s tím souvisí určitá odpovědnost i povinnosti vůči správci. A pro svědomitého správce bude samozřejmě klíčovou rolí při výběru poskytovatele cloudového řešení hrát úroveň zabezpečení údajů.

Jak dlouho je možné data uchovávat? Databázi kandidátů je třeba budovat dlouhodobě.

Zákon (ani GDPR) ohledně doby uchování údajů žádnou konkrétní délku neuvádí. Vše se odvíjí od účelu zpracování (který určuje správce). V případě, že si chci budovat databázi kandidátů, je logické, že by v ní data měla být uložená několik let. Je pak na mně, abych stanovil kritéria pro určení doby uložení údajů v databázi, aby byl naplněn účel, za kterým si databázi vedu. V takovém konkrétním případě bude navíc důležitá zejména transparentnost (kandidát by měl mít maximum informací), přiměřenost (nejen co se týče doby uložení, ale i rozsahu dat) a přesnost (data by se měla udržovat aktuální).

GDPR zavádí právo na přístup. To znamená, že kandidát může chtít vědět, jaké informace o něm shromažďujeme, včetně posudku z výběrka. Jak při takové žádosti postupovat?

Nejlepší by bylo sdílet s kandidátem všechny faktické informace, které musíte logicky mít (CV, adresa, jméno, vzdělání). Co se týká hodnocení na pohovorech, může to být trochu choulostivé, ovšem správná praxe (i výklad GDPR) se budou určitě ještě vyvíjet. Ani právo na přístup k údajům není totiž úplně bezbřehé. Nejlepší je informovat tazatele, že máte poznámky pouze rukou na papíře a ty byly po výběrku zničeny.

Nově vznikla povinnost ohlásit únik údajů do 72 hodin. Co se dá považovat za únik údajů?

Drtivá většina úniků dat se děje zevnitř firmy, kdy data vynesou zaměstnanci, ať už úmyslně, nebo neopatrností. Problémem je, že každý má v mobilu pracovní email, a jeho schránka určitě nějaké osobní údaje obsahuje. Každý ztracený pracovní mobil tak teoreticky představuje možný únik osobních údajů, minimálně jde o bezpečnostní incident.

Nejlepší je prevence, to znamená nikdy si žádná citlivá data nenahrávat na lokální disk v notebooku a mobily i v případě Bring Your Own Device politiky povinně zaheslovat a umožnit správci zařízení na dálku deaktivovat a smazat.

V čem může být GDPR dobré?

Příprava na GDPR může být příležitostí udělat si pořádek v datech, podívat se, co přesně shromažďujeme, zda to opravdu potřebujeme, kde to je uložené a kdo k tomu má přístup. Důležité je, mít nastavený nějaký systém či proces, a samozřejmě jej zaznamenat v nějaké interní směrnici. To v podstatě znamená zdokumentovat procesy zpracování dat.

Jaké oblasti je tedy třeba podchytit?
  • Kde všude se s daty pracuje a jaké jsou zdroje dat.
  • Jaké máte nastavené procesy pro zpracování osobních dat.
  • Status ohledně souhlasu se zpracováním osobních dat. Máte/nemáte?
  • Zdokumentovat jaká data zpracováváte a k jakým účelům.
Jaké výzvy nás v oblasti ochrany osobních údajů čekají?

Moderní systémy umožňují automatický sběr informací o chování kandidátů a zaměstnanců. Jsou to údaje například z WiFi, geolokace, používání mobilu, e-mailu a internetu a chování na sociálních sítích. Jak jsem psal dříve v článku o Decision science, moderní algoritmy umožňují tato data vyhodnocovat a předpovídat budoucí chování zaměstnanců, například riziko odchodu z práce.

Tato oblast se vyvíjí tak rychle, že není v lidských silách exaktně pojmenovat, co je OK a co není. Z GDRP obecně vyplývá, že sběr údajů by měl probíhat v oprávněném zájmu zaměstnavatele, měl by probíhat transparentně, v rozumné míře a s vědomím zaměstnance.