„Lidé jsou nejsilnější článek každé společnosti, ale zároveň nejslabší článek bezpečnosti každé společnosti.“ Tak začal náš březnový webinář věnovaný otázce screeningu v HR ↗. Screening v HR odhalí nepravdivé, nebo neúplné informace uchazečů o místo ve vaší firmě. Vždy se vyplatí.
A stejně je mnohdy právě tzv. background check (ověření správnosti, pravosti a úplnosti informací poskytnutých uchazeči) velmi podceňovaný. Nejčastěji proto, že si personalisté říkají: „U nás se přece nemůže stát nic závažného,“ nebo: „GDPR nám to zakazuje, tak to dělat raději nebudeme.“
Co o HR screeningu říká Petr Moroz ↗? „Screening může znamenat ověření, že člověk má potřebnou kvalifikaci, nebo, že splňuje to, co zákon vyžaduje. Velmi často je to i o tom, že se kontroluje odborná způsobilost.“
Screening zaměstnanců tak spočívá jednoduše v kontrole — fact checku informací, které o sobě uchazeč, zaměstnanec nebo jiná osoba poskytli. Zároveň se však může jednat o doplnění poskytnutých informací o další, které jsou vyžadovány zákonem, bezpečnostními pravidly či jinými procesy.
GDPR screening nezakazuje. V GDPR k němu naleznete přesně nula informací. Nejedná se totiž o žádnou technickou normu, ale o set obecných principů a pravidel, které nám mají pomoct správně nastavit zpracování osobních údajů. GDPR apriori nic nezakazuje, jen říká, ať se chováme podle základních zásad:
Když budete zavádět jakýkoliv proces, ve kterém budete osobní údaje zpracovávat, celé to musí začít už před tím, než zpracování zahájíte (v ideálním světě).
Například budete chtít zavést proces screeningu uchazečů o zaměstnání na vašem HR oddělení.
Nejprve si musíte zodpovědět: „Proč chci provádět screening? Co mě vede k tomu, že potřebuji provádět screening?“ Například budete mít zaměstnance, kteří budou nakládat s bankovními účty, financemi apod. Z tohoto důvodu se rozhodnete, že budete provádět podrobnější screening.
Právě odpovězení na tato „proč“ je něco, čemu bychom v řeči GDPR řekli stanovení účelu zpracování.
Po nalezení odpovědí na „proč“ je potřeba zeptat se, jaké všechny osobní údaje budete od uchazečů požadovat a jak budete takové zpracování provádět. Až si odpovíte i na tyto otázky, musíte určit správnou zákonnost zpracování (souhlas, oprávněný zájem, plnění smlouvy) a dále musíte splnit všechny povinnosti dle GDPR.
Myšlenkový postup popisuje i následující diagram:
„Uchazeč mi neudělil souhlas, takže screening dělat nemůžu.“ Tak zní obava mnohých náborářů.
Pro zpracování určitě potřebujete zákonnost — právní základ. Souhlas ovšem není dobrý právní titul pro zpracování.
Proč?
Souhlas totiž musí splňovat několik náležitostí. Musí to být svobodný, informovaný, konkrétní a jednoznačný projev vůle. S informováním, zajištěním konkrétnosti a jednoznačností problém nebývá (toto většinou správci bez dalšího splní). Jak ale zajistit onu svobodnost?
Kouzlem souhlasu totiž je, že může být kdykoliv svobodně udělen, ale také může být kdykoliv svobodně odvolán. A teď si to představte v kontextu náboru nových zaměstnanců. Představte si, že vám potenciální zaměstnavatel dá následující souhlas:
„Tady nám udělte souhlas, že si můžeme checknout vaši bezúhonnost, majetkovou minulost a další skutečnosti. Neudělíte souhlas? Vůbec se nemusíte bát, samozřejmě vůbec nezohledníme tuhle skutečnost ve výběrovém řízení.“
Rozhodnete se svobodně jej neudělit? S velkou pravděpodobností to moc svobodné nebude.
Pro zpracování v rámci screeningu bude obecně nejpoužitelnější oprávněný zájem. Je to nejširší právní základ dle GDPR. V podstatě říká, že jako správci máte zájem na nějakém zpracování, přičemž tento váš zájem převáží nad zájmem subjektu údajů.
V rámci screeningu tak pod oprávněný zájem spadne zpracování za účelem ověření správnosti, úplnosti a pravdivosti údajů poskytnutých uchazečem o zaměstnání za účelem výběru nejvhodnějšího kandidáta.
Pozor. Abyste mohli využít oprávněný zájem, musíte mít vyhotovený tzv. balanční test. Tedy posouzení, zda vaše zájmy opravdu převažuji nad zájmy subjektů údajů. A pokud přijde kontrola, musíte posudek předložit dozorovému orgánu.
Potřebujete pomoct s přípravou nezbytné dokumentace? Napište nám ↗
Žádný právní předpis dnes v podstatě nenastavuje povinnost screening provádět (to se možná do budoucna změní). Tudíž nelze spoléhat na zákonnost plnění právní povinnosti.
Screening však můžete opřít například o metodickou compliance pomůcku ↗ od Nejvyššího státního zastupitelství, která pracuje s procesy prověřování zaměstnanců (KYE — Know Your Employee).
I když zákon nenastavuje povinnost screening provádět, stále existují právní předpisy, které musí správce v některých případech respektovat. Tím je právě oblast zaměstnanců. Pokud provádíte screening v oblasti, která se netýká zaměstnanců, jste v suchu. U zaměstnanců vás ale určitě hned napadne zákoník práce.
Zákoník práce totiž uvádí:
Po uchazečích lze vyžadovat jen ty údaje, které bezprostředně souvisí s uzavřením pracovní smlouvy. Zaměstnavatel nikdy nesmí chtít informace o sexuální orientaci, původu, členství v odborech, politických stranách, příslušnosti k církvi. Specifický režim pro údaje o těhotenství, rodinných a majetkových poměrech, trestněprávní bezúhonnosti.
Právě specifický režim například u trestněprávní bezúhonnosti je manévrovací prostor pro vás. Takovou informaci můžete chtít tam, kde to povaha práce, která má být vykonávána, vyžaduje a je to přiměřené. Nebo tam, kde vám to stanoví zákon (například zákon o ochraně oznamovatelů u tzv. příslušných osob).
Je tedy na vás, jak odůvodníte danou situaci a potřebu zpracování. A souhlas k tomu nepotřebujete.
„My nemůžeme chtít datum narození, protože výběr zaměstnance podle věku je diskriminační.“ To je také častá věta, kterou od personalistů slýcháme.
Ano, zákon o zaměstnanosti zakazuje požadovat informace, které odporují dobrým mravům, osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem (sociální a zdravotní pojištění). Současně nesmí nábor zavánět diskriminací.
Samozřejmě, že datum narození může být diskriminační. Vzpomínáte si však, jak jsme výše psali, že si musíte určit „proč“ a co pro takové proč bude potřebovat za osobní údaje? Řekli byste si, budeme chtít datum narození, abychom si vybrali toho nejlepšího dvacetiletého zaměstnance? Asi ne.
Datum narození je totiž jasný identifikátor osoby. I občanský zákoník v § 3019 uvádí, že: „Údaji, podle nichž lze člověka zjistit, jsou zejména jméno, bydliště a datum narození [...]“
A právě proto můžete datum narození chtít. Abyste si identifikovali osobu. Abyste ji mohli podrobit screeningu. Abyste si byli jistí, že Jan Novák je opravdu Jan Novák. Bez souhlasu.
Při implementaci dokumentace se řiďte třemi základními pravidly:
Dobře nastavená informační dokumentace dokáže předejít většině případných sporů a stížností. Ozvěte se nám ↗ a my vám ji pomůžeme nastavit.
Jsem advokát specializující se na ochranu osobních údajů, e-commerce, compliance a související oblasti. Za dobu působení v kanceláři jsem provedl desítky firem audity, nastavením procesů souvisejících s technologiemi a právem.
