Právo 

GDPR klepe na dveře, je vaše HR oddělení připraveno na novou návštěvu?

Shromažďujete anebo jinak zpracováváte osobní údaje zaměstnanců? A víte, jak informace chránit, co všechno můžete sdělit nebo jaké postihy na vás čekají, pokud nebudete v souladu s novým Nařízením o ochraně osobních údajů? Přinášíme vám odpovědi na pět klíčových otázek.

1. Co je nutné podniknout, aby všechny informace byly správně chráněny?

Nezbytné je zejména nastavit vhodná technická a organizační opatření, jako například vypracování interní směrnice ochrany osobních údajů, zavedení vhodných bezpečnostních opatření, tedy nastavení hierarchie přístupů oprávněných zaměstnanců k osobním údajům, zaheslovaný přístup do databází, automatické odhlašování, uzamykatelné prostory a podobně.

Důležité je také vedení záznamů o zpracování osobních údajů či posuzování vlivu na ochranu osobních údajů. Dále bude nutné revidování vztahů se smluvními partnery, kteří pro zaměstnavatele v rámci poskytování služeb zpracovávají osobní údaje. GDPR totiž klade mimo jiné nové požadavky na obsah zpracovatelských smluv.

2. Hlavní doporučení: Jaká je ideální cesta pro nastavení opatření dle GDPR?

Ověřte si, že ke zpracování osobních údajů v rámci HR dochází oprávněně, tj. na základě stanovených právních titulů. Dále, že jsou náležitě respektována práva subjektů údajů a jejich případná realizace ze strany zaměstnavatele.

Co znamená datum 25. května 2018? Bezesporu pěkný jarní den, ale hlavně den, kdy vstupuje v účinnost Nařízení o ochraně osobních údajů – GDPR, které vymezuje:

  • právní důvody zpracování osobních údajů,
  • práva subjektů údajů,
  • povinnost správců a zpracovatelů a
  • institut DPO, tedy pověřence pro ochranu osobních údajů.

V případě nedodržení všech náležitostí pak hrozí dohled a sankce: Úřad na ochranu osobních údajů může uložit pokutu ve výši až 20 milionů, nebo 4 % z celosvětového obratu. Kromě toho ale dohled nad dodržováním povinností provádí i Inspektoráty práce, které mohou kontrolovat, zda nedochází k narušení soukromí zaměstnance na pracovišti, například pokud jde o monitorování e-mailů, používání kamerových systémů apod. I tady pozor na pokuty, může být až milion korun.

3. Na co si musí HR oddělení dávat největší pozor?

V rámci HR musí zaměstnavatel s ohledem na GDPR zajistit, že zpracovává pouze osobní údaje v nezbytném rozsahu na základě stanovených právních titulů a pro přesný účel. Současně je doporučeno při zpracování osobních údajů zaměstnanců využívat převážně jiné právní tituly než souhlas.

4. Jak to bude s předáváním osobních kontaktních informací mezi kolegy, třeba pokud jde o datum narození kvůli oslavě?

V takovém případě bude zpravidla záležet, na tom, jak člověk tuto informaci získal. Tedy zda datum narození bylo kolegyní sděleno pro účely zaměstnaneckého poměru, nebo zda příslušný zaměstnanec udělil souhlas s tím, aby byly tyto údaje někde v rámci organizace zveřejněny, jako například na intranetu.

5. Za nedodržení pravidel hrozí sankce, jak vlastně budou probíhat kontroly dodržování nového nařízení?

Současný návrh adapčního zákona předpokládá, že Úřad pro ochranu osobních údajů bude postupovat dle stávajícího kontrolního řádu. Postup Úřadu při kontrole po účinnosti GDPR a adaptačního zákona by se tak dle našeho názoru neměl zásadně lišit od současné praxe. Lze také předpokládat, že Úřad bude jako doposud kontroly provádět jak namátkově, tak na základě stížností.

Nicméně vzhledem k tomu, že na základě GDPR je plánována v rámci adaptačního zákona reorganizace Úřadu, nelze nyní přesně určit, jak přesně budou kontroly probíhat. Současné znění adaptačního zákona již nepočítá s funkcí inspektorů. Nově budou strukturu Úřadu tvořit pouze předseda a dva místopředsedové. Stávající inspektoři by měli dokončit funkční období podle dosavadních předpisů a následně by měli kontroly řídit příslušně kvalifikovaní státní zaměstnanci Úřadu.

NEPŘEHLÉDNĚTE…

Je pro vás Obecné nařízení o ochraně osobních údajů stále záhadou? Přečtěte si, jak náš GDPR detektiv rozlouskl případ spojený s dobou uchovávání osobních údajů ve firmě nebo jak vyřešil záhadu spojenou s uchováváním kamerových záznamů. Nevíte si rady s fotografiemi z firemního večírku nebo s propagací zaměstnanců na sociálních sítích, řešíte, co s databází s životopisy? Shrnutí přináší náš další článek Radosti i strasti personalistů aneb jak GDPR ovlivní databáze s životopisy a další osobní údaje zaměstnanců.

 

Nařízení o ochraně osobních údajů HR dReport zpravodaj GDPR Ochrana osobních údajů
Technologie  Právo 

Etické aspekty využití umělé inteligence v soudních systémech

Využití umělé inteligence (AI) v soudních systémech má zlepšit efektivitu a kvalitu soudnictví. Aby však mohla sloužit občanům i soudům, je třeba ji využívat zodpovědně, respektovat základní práva jedinců a přitom mít na paměti některé základní zásady jako transparentnost, nediskriminace, kvalita a bezpečnost. Jak velká je pravděpodobnost, že naše práva budou v soudních síních svěřena algoritmům? 

18. 3. 2019
Právo 

Proč je dobré mít silný a nezávislý soutěžní úřad?

Interakce firem na trhu je silně regulovaná a soutěžní úřady mají dbát na to, aby se firmy mohly potkat v rovném boji. V konkurenčním prostředí roste tlak na efektivitu. Aby firmy obstály, musí neustále přicházet s kvalitním a inovativním zbožím za lepší ceny. Prospěch z toho nemají pouze spotřebitelé. Vyšší koupěschopnost spotřebitelů a růst produkce firem v konečném důsledku přispívají k růstu celé ekonomiky. Pokud se bude hrát podle stanovených pravidel, firmy budou i nadále nuceny nabízet široký výběr kvalitních a inovativních výrobků za nízké ceny. 

15. 3. 2019
Technologie  Právo 

TechLaw zpravodaj: E-commerce, blockchain a fintech [březen 2019]

V únoru došlo v Itálii ke schválení průlomového zákona, podle nějž budou smart contracts oficiálně postaveny na roveň smlouvám. V Evropském parlamentu se budou v prvním čtení projednávat návrhy dvou nových směrnic, a to směrnice o některých aspektech smluv o prodeji zboží a směrnice o některých aspektech smluv o poskytování digitálního obsahu a digitálních služeb. 

12. 3. 2019