1. Co je nutné podniknout, aby všechny informace byly správně chráněny?

Nezbytné je zejména nastavit vhodná technická a organizační opatření, jako například vypracování interní směrnice ochrany osobních údajů, zavedení vhodných bezpečnostních opatření, tedy nastavení hierarchie přístupů oprávněných zaměstnanců k osobním údajům, zaheslovaný přístup do databází, automatické odhlašování, uzamykatelné prostory a podobně.

Důležité je také vedení záznamů o zpracování osobních údajů či posuzování vlivu na ochranu osobních údajů. Dále bude nutné revidování vztahů se smluvními partnery, kteří pro zaměstnavatele v rámci poskytování služeb zpracovávají osobní údaje. GDPR totiž klade mimo jiné nové požadavky na obsah zpracovatelských smluv.

2. Hlavní doporučení: Jaká je ideální cesta pro nastavení opatření dle GDPR?

Ověřte si, že ke zpracování osobních údajů v rámci HR dochází oprávněně, tj. na základě stanovených právních titulů. Dále, že jsou náležitě respektována práva subjektů údajů a jejich případná realizace ze strany zaměstnavatele.

Co znamená datum 25. května 2018? Bezesporu pěkný jarní den, ale hlavně den, kdy vstupuje v účinnost Nařízení o ochraně osobních údajů – GDPR, které vymezuje:

• právní důvody zpracování osobních údajů,
• práva subjektů údajů,
• povinnost správců a zpracovatelů a
• institut DPO, tedy pověřence pro ochranu osobních údajů.

V případě nedodržení všech náležitostí pak hrozí dohled a sankce: Úřad na ochranu osobních údajů může uložit pokutu ve výši až 20 milionů, nebo 4 % z celosvětového obratu. Kromě toho ale dohled nad dodržováním povinností provádí i Inspektoráty práce, které mohou kontrolovat, zda nedochází k narušení soukromí zaměstnance na pracovišti, například pokud jde o monitorování e-mailů, používání kamerových systémů apod. I tady pozor na pokuty, může být až milion korun.

3. Na co si musí HR oddělení dávat největší pozor?

V rámci HR musí zaměstnavatel s ohledem na GDPR zajistit, že zpracovává pouze osobní údaje v nezbytném rozsahu na základě stanovených právních titulů a pro přesný účel. Současně je doporučeno při zpracování osobních údajů zaměstnanců využívat převážně jiné právní tituly než souhlas.

4. Jak to bude s předáváním osobních kontaktních informací mezi kolegy, třeba pokud jde o datum narození kvůli oslavě?

V takovém případě bude zpravidla záležet, na tom, jak člověk tuto informaci získal. Tedy zda datum narození bylo kolegyní sděleno pro účely zaměstnaneckého poměru, nebo zda příslušný zaměstnanec udělil souhlas s tím, aby byly tyto údaje někde v rámci organizace zveřejněny, jako například na intranetu.

5. Za nedodržení pravidel hrozí sankce, jak vlastně budou probíhat kontroly dodržování nového nařízení?

Současný návrh adapčního zákona předpokládá, že Úřad pro ochranu osobních údajů bude postupovat dle stávajícího kontrolního řádu. Postup Úřadu při kontrole po účinnosti GDPR a adaptačního zákona by se tak dle našeho názoru neměl zásadně lišit od současné praxe. Lze také předpokládat, že Úřad bude jako doposud kontroly provádět jak namátkově, tak na základě stížností.

Nicméně vzhledem k tomu, že na základě GDPR je plánována v rámci adaptačního zákona reorganizace Úřadu, nelze nyní přesně určit, jak přesně budou kontroly probíhat. Současné znění adaptačního zákona již nepočítá s funkcí inspektorů. Nově budou strukturu Úřadu tvořit pouze předseda a dva místopředsedové. Stávající inspektoři by měli dokončit funkční období podle dosavadních předpisů a následně by měli kontroly řídit příslušně kvalifikovaní státní zaměstnanci Úřadu.

NEPŘEHLÉDNĚTE…

Je pro vás Obecné nařízení o ochraně osobních údajů stále záhadou? Přečtěte si, jak náš GDPR detektiv rozlouskl případ spojený s dobou uchovávání osobních údajů ve firmě nebo jak vyřešil záhadu spojenou s uchováváním kamerových záznamů. Nevíte si rady s fotografiemi z firemního večírku nebo s propagací zaměstnanců na sociálních sítích, řešíte, co s databází s životopisy? Shrnutí přináší náš další článek Radosti i strasti personalistů aneb jak GDPR ovlivní databáze s životopisy a další osobní údaje zaměstnanců.