Vztah LinkedInu a uživatele

LinkedIn je sociální síť zaměřená především na pracovní trh a interakci v rámci businessu. Po přihlášení uživatel vyjadřuje souhlas s podmínkami, které jsou uvedené ve Smlouvě s uživatelem, Zásadách ochrany soukromí a Zásadách pro soubory cookie. Z pohledu GDPR jsou důležité všechny tři dokumenty. Za předpokladu základního nastavení zabezpečení, dle Smlouvy s uživatelem[2], zůstává vlastníkem obsahu a informací nahraným uživatelem na síť sám uživatel. Jenže přihlášením dává uživatel souhlas[3] s nevýhradní licencí ve prospěch LinkedInu a všech jeho přidružených osob[4]. LinkedIn tak může na základě této licence bez jakéhokoli dalšího souhlasu nebo oznámení uživatelem publikovaný obsah a informace použít, kopírovat, upravovat, distribuovat, publikovat a zpracovávat. Ačkoliv LinkedIn dále licenci omezuje co do rozsahu[5], má relativně rozsáhlá práva k obsahu a informacím, které uživatel na síti sdílí. Zásady ochrany soukromí pak upravují rozsah zpracovávaných osobních údajů ze strany LinkedInu a další náležitosti, zejména s ohledem na informační povinnost dle GDPR[6]. Důležité však v tomto případě je, že sociální síť sdílí osobní údaje uživatelů ve prospěch svých nástrojů, které jsou poskytovány v rámci služeb LinkedIn a se značkou LinkedIn. Jedná se především o nástroje určené náborářům a společnostem za účelem hledání zaměstnanců (viz níže). Uživatel tak dává prvotní souhlas ke zpracování svých osobních údajů v rámci těchto služeb, které využívají jiní uživatelé, respektive náboráři.

Uživatel na LinkedInu může sdílet v podstatě jakékoliv osobní údaje. Pouze jméno, e-mailová adresa nebo mobilní číslo jsou povinné osobní údaje, které uživatel zadává při registraci (výjimku tvoří profil Premium, u kterého je nutné ještě zadat platební a fakturační údaje). Pokud uživatel například synchronizuje svůj adresář kontaktů nebo kalendář se sociální sítí, LinkedIn informace v nich obsažené může dále zpracovávat k navrhování spojení s jinými uživateli. Dostane se tak k osobním údajům subjektu údajů, kteří vůbec nemusí na LinkedIn být přihlášeni. Stěžejní však je, že LinkedIn je v procesu zpracovávání osobních údajů v pozici správce[7], což i sám deklaruje ve výše zmíněné Smlouvě s uživatelem. LinkedIn tudíž má veškeré povinnosti vyplývající z této pozice, především pak povinnost informovat uživatele, tedy subjekty údajů o zpracovávání jejich osobních údajů s ohledem na sdílení údajů se třetími stranami.

Zpracovávání osobních údajů uživatelů pro náborové účely

HR oddělení nebo specializované náborové společnosti využívají LinkedIn hojně pro účely nabízení pracovních pozic nebo přímé vyhledávání a kontaktování uchazečů o zaměstnání. LinkedIn nabízí pro tyto účely speciální nástroje[8], které fungují v rámci služeb LinkedIn a nejsou tedy poskytovány třetími stranami. Uživatel si může v nastavení svého účtu zvolit, zdali je „otevřený novým (pracovním) příležitostem“ či nehledá nové zaměstnání. Výchozí nastavení však nepočítá s žádnou předvyplněnou variantou.

Dle GDPR[9] je možné osobní údaje zpracovávat pouze na základě jednoho z šesti právních titulů. Ačkoliv jsou údaje na sociální síti veřejné a často je možné uživatele přímo kontaktovat, neznamená to, že je možné uživatele obesílat s veškerými sděleními. Za předpokladu, že má uživatel na svém profilu výslovně napsáno, že hledá nové pracovní příležitosti, respektive zvolil tuto variantu v rámci svých tzv. kariérních zájmů (dále vysvětleno níže) nebo se v tomto ohledu nijak nevyjádřil, lze dovodit, že je možné tak tuto osobu kontaktovat přes LinkedIn právě za tímto účelem. Příslušný náborář by mohl uchazeče v takovém případě kontaktovat (ať již přes zprávy LinkedIn nebo zveřejněný e-mail) na základě titulu oprávněného zájmu dle čl. 6 odst. 1, písm. f) GDPR. Náborář nebo jiný odesílatel by se však měl omezit obsahově jen na zprávy, které se týkají smyslu LinkedInu, tedy především nabídek pracovních pozic, vyhledávání zaměstnanců, atp. Neměl by subjekt údajů kontaktovat například za účelem marketingu, ani v podobě pozvánek na akce, pakliže k těmto dalším účelům nemá výslovný a informovaný souhlas či oprávněný zájem spojený s předcházejícím vztahem (obchodní vztah nebo jiný relevantní vztah).

Za předpokladu, že uživatel výslovně na svém profilu stanoví, že nemá zájem o nové pracovní příležitosti, neměla by mu, dle mého názoru, být zasílána žádná korespondence bez ohledu na účel zprávy. Taktéž by nemělo být činěno v případě, kdy uživatel zvolí negativní variantu v rámci svých kariérních zájmů přístupných náborářům, kteří využívají speciální LinkedIn nástroje a pro něž jsou viditelné i další informace, pro „obyčejné“ uživatele neveřejné.  

Mezi zmíněné speciální LinkedIn nástroje patří zejména LinkedIn Recruiter. Tento nástroj zpracovává tzv. kariérní zájmyobsahující informace, díky nimž náboráři snadněji získají přístup k pro ně zajímavým uživatelům. Uživatel se může aktivně rozhodnout pro sdílení takových informací (jedná se například o (i) zájem o nové pozice, (ii) typ pracovní pozice nebo funkce, která uživatele zajímá, nebo (iii) o jaký typ pracovního úvazku má uživatel zájem). LinkedIn považuje veškeré tyto doplňkové služby, zejména pro náboráře, jako součást hlavních služeb, tedy nejedná se o služby třetích stran. Uživatel tak dává souhlas ke zpracovávání (včetně sdílení s náboráři) těchto osobních údajů již při přihlášení, respektive při aktivním vyplnění těchto údajů. Náboráři tak mohou v rámci platformy LinkedIn využít tyto údaje v souladu s GDPR, neměli by však s těmito údaji již dále nakládat pro jiné účely, například si vytvářet vlastní databázi, jak je vysvětleno níže.

Doba a způsob uchování osobních údajů

LinkedIn uchovává osobní údaje uživatelů po dobu, kdy je jejich účet aktivní nebo tak dlouho, jak je to nutné pro poskytování služeb LinkedIn. I náboráři by měli zpracovávat osobní údaje v souladu s GDPR. Z pohledu doby uchovávání osobních údajů by bylo snadnější, aby komunikace probíhala v rámci platformy LinkedIn, čímž by se náboráři vyhnuli nutnosti archivace nebo smazávání komunikace například z vlastních e-mailových schránek.

Pokud však komunikace již probíhá přes e-mail, který si uživatel zveřejnil na LinkedIn, dá se říci, že by i v takovém případě mohlo být zpracování osobních údajů provedeno na základě titulu oprávněného zájmu náboráře. S údaji by však dále nemělo být jinak nakládáno, například za účelem vytváření vlastní databáze uchazečů, atp. V takovém případě by si již příslušný náborář musel vyžádat souhlas ke zpracování osobních údajů od uživatele.

Zároveň by však v případě komunikace přes e-mail nebo dalšího zpracování osobních údajů, měl být uživatel informován, v souladu s čl. 13 a 14 GDPR, o zpracovávání osobních údajů, jelikož LinkedIn nepočítá ve svých dokumentech týkajících se ochrany osobních údajů s případem vlastního zpracovávání náboráři (tj. například uložení kontaktu do adresáře).

Relativně praktičtější varianta pro náboráře bude využívání oficiálních nástrojů od LinkedIn, jak je zmíněno výše. V takovém případě zřejmě není nutné, aby náborář plnil informační povinnost vůči uživateli před začátkem komunikace. Nezapomínejme totiž, že LinkedIn je stále v pozici správce, tudíž pokud náborář bude působit pouze v rámci platformy LinkedIn (tj. například zasílat zprávy přes LinkedIn Messenger nebo InMail či využívat nástroje LinkedIn, se kterými dal uživatel souhlas), měl by být, alespoň co do náležitostí GDPR, bez větších starostí. To by však platilo pouze za předpokladu, že náborář nebude osobní údaje uživatele dále zpracovávat (například ukládat do vlastního adresáře). V takovém případě by se již náborář dostával do pozice správce, musel by uživatele informovat o zpracovávání osobních údajů a také „opřít“ zpracování osobních údajů o příslušný titul (velmi pravděpodobně oprávněný zájem, pokud by se jednalo co do předmětu komunikace o pracovní příležitosti).

Závěr

LinkedIn relativně zpřísnil podmínky užívání osobních údajů na síti. Stále však může s daty nakládat v zásadě bez omezení, pokud se bude pohybovat v oblasti pracovních příležitostí a businessu. Náboráři by si měli dát pozor, koho kontaktují, zdali příslušná osoba chce být kontaktována, s jakým obsahem uživatele kontaktují a nakonec jak data uživatelů zpracovávají.




David Němeček


Weinhold Legal, v.o.s. advokátní kancelář

Florentinum
Na Florenci 15
110 00 Praha 1

Tel.:    +420 225 385 333
Fax:    +420 225 385 444
e-mail:    wl@weinholdlegal.com


___________________________________
[1] Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 96/46/ES
[2] Smlouva s uživatelem a Zásady ochrany soukromí mají být dle LinkedIn platné od 8. května 2018 a jsou dohledatelné na této webové stránce - k dispozici >>> zde.
[3] Čl. 6, odst. 1, písm. a)
[4] LinkedIn je pro evropské uživatele registrován jako LinkedIn Ireland Unlimited Company, přičemž přidružené osoby jsou v tomto případě zejména společnosti, které LinkedIn kontrolují, které LinkedIn kontroluje, nebo které jsou s LinkedIn pod společnou kontrolou.
[5] LinkedIn by především neměl osobní údaje a jiné informace pod licencí dále poskytovat za úplatu.
[6] Čl. 13 a 14 GDPR.
[7] Čl. 24 GDPR.
[8] Především tzv. LinkedIn Recruiter.
[9] Čl. 6 GDPR.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz