Před mikrofonem: Ověřování uchazečů o zaměstnání chrání před únikem dat

Petr Moroz, zakladatel start-up SCAUT.cz, online nástroje pro ověření uchazečů o zaměstnání. Před čím SCAUT chrání, jak funguje a jak řeší GDPR?

Před mikrofonem: Ověřování uchazečů o zaměstnání chrání před únikem dat

SCAUT je služba na online kontrolu, background check, zaměstnanců či uchazečů o zaměstnání. Při kontrole SCAUT řadu informací a dokumentů, od identity uchazeče, přes vzdělání, trestní bezúhonnost až po předchozí praxi. Proč si myslíš, že je takovýto nástroj důležitý, resp. lepší než dosavadní běžné „papírové“ postupy?

Petr Moroz, SCAUT.cz (PM): V dnešní digitální době je rychlost a přesnost klíčová. SCAUT umožňuje zaměstnavatelům získat komplexní přehled o potenciálních zaměstnancích rychleji a efektivněji, než jak to probíhá u tradičních papírových postupů. Navíc, v digitálním formátu je snazší zajistit aktualizaci a integritu dat, což zvyšuje důvěru v celý proces. Představte si situaci, kdy firma najme zaměstnance na základě papírových podkladů, jen aby později zjistila, že tyto dokumenty byly falšované. SCAUT minimalizuje taková rizika tím, že poskytuje rychlé a přesné digitální ověření.

Jsou nějaké kategorie zaměstnavatelů nebo specifické sektory, ve kterých podle tebe má, nebo by měl mít, background check vyšší prioritu?

PM: Sektory jako finance, zdravotnictví, obrana nebo veřejná správa by měly mít vyšší prioritu vzhledem k citlivosti informací, se kterými pracují. V těchto odvětvích může jediný nedostatečně ověřený nově najatý zaměstnanec způsobit značné škody. Za patrně nejrizikovější však osobně považuji IT a konkrétně vývoj SW. Jedná se o nedostatkové pracovníky, nejčastěji procházející pohovory a náborovým procesem online, a pracující tzv. remote. A aby toho nebylo málo, často jsou zaměstnanci agentur, které je na projekty dosazují. Tedy nikdo nemá odpovědnost a každý dá v případě problému ruce pryč. To jsme zažili již mnohokrát a za mě se jedná o časovanou bombu.

A ze kterých oblastí a se vaši klienti rekrutují?

PM: Naši klienti pocházejí z různých sektorů - od korporátního světa až po malé podniky. Díky naší flexibilitě a široké škále služeb můžeme obsloužit různorodé potřeby trhu. Máme klienty z odvětví, kde je bezpečnost kritická, např. výrobní firmy, které potřebují zabezpečit svůj dodavatelský řetězec, nebo celosvětové zpravodajské organizace, pro které je ochrana své reputace a integrity na prvním místě.

Můžeš stručně popsat, jak proces background checku s využitím SCAUTu vypadá ze strany uchazeče o zaměstnání? Pro řadu kontrol, resp. velkou část zpracování osobních údajů, je určitě potřeba získatsouhlas a splnit informační povinnost podle GDPR.

PM: Uchazeč je nejprve informován o tom, jaké informace budou ověřovány a proč. Po té může s tímto způsobem zpracování svých osobních údajů vyslovit souhlas.  Až po získání jeho souhlasu začne proces kontroly. Vše je v souladu s GDPR, což zajišťuje transparentnost celého procesu a přispívá k ochraně zájmů kandidáta.

Zaměstnavatel na konci kontroly dostane indikaci, jestli je vše v pořádku, nebo jestli u daného uchazeče nebo zaměstnance existuje podezření na problematickou skutečnost. Může se zaměstnavatel dostat k detailním informacím a podkladům, aby věc mohl řešit napřímo a posílil svoji právní pozici?

PM: Zaměstnavatel dostane shrnutí výsledků kontroly. Pokud je něco třeba vyhodnotit na jeho straně, může požádat o další detaily, ale vždy v rámci zákonných omezení a s respektem k ochraně osobních údajů. Pokud by se objevila problematická skutečnost, např. falešný titul z univerzity, SCAUT by poskytl zaměstnavateli dostatek informací, aby mohl jednat rychle a efektivně. Zpravidla však minimalizujeme objem osobních údajů a dalších detailů, které se k zaměstnavateli po screeningu dostávají. Nepotřebují je a v platformě jsou po předem definované retenční lhůtě bezpečně smazány. Klientům toto velmi vyhovuje, protože si sami uvědomují, že např. samotný výpis z rejstříku trestů (který navíc často cirkuluje mezi HR a kandidátem běžným nezabezpečeným e-mailem!) obsahuje celou řadu citlivých osobních údajů, které opravdu nepotřebují.

SCAUT využívá data z řady českých i zahraničních registrů a evidencí. Lze nějak srovnat míru otevřenosti těchto dat v České republice a jinde v Evropě, jak je těžké se na ně integrovat?

PM: Česká republika má poměrně otevřený přístup k datům ve srovnání s některými evropskými zeměmi. Nicméně každá země má svá specifika a výzvy, což může ovlivnit rychlost a hloubku integrace. Představte si, že chcete ověřit zahraničního uchazeče. Pro SCAUT je nejdůležitější umožnit klientům ověřit informace o kandidátovi kdekoliv kde pobýval, nejen v ČR. Proto za sebou máme tisíce hodin práce na mapování jednotlivých zdrojů a jejich integraci do platformy.

Narážíte na odlišnosti týkající se pravidel pro ochranu a zpracování osobních údajů? Například odlišné požadavky při přístupu do registrů v různých zemích, různý přístup k právnímu titulu pro související zpracování, odlišné požadavky na jmenování pověřence pro ochranu osobních údajů atd.?

PM: Ano, každá země má své vlastní nuance v ochraně dat. Naše týmy právníků a specialistů na ochranu dat neustále sledují změny v legislativě, aby zajistily, že naše služby jsou vždy v souladu s místními i mezinárodními předpisy. Jako příklad, přístup k osobním údajům v Německu může být složitější kvůli jejich striktním zákonům o ochraně dat. Důležité je však podotknout, že je povinností zaměstnavatele zhodnotit jaká data v rámci náborového procesu požaduje (a skrz SCAUT pak ověřuje).

Je nějaká část GDPR, pravidlo, povinnost, která pro vás v praxi představují skutečnou komplikaci a výrazně prodlužují nebo zdražují proces kontroly? Nebo se dá se vším rozumně vypořádat?

PM: GDPR přináší výzvy, ale také příležitosti. Největší výzvou (v hlavě uživatelů) paradoxně bývá získání informovaného souhlasu od uchazečů. Nicméně, díky našemu důrazu na transparentnost a komunikaci, jsme schopni tyto výzvy úspěšně zvládnout. I když GDPR může být náročné, SCAUT vám umožní zůstat v souladu s těmito předpisy bez zbytečných komplikací.

V informaci o zpracování osobních údajů na webu uvádíte, že při ověřování a kontrole kandidátů nepoužíváte žádné automatizované postupy a algoritmy. S ohledem na objem dat by se to ale asi nabízelo. Plánujete zavádět nějaké prvky AI? Pokud ano, řešíte připravovaný AI Act, který zřejmě zařadí využití umělé inteligence v HR oblasti mezi tzv. vysoce rizikové systémy?

PM: V současné době se spoléháme na kombinaci manuálních a automatizovaných postupů. Zvažujeme zavedení AI, ale s ohledem na potenciální rizika a nové regulace, jako je AI Act, postupujeme opatrně. Zatímco AI může přinést efektivitu, může také přinést rizika. Vzpomeňte na nedávné kontroverze kolem zkreslených algoritmů. SCAUT si klade za cíl zajistit, že technologie pomáhají kandidátům získat rychle dobrou práci, a že jsou zároveň využívány eticky a správně.

Personální bezpečnost je jednou ze součástí obecných pravidel informační bezpečnosti, např. dle ISO standardu řady 27000. V českých předpisech ale požadavky na kontrolu uchazečů o zaměstnání a jejich věrohodnosti příliš často nejsou, když vynecháme některé sektory. Tento požadavek není ani v návrhu transpoziční legislativy (vyhlášek) k NIS2. Proč tomu tak podle tebe je?

PM: SCAUT je nejen nástroj pro ověření zaměstnanců, ale také klíčový prvek pro zabezpečení dodavatelského řetězce. V kontextu NIS2, kde je důraz mimo jiné kladen na zabezpečení personální bezpečnosti, je důležité mít nástroje, které zajišťují, že lidé v dotčených sektorech jsou důvěryhodní. Nyní jsou v přípravě klíčové zákony (o kritické infrastruktuře, a o kybernetické bezpečnosti), které doufám promítnou všeobecně známé standardy pro personální bezpečnost (např. ISO 27002) do české právní úpravy. Obávám se nicméně, že český přístup opět půjde směrem „jak udělat co nejméně a ideálně si vystačit s čestným prohlášením“. To je ostatně vidět např. na finančním trhu, který je regulovaný Českou národní bankou, má jasné standardy pro hodnocení integrity a důvěryhodnosti (Úřední sdělení ČNB z 5. srpna 2020 k výkladu pojmů důvěryhodnost a odborná způsobilost). A přesto se v ČR podle mého najdou možná tak 3 banky, které kontrolu provádí skutečně důsledně a poctivě u všech relevantních zaměstnanců. V Německu či Velké Británii by se tohle nikdy nestalo. Bohužel je ale vina částečně i na straně regulátora, který dostatečně důrazně personální bezpečnost nevymáhá.

SCAUT je česká online platforma pro screening uchazečů o práci, kterou v roce 2020 založil expert na řízení rizik Petr Moroz. Ten při jejím vývoji uplatnil své dlouhodobé zkušenosti v oblasti risk managementu a business intelligence. Webová aplikace zajišťuje personální bezpečnost, prověřuje rizika během náboru zaměstnanců a značně usnadňuje práci HR týmů. Nástroj současně chrání firemní data před zneužitím, krádeží či průmyslovou špionáží. SCAUT pokrývá více než 150 zemí světa.

Petr Moroz je expert na řízení rizik a zakladatel startupu SCAUT. Od počátku své profesní dráhy se zaměřuje na prevenci neetického a podvodného jednání. Přes 10 let působil jako bezpečnostní manažer pro mezinárodní korporace General Electric, Marriott a EY. Nasbírané zkušenosti využil v roce 2011, kdy založil vlastní konzultační společnost Screening Solutions, která se stala nejvýznamnější lokální firmou v oblasti vyšetřování podvodného jednání a nastavování compliance managementu v českém a slovenském podnikatelském prostředí. V roce 2020 založil startup SCAUT, který se rychle stal průkopníkem background screeningu.

Před mikrofonem: Ověřování uchazečů o zaměstnání chrání před únikem dat

Loading...