GDPR – praktické rady pro HR

Vytisknout

Mgr. Dana Havlíčková Lišková, Mgr. Hana Římanová, Můj Personalista s.r.o.

Jsou iniciativy, přicházející z Evropské unie, nad kterými nám zůstává občas rozum stát. Na první pohled by se to mohlo zdát i v případě GDPR (General Data Protection Regulation) neboli nařízení týkající se ochrany osobních údajů fyzických osob v souvislosti se zpracováním těchto údajů a o volném pohybu těchto údajů.

Nařízení vstupuje v platnost k 25. 5. 2018. Po přečtení prvních informací k tomu, jaké nové povinnosti nám v HR vzniknou, jsem si klepala na čelo a nechápala, k čemu a proč je to proboha dobrá iniciativa, kromě toho, že nám to vygeneruje další administrativní práci.

Proto jsme v Můj Personalista ve spolupráci s Janou Sedlákovou ze Sedláková Legal, která se této problematice dlouhodobě věnuje, zorganizovali školení specificky pro HR. Hlavním cílem bylo, abychom nejen my, ale i ostatní HR zjistili, co vše to pro nás v praxi znamená.

To, co mě jako HR děsí nejvíce, je výše pokut související s nedodržováním ochrany osobních údajů (až 20 milionů eur nebo až 4 % celkového ročního obratu podle toho, které z těchto maxim je vyšší) a za další fakt, že GDPR otáčí důkazní břemeno – společnost je vinna, pokud neprokážeme, že jsme nevinní.

GDPR pro HR

První legitimní otázka nás všech směrem k Janě byla:

K čemu je GDPR vlastně dobré?

  • Je to reakce na tlak na ochranu osobních údajů v dnešním digitálním světě. Dnes vám velmi pravděpodobně nikdo nevykrade plechovou kartotéku se složkami zaměstnanců, ale jednoduše vám vykrade digitální záznamy s osobními údaji všech zaměstnanců a klientů.
  • Všichni máme právo vědět, co o nás jaká společnost ví a jak s těmito daty nakládá.

Koho se vlastně GDPR týká?

Dotkne se každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů včetně společností a institucí mimo území EU, které působí na evropském trhu.

Dotkne se všech, kteří zacházejí s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč segmenty i odvětvími. Zároveň se bude týkat i těch, kteří analyzují chování uživatelů na webu, při používání aplikací nebo chytrých technologií.

Co po nás může zaměstnanec požadovat?

Zaměstnanec má právo být písemně informován o tom, jaké všechny osobní údaje o něm evidujeme, jak je zpracováváme, kdo s nimi nakládá. Pokud zaměstnanec o toto požádá, jsme povinni mu shrnutí předložit ve lhůtě max. 1 měsíce (v odůvodněných případech je možno prodloužit až o 2 měsíce). Těmito údaji se nemyslí jen základní osobní údaje, ale např. i výpisy z CCS, výpisy z GPS, z docházkového systému, evidence školení atd).

Základní činnosti, které zahájit z pohledu HR

  • Zmapovat veškeré personální procesy a přesně chápat, s jakými údaji ve který moment pracujeme, proč je potřebujeme, jakou k tomu máme licenci (např. náborový proces, proces nástupu, hodnocení, výstupu zaměstnance atd.)
  • Ověřit, zda má naše společnost spisový a skartační řád – pokud ne, doporučujeme vyhotovit.
  • Vyhotovit analýzu osobních údajů – jaké veškeré informace o zaměstnancích uchováváme a za jakým účelem, jak dlouho je archivujeme, jakou formou zajistíme jejich výmaz.
  • Vyhotovit směrnici na ochranu osobních údajů a nastavit proces proškolení všech zaměstnanců podle této směrnice. Prostřednictvím směrnice s jasně definovanými zodpovědnostmi přenesete selhání společnosti na selhání zaměstnance. Např. máme definovanou směrnici na používání IT vybavení, proškolili jsme zaměstnance, máme o tom záznam, a přesto zaměstnanec nezabezpečil svůj notebook a byl mu odcizen z firemní kuchyňky. Zaměstnanec porušil své povinnosti, ale firma za to nedostane pokutu, je to selhání individuálního zaměstnance a ne společnosti.
  • Vyhotovit bezpečnostní směrnici (IT oddělení).
  • Zrevidovat, že neuchováme žádné dokumenty, k nimž nemáme oprávněný zájem (např. neukládat kopie občanského průkazu, kartičku zdravotní pojišťovny atd. POZOR: musíte nastavit dobu trvání zpracování. Např. po dobu trvání pracovního poměru, po dobu trvání benefitního programu).
  • S každým zpracovatelem externích služeb (mzdová účetní, správce PC sítě) musím uzavřenu zpracovatelskou smlouvu splňující požadavky GDPR.
  • Současně doporučujeme zveřejnit na intranetu společnosti přehled všech příjemců osobních údajů – tzn. společností, se kterými sdílíme vaše osobní údaje (externí dodavatelé, školicí firmy, dodavatelé služeb). Nemusíte uvádět instituce veřejné správy, ty jsou dány zákonem.
  • Nastavte si proces aktualizace a každoročního proškolení zaměstnanců.
  • Zpracovat analýzu vlivu na ochranu osobních údajů.

Další praktická doporučení

  • Nastavte pseudonymizaci osobních údajů – označení zaměstnance pod osobním číslem. Musí být definované, kdo má přístup k převodníkům mezi osobními čísly a jmény.
  • Ověřte si, zda je u vás nutné vyžadovat výpis z rejstříku trestů – musíte posoudit, zda vám to ukládá zákon. Pokud ne, musí s poskytnutím výpisu z rejstříku zaměstnanec souhlasit. A to, že vám jej neposkytne, není důvod někoho nepřijmout do pracovního poměru nebo výpis nadále uchovávat.
  • Nastavte si proces na uchovávání fotografií zaměstnanců a ujistěte se, že máte všechny potřebné souhlasy. Bez souhlasu je fotografie možno zpracovávat pouze v případě, že k tomu máte jinou licenci, například ochranu oprávněných zájmů správce (typicky v případech, kdy se ve větší společnosti všichni zaměstnanci neznají, a fotografie je potřeba k identifikaci mezi zaměstnanci navzájem – jedná se o zpracování pro účely zamezení pohybu neoprávněných osob po pracovišti, a tudíž za účelem ochrany osob a majetku). Fotografie, k jejichž zpracování nemáte souhlas ani oprávněný zájem, smažte (např. ze sociálních sítí).
  • Záznamy o hodnocení – můžeme uchovávat, pokud mají přímý dopad do mzdy, a my to odůvodníme, nebo pro talent management atd. Neměli bychom však uchovávat po odchodu zaměstnance. Musíme mít definovaný účel a retenční dobu, např. maximálně 12 měsíců po skončení pracovního poměru, přičemž retenční doba musí být rozumně odůvodněná.
  • Výstupní dotazník, pokud je se jménem, tak můžeme uchovávat se souhlasem. Pokud jsou anonymní, můžeme uchovávat kompletní dokumenty.

Funkce pověřence osobních údajů

GDPR zavádí také povinnost za určitých podmínek zřídit ve firmě funkci pověřence osobních údajů. Tuto funkci musí mít:

  • veřejná správa,
  • společnost, která provádí rozsáhlé pravidelné monitorování v rámci své hlavní činnosti,
  • společnost, která v rámci své hlavní činnosti provádí rozsáhlé zpracování zvláštní kategorie údajů (lékaři, advokáti, daňoví poradci).

Školení GDPR pro HR - Můj Personalista s.r.o. ve spolupráci s Janou Sedlákovou ze Sedláková LegalPočet zaměstnanců nemá vliv na to, zda firma musí mít pověřence. Rozhodující je, zda jste firma, která splňuje jednu z výše uvedených podmínek. Pokud ano, musíte mít pověřence.

Pověřenec musí mít znalost práva, IT, znalost procesů a zkušenosti s ochranou osobních údajů. Nemůže ve firmě vykonávat nic jiného a nemůže být přímo podřízen nikomu z vedení firmy. Pokud se vám nevyplatí na plný úvazek, pokud tedy nejste velká organizace, doporučujeme tuto službu outsourcovat. Dalším specifikem této funkce je, že pověřenec nemůže přijímat pokyny od nikoho z firmy (nemůže to být nikdo z IT, z HR, z auditu).

Pokud si nejste zcela jisti, zda byste měli mít pověřence, tak se obraťte na Úřad na ochranu osobních údajů (ÚOOÚ).

Vyhodnocení bezpečnostních incidentů

Každá společnost má povinnost hlásit bezpečnostní incident do 72 hodin na ÚOOÚ. Pokud bezpečnostní incident nenahlásíte a unikne např. databáze vašich zaměstnanců nebo zákazníků, můžete dostat výše zmíněnou pokutu. Zároveň se jedná o přitěžující okolnost v případě porušení jiných povinností dle GDPR.

Ještě dříve, než hlášení provedete, musíte ve firmě interně vyhodnotit, co se ztratilo, co tam bylo a jaký to má dopad na osoby, kterých se týká.

Po prvním školení, které jsme organizovali asi před měsícem, jsme si zcela upřímně říkali, jaký administrativní „opruz“ si na nás zákonodárci EU zase vymysleli. Kolik nám to jako HR přidělá administrativní agendy a vůbec spekulovali nad účelností.

K čemu je tedy GDPR dobré?

Po vstřebání prvotních informací a absolvování celého školení podruhé, již oproštěna od prvotního návalu emocí spojených s administrativním „opruzem“, jsem si vlastně uvědomila, že jde skutečně i o moje osobní údaje a že i já chci vědět, kdo a jak s nimi zachází. A to je dle mého názoru to klíčové poselství, se kterým bychom měli nově vyplývající povinnosti a procesy v rámci našich firem komunikovat.

Mapování HR procesů je nedílnou součástí implementace GDPR a je důležité v tom, abychom zmapovali, která data v jaký okamžik zpracováváme, pro jaké účely, na jak dlouho je potřebujeme a jakým způsobem vymažeme.

Autor článku

Obsah byl připraven ve spolupráci

Zaujal Vás tento článek? Objednejte si služby tohoto dodavatele na EduCity.cz a jako členové Klubu EduCity můžete získat něco navíc.

Komentáře k článku

Tento článek zatím nikdo neokomentoval. Přidejte komentář jako první.
Tento web používá k poskytování služeb, personalizaci reklam a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte.
Další informace