Francouzský dozorový úřad (Commission Nationale de l’Informatique et des Libertés, dále CNIL) vydal letos 30. ledna návod pro náboráře a personalisty zaměřený na standardy ochrany osobních údajů v souvislosti s výběrem a najímáním nových zaměstnanců.[1]
Při náborech dochází ke zpracování velkého množství údajů více osob
Nábor zaměstnanců je proces, při kterém dochází ke zpracování velkého množství údajů více osob. Nepřekvapí proto, že se tímto tématem CNIL zabýval už dříve, konkrétně v roce 2002.[2] Technologický posun a další změny v následujících 20 letech vedly k silnému zájmu odborné veřejnosti o nová vodítka k ochraně osobních údajů. Není snad ani třeba připomínat změnu právního prostředí díky nové evropské úpravě. Nové technologie přinesly nové možnosti náboru např. prostřednictvím sociálních sítí, personalizované reklamy a specializovaných vyhledávacích programů. Běžně se využívají nové formy komunikace. Kromě videokonferenčních hovorů jde o chatboty, různé mobilní aplikace a další nástroje. Mnohem snáze lze vytvořit velkou databázi údajů. Tu pak může zpracovat umělá inteligence nebo jiný nástroj, který na základě dostupných informací vyhodnotí „umění žít“ či tzv. měkké dovednosti kandidátů. Všechny tyto nové prvky s sebou nesou rizika narušení soukromí uchazečů o práci.
Příručka CNIL se zaměřila na všechny fáze náboru
Příručka je rozdělena na dvě poloviny. První připomíná základy právní úpravy ochrany osobních údajů. Druhá polovina potom metodou otázek a odpovědí poskytuje návody v konkrétních situacích, zejména když se během náborového procesu využívají nové technologie.
První část se věnuje samotnému obsahu pojmu zpracování osobních údajů a základním variantám uspořádání vztahů a odpovědností při náboru (přímý kontakt mezi společností a uchazečem, nábor prostřednictvím inzerce, nábor prostřednictvím třetí osoby, např. pracovní agentury), otázce stanovení legitimního účelu zpracování, rozsahu osobních údajů, které lze zpracovávat (CNIL opakovaně zdůrazňuje zásadu minimalizace údajů), nebo otázce, kdo může mít k těmto údajům přístup. Příručka připomíná i základní práva uchazečů ve vztahu k jejich osobním údajům.
Druhá část se soustředí na konkrétní aspekty náboru a podává návod, na co se soustředit, případně čeho se vyvarovat. Právní rámec přitom netvoří pouze Obecné nařízení o ochraně osobních údajů (GDPR), ale také francouzský zákoník práce. V něm je velmi podstatné, že umožňuje pouze dva možné cíle zpracování osobních údajů uchazeče ze strany zaměstnavatele, a to vyhodnocení schopnosti uchazeče vykonávat práci na pozici, o kterou se uchází, a zhodnocení jeho odborných schopností.[3] Francouzský pracovněprávní předpis tak přistupuje k ochraně osobních údajů odlišně než česká právní úprava, která spočívá především ve výčtu informací, jež zaměstnavatel nesmí vyžadovat.[4] V tomto považuji francouzskou úpravu za explicitnější a zároveň obecněji platnou, než je česká úprava. „Nesmí vyžadovat“ alespoň gramaticky nepokrývá situace, kdy si zaměstnavatel opatřuje informace o uchazeči vlastními silami. Ustanovení francouzského zákoníku práce o souvislosti s pracovní pozicí, na kterou se uchazeč přihlásil, se uplatňuje průřezově na jakékoliv zpracování. Jím je třeba poměřovat i opatřování informací na internetu a z profilů uchazeče na sociálních sítích, nebo i případné požadavky na informaci o tom, zda a jaké má uchazeč záznamy v rejstříku trestů. Informace o trestu za způsobení dopravní nehody není relevantní u pozic, v jejichž náplni práce nefiguruje řízení motorových vozidel. Francouzské právo tak případný požadavek bezúhonnosti striktně omezuje na netrestání v oblastech, které souvisí s vykonávanou prací.[5]
Uchazeč musí být předem informován o všech postupech a metodách
Francouzský zákoník práce navíc požaduje, aby byl uchazeč předem výslovně informován o postupech a metodách, kterými si zaměstnavatel při náboru vypomůže. Bez toho, aby o tom uchazeč předem věděl, se nesmí získávat žádné údaje, které se jej osobně týkají.
Základním právním základem zpracování osobních údajů při náboru je souhlas subjektu údajů (uchazeče) se zpracováním. Zde CNIL upozorňuje na to, že by náborový proces měl být nastaven tak, aby případné neudělení souhlasu se zpracováním nemělo vliv na šanci obsadit volnou pozici. Souhlas udělený v situaci, kdy jím je podmíněn např. postup do dalšího kola výběrového řízení, nelze považovat za svobodný. Provedení testu či zkoušek, které mají vliv na rozhodnutí o přijetí, by proto v žádném případě nemělo být podmíněno udělením souhlasu se zpracováním osobních údajů (tj. mělo by být postaveno na jiném právním základě).
Při výběru se uplatní účel oprávněného zájmu zpracovatele
U výběru uchazečů se kromě souhlasu ponejvíce uplatní účel oprávněného zájmu zpracovatele. Francouzský dozorový úřad ale v této souvislosti opakovaně upozorňuje na obecné omezení zpracování takovým způsobem, aby nezasáhlo do základních práv a svobod uchazeče. Typickým překročením této hranice je zpracování údajů, na jehož základě dojde k diskriminaci uchazeče. Vyšší riziko se pojí zejména se zpracováním osobních údajů získaných díky novým technologiím, například prostřednictvím sociálních sítí, nebo také pořízením videozáznamu pohovoru.
Jiná situace nastává při uzavření pracovní smlouvy, kde se z velké části zpracování zakládá na splnění právní povinnosti.
Délka uchovávání osobních údajů
Co se týče délky uchovávání osobních údajů, příručka uvádí tři etapy. První je výběr uchazeče, po němž by měla být většina údajů o neúspěšných uchazečích vymazána. Druhá je dána lhůtami, po které je legitimní některé údaje i o neúspěšných uchazečích uchovávat z důvodu možného sporu, například pro případ, že některý z odmítnutých uchazečů napadne výsledek výběrového řízení kvůli možné diskriminaci své osoby.[6] A třetí se vztahuje k tomu, že si zaměstnavatel pro případ uvolnění další pracovní pozice ponechá údaje neúspěšného uchazeče, aby mu tuto mohl nabídnout. V tomto posledním případě CNIL dovozuje, že údaje by měly být uchovávány se souhlasem uchazeče, a to po dobu nejdéle dvou let. Prodloužení této doby je možné se souhlasem uchazeče.
Analýza dopadů zpracování v některých situacích
Za velmi užitečné považuji upozornění náborářů na požadavek provádění analýzy dopadů zpracování v některých situacích. Tu CNIL považuje za povinnou u zpracování, u kterých je vysoká pravděpodobnost dopadů na práva a svobody subjektů údajů. V oblasti náboru toto naplňuje například selekce uchazečů prostřednictvím algoritmu, například při analýze videozáznamu pohovoru s cílem posoudit i osobnost uchazeče (neverbální projevy, emoce atd.). Ostatně na posuzování povahových rysů uchazečů se zaměřuje jedna z kapitol příručky. K povinnosti provést analýzu dopadů stačí, aby zpracování splnilo alespoň dvě z devíti kritérií ve výčtu zveřejněném ve směrnici Pracovní skupiny č. 20 z roku 2017[7]:
- hodnocení nebo bodování osoby, včetně profilování a předpovídání,
- automatizované rozhodování, které má právní nebo podobně závažný dopad,
- systematické monitorování,
- zpracování citlivých údajů nebo údajů vysoce osobní povahy (zvláštní kategorie osobních údajů),
- údaje zpracovávané v rozsáhlém měřítku,
- přiřazování nebo slučování datových souborů pocházejících z různých zpracování pro různé účely anebo zpracované různými správci,
- údaje týkající se zranitelných subjektů údajů,
- nové použití nebo využití nových technologických nebo organizačních řešení,
- zpracování, které subjektům brání uplatnit svá práva nebo využít novou službu nebo smlouvu.
Již zmíněné posuzování osobnosti uchazeče se musí pohybovat v mantinelech vymezených francouzským zákoníkem práce, tedy k posouzení předpokladů a schopností ve vztahu k dané pracovní pozici. Zkoumané měkké dovednosti či další rysy musí mít prokazatelnou souvislost s tímto pracovním místem. Platí opět, že o použitých metodách a postupech musí být uchazeč informován předem.
Použití videokonferenční platformy
Specifickou kapitolu CNIL věnoval použití videa, včetně jednání formou videokonference. Použití videokonferenční platformy může vést k nezamýšleným důsledkům. Některé aplikace totiž získají další osobní údaje například tím, že mají přístup do databáze kontaktů v zařízení. Příručka proto klade velký důraz na doporučení, aby zaměstnavatel zvolil takové řešení, při kterém nedochází k předávání osobních údajů uchazečů do třetích zemí.
Konečné rozhodnutí o člověku může učinit pouze člověk
Tenkým ledem mohou být rovněž automatizované procesy. Právo a ani CNIL jejich použití nevylučuje, ale upozorňuje na to, že konečné rozhodnutí o člověku může učinit pouze člověk.[8] Navíc zde je velká pravděpodobnost, že získané údaje budou nepřesné. Hrozí rovněž riziko, že nastavení algoritmu může být diskriminační. Příručka tak dovozuje, že pouze automatizované rozhodování je takovým, které má závažný dopad na práva subjektu údajů. Totéž platí i o profilování uchazečů.
Pozor na blacklisty…
Velmi opatrný by zaměstnavatel měl být, jestliže si sestavuje seznam („blacklist“) potenciálních uchazečů, jejichž přihlášky by rovnou odmítl. V určitých situacích tak lze činit na základě oprávněného zájmu a za dodržení zásad transparentnosti a proporcionality. Příkladem může být, že zaměstnavatel na seznam zařadí své bývalé zaměstnance, kteří při svém předchozím zaměstnání u zaměstnavatele porušili právní předpisy zvláště závažným způsobem. Důvodem pro vedení na seznamu však nemůže být pozdní příchod k pohovoru. Obecně nesmí být důvody pro zařazení na seznam diskriminační, např. náboženské přesvědčení či politické názory, sexuální orientace nebo členství v odborech.
Jde o přehledný a podrobný návod pro personalisty
Příručka jako taková nepřináší zásadně nové informace, její přínos je v tom, že jde o přehledný a podrobný návod pro personalisty. V každém oddíle shrnuje v několika málo odrážkách základní kroky a principy, které vedou k souladu s platnou legislativou. Různé situace strukturuje a ke každé možnosti dává stručnou informaci, jak má být ochrana osobních údajů odstupňována. V barevně zvýrazněných boxech pak CNIL upozorňuje na obvyklé problémy či pochybení, ke kterým dochází. Francouzský dozorový úřad touto příručkou pokračuje ve své osvětové činnosti, které dlouhodobě věnuje velkou pozornost.
Pavel Janeček
Autor je odborník na mezinárodní vztahy.
[1] https://www.cnil.fr/sites/default/files/atoms/files/guide_-_recrutement.pdf (přístup 1. 5. 2023).
[2] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000017653561/ (přístup 1. 5. 2023).
[3] Ustanovení L.1221-6 až L.1221-9 francouzského zákoníku práce, text ustanovení dostupný zde: https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006072050/LEGISCTA000006177850/#LEGISCTA000006177850 (přístup 3. 9. 2023).
[4] V ČR jde zejm. o ustanovení § 316 zákoníku práce (zákon č. 262/2006 Sb.), popř. také § 12 odst. 2 zákona o zaměstnanosti (zákon č. 435/2004 Sb.).
[5] Již za tehdejší české právní úpravy v roce 2011 k podobným závěrům dospěl Veřejný ochránce práv ve svém stanovisku, zveřejněném zde: https://www.ochrance.cz/uploads-import/ESO/30-2010-DIS-LO-doporu%C4%8Den%C3%AD.pdf (přístup 5. 9. 2023).
[6] Jak uvádí samotná příručka, francouzský zákoník práce v ustanovení L.1134-5 v případech možné diskriminace stanovuje promlčecí lhůtu pěti let. Viz https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000033461494 (přístup 3. 9. 2023).
[7] https://ec.europa.eu/newsroom/article29/items/611236 (přístup 3. 9. 2023).
[8] Jde tedy o právo nebýt předmětem pouze automatizovaného rozhodování obsažené např. v čl. 22 GDPR.