GDPR: 5 priorit z pohledu HR a osobních údajů zaměstnanců

Nařízení Evropského parlamentu a Rady EU 2016/679, tzv. Obecné nařízení o ochraně osobních údajů (General Data Protection Regulation – GDPR), začne platit už 25. května 2018. Jde o zásadní úpravu, která se dotkne všech organizací zpracovávajících osobní data. Ty musejí upravit své vnitřní procesy v oblasti právní, IT, bezpečnostní i personální, což vyžaduje úzkou spolupráci jednotlivých oddělení. Na co především se musí připravit HR?

Nezavedou-li firmy adekvátní postupy nebo poruší povinnosti vyplývající z nařízení GDPR, hrozí jim vysoké sankce. Bez ohledu na velikost mohou dostat pokutu 4 % z obratu až do výše 20 milionů eur (půl miliardy korun).

Podle britského serveru HR Review je ve firmách vzhledem k rozsahu GDPR třeba provést posouzení vlivu zpracovávání dat ve firmě na ochranu osobních údajů a vytvořit plán projektu, na němž budou spolupracovat zástupci jednotlivých oddělení (především IT, HR, finance, obchod a marketing) s cílem postihnout veškeré aspekty zpracování osobních údajů ve firmě.

Z hlediska HR a osobních údajů zaměstnanců budou v rámci tohoto projektu nejdůležitější následující body.

1. Souhlas zaměstnanců se zpracováním osobních údajů

Pracovní smlouvy bude třeba upravit tak, aby nezahrnovaly jen pasivní souhlas, ale specifický popis udělení souhlasu se zpracováním osobních údajů. V případech, které se nebudou týkat jen zaměstnání jako takového, může být navíc vyžadován informovaný a aktivní souhlas.

2. Úprava souvisejících procesů a politik

Bude třeba provést revizi nejen firemní politiky ochrany údajů, ale i dalších souvisejících dokumentů a postupů, jako jsou například vnitřní postupy pro oznamování podezření z protiprávního jednání (whistleblowing), kodex chování, politika elektronické komunikace, IT politika nebo pravidla pro práci na dálku.

3. Školení zaměstnanců

GDPR vyžaduje vyškolení zaměstnanců v tom, jak se jich nová pravidla pro ochranu osobních údajů dotýkají v praxi. Úkolem HR proto bude zajistit komplexní vzdělávací program, který bude pravidelně aktualizován a bude neustále dostupný.

4. Oznamování případů porušení zabezpečení osobních údajů

U úniků dat lze předpokládat, že se budou v mnoha případech týkat údajů zaměstnanců. HR proto musí být součástí firemního plánu pro oznamování případů porušení pravidel GDPR. Každá firma bude povinna hlásit dozorovému úřadu bezpečnostní incidenty týkající se jí zpracovávaných osobních údajů do 72 hodin od doby, kdy k incidentu dojde.

5. Právo na přístup k osobním údajům

Podle nových pravidel budou firmy mít povinnost vyřizovat žádosti zaměstnanců o informace o tom, jaké jejich osobní údaje firma eviduje, kdo a jak s nimi nakládá. Lhůta pro vypracování písemného shrnutí s těmito informacemi, je 1 měsíc.

-kk-

Zdroj: HRreview - britský portál pro manažery lidských zdrojů
Zobrazit přehled článků ze zdroje HRreview