Je nutné změnit zajeté koleje a upravit nějaké činnosti při náboru zaměstnanců? Přinášíme přehled toho nejdůležitějšího, na co byste měli z hlediska GDPR dbát při výběrových řízeních. 


Osobní údaje pod zámkem

Nejzásadnější povinností dle GDPR je, zjednodušeně řečeno, chránit osobní údaje, a to hlavně ta v elektronické podobě, která se dají automaticky zpracovávat. Co vše se ale vlastně dá považovat za osobní údaj? Za osobní údaj lze označit jakoukoli informaci, na základě které můžeme identifikovat konkrétního člověka. Jde tedy například o jméno a příjmení, telefonní číslo, e-mail, fotografii a název pracovní pozice. Zkrátka cokoli, podle čeho byste pomocí internetu našli určitého člověka. A to může být téměř cokoli. Pro splnění podmínek GDPR byste tedy v první řadě měli mít jasno v tom, jaké údaje o žadatelích sbíráte, za jakým účelem a jak s nimi dále nakládáte.


Mějte nábor zaměstnanců v souladu s GDPR

Na co se tedy určitě vyplatí nezapomínat v průběhu náboru zaměstnanců?

  • Nad osobními údaji uchazečů přemýšlejte raději už při psaní inzerátu. Měl by totiž obsahovat požadavky, které jsou skutečně relevantní pro nabízenou pozici. Je nutné vědět, jakou skupinu řidičského oprávnění uchazeč vlastní nebo požadovat výpis z rejstříku trestů i tam, kde to nevyžaduje zákon? Zde se stoprocentně vyplatí dodržovat rčení, že méně je někdy více. Myslete na to, že čím více informací o uchazečích seberete, tím více informací musíte zabezpečit z hlediska GDPR.
  • Již při reakci na inzerát nabízející volnou pozici sbírejte od uchazečů příslušný souhlas se zpracováním osobních údajů. Dají se jím zabít dvě mouchy jednou ranou. Interní souhlas jde sestavit tak, aby vám uchazeč rovnou udělil i souhlas k využití jeho kontaktních údajů k marketingovým účelům.
  • Všechny nástroje, se kterými během náboru pracujete, byste měli mít dostatečně zabezpečeny. Ať už jde o e-maily, interní databáze nebo webové aplikace, všechna data, která těmito nástroji protečou by měla být adekvátně zabezpečena proti případnému zneužití.
  • Pamatujte na možnost uchazečů požadovat vymazání osobních údajů z vaší interní databáze. Žádosti o vymazání musíte vyhovět, pokud údaje zpracováváte na základě poskytnutého souhlasu a nemáte nějaký právní důvod žádosti nevyhovět (pokud se třeba s uchazečem zrovna soudíte, máte důvod si jeho osobní údaje nadále schraňovat).
  • Hlásí se vám uchazeči sami, bez toho, že by reagovali na konkrétní nabídku pozice? Z hlediska GDPR mohou uchazeči svévolně zasílat svůj životopis firmám i nadále. V takovém případě byste měli uchazeči zaslat k přijetí souhlas se zpracováním osobních údajů nebo se ho minimálně dotázat, jak dlouho můžete jeho osobní údaje ze zaslaného životopisu používat při náboru.
  • Po skončení náboru a výběru vhodného kandidáta se vyplatí u zaměstnanců používat pseudonymizaci osobních údajů. Zaměstnance označte nějakým identifikátorem, třeba osobním číslem, a stanovte si interní pravidla, která určí, kdo bude mít přístup k převodníku mezi pseudonymy a skutečnými jmény zaměstnanců. Chránění osobních dat pro vás tak bude o poznání lehčí.

A ta nejcennější rada na závěr. Neblázněte z toho! GDPR není žádnou převratnou revolucí. Spoustu pravidel a nařízení respektujete při náboru již nyní a v těch se nic nemění.