Lidé  Právo 

Radosti i strasti personalistů aneb jak GDPR ovlivní databáze s životopisy a další osobní údaje zaměstnanců

Kontaktní údaje, životopisy, fotografie nebo videa z firemních akcí patří mezi zlomek dat, s nimiž personalisté denně pracují. HR oddělení zpracovávají velké množství osobních údajů nejen o současných a bývalých zaměstnancích, ale také o těch, kteří se o práci ve společnosti zajímají. Kvůli novému nařízení o ochraně osobních údajů ale musí nastavit nová pravidla a prověřit, zda souhlasy s jejich zpracováním vyhovují požadavkům GDPR. Jinak jim hrozí pokuty.

Od května 2018 vstupuje v účinnost Obecné nařízení o ochraně osobních údajů, zkráceně GDPR. Firmy a organizace se tak musí připravit na nová pravidla při zpracování osobních údajů zaměstnanců. Z praxe vyplývá, že souhlasy jsou mnohdy nadbytečné, nebo nejsou dostatečně informované (zaměstnanec neobdržel dostatek informací o zpracování osobních údajů, jak vyžaduje GDPR).

Co je tedy klíčové? Na jakém základě mohou tyto údaje uchovávat:

  • Zákonné povinnosti – povinnost zpracovávat osobní údaje stanoví zákoník práce, jiné právní předpisy týkající se zdravotního pojištění, důchodového pojištění, nemocenského pojištění a další
  • Plnění pracovněprávní smlouvy (nebo plnění dohod o pracích konaných mimo pracovní poměr)
  • Oprávněného zájmu – například kamerový systém monitorující výrobu (a tím pádem i zaměstnance) z důvodu ochrany osob

Možnost využít souhlas zaměstnanců ke zpracování osobních údajů, který byl doposud hojně uplatňován v rámci HR, bude kvůli novému nařízení značně omezen. Souhlas bude možné získávat v situacích, kdy nepůjde využít jiný právní základ, tedy pokud neexistuje speciální zákonná povinnost, nevyplývá v souvislosti s plněním pracovní smlouvy a podobně. O jaké situace se může konkrétně jednat? Například když chce zaměstnavatel zveřejňovat fotky svých zaměstnanců na interním webu společnosti, v tomto případě by měl získat souhlas.

Jedním z důvodů zvýšeného zájmu o GDPR jsou mimo jiné také sankce, které mohou činit až 20 milionů EUR či 4 % celosvětového obratu, a to podle toho, která částka je vyšší.

Krok po kroku: povinnosti zaměstnavatele

  1. Zaměstnavatel by ve vztahu k HR měl zmapovat veškeré zpracování osobních údajů a stanovit, jaké osobní údaje od svých zaměstnanců skutečně potřebuje nad rámec těch, u nichž to vyžadují právní předpisy, případně pracovní smlouva.
  2. K těmto účelům by si měl vytvořit záznamy o činnostech zpracování, v nichž bude uveden název a kontaktní údaje společnosti, důvod zpracování údajů, popis kategorií subjektů a osobních údajů, kategorie příjemců, které údaje obdrží, eventuální přenos údajů do jiné organizace či země, lhůta pro jejich výmaz a popis bezpečnostních opatření uplatňovaných při zpracování.
  3. Nastavit bude potřeba také vnitřní systém ochrany osobních údajů, a to tak, aby bylo vše v souladu s GDPR.
  4. Dále bude zapotřebí zrevidovat stávající souhlasy v oblasti HR a upravit je dle požadavků GDPR, zejména doplnit rozsah a účel zpracovávaných osobních údajů.
  5. V případech, kdy zaměstnavatel bude chtít pro zpracovávání využít nové technologie, nebo když zpracovávání bude pro zaměstnance příliš rizikové, pak bude nezbytné posoudit ještě před zahájením nového zpracování vliv jednotlivých zpracování na ochranu osobních údajů, tj. posoudit rizika a ošetřit je.

NEPŘEHLÉDNĚTE

Co je důležité? Nezapomenout na to, že každá žádost o souhlas by měla být dle GDPR svobodná, konkrétní, informovaná a jednoznačná. Zaměstnanci se pak výjimečně nachází vůči zaměstnavateli v pozici, kdy mohou dát souhlas svobodně nebo ho odmítnout či odvolat, což je dáno závislostí vyplývající ze vztahu podřízenosti zaměstnance vůči zaměstnavateli.

Jde vám z GDPR už hlava kolem? Nevíte si rady? Zkuste naši aplikaci GDPR Detective, která záhadu ochrany osobních údajů vyřeší za vás.

HR oddělení Zaměstnanci Životopis GDPR Detective Osobní údaje Nařízení o ochraně osobních údajů GDPR
Právo 

Alpinismus má se soutěžní regulací více paralel, než si možná dovedete představit. Jak se stát leopardem na trhu?

Každý korporát má svůj příběh. Ten náš teď žije advokátkou Katkou Mandulovou, která když zrovna firmy neprovádí riziky soutěžněprávní regulace, tak leze po horách. Aktuálně se v nadmořské výšce 6000 metrů připravuje na svůj životní výstup na horu Pik Pobědy (7439 m), aby na konci srpna mohla zakončit svůj triumf a stala se první českou Sněžnou leopardkou. Rozumějte ženou, která zdolala 5 náročných vrcholků rozprostírajících se na území bývalého Sovětského svazu. A zatímco my se oddáváme letním dnům, Katku čeká přenocování v ledu s venkovními teplotami -35 stupňů. V mezičase si můžeme připomenout, jak propojuje právo se svým koníčkem. 

9. 8. 2019
Lidé 

Nová doba si žádá nové lídry. Co se od nich v 21. století očekává?

K tomu stát se v dnešní době úspěšným lídrem už nestačí jen odvaha převzít odpovědnost za řízení firmy a její hospodářské výsledky. Ne, lídři dnes musí být mnohem komplexnější. Společnosti od nich navíc očekávají, že budou schopni reagovat na neustále se měnící podmínky, přicházet s inovativními návrhy, udržovat si přehled v nových technologiích, ale také efektivně komunikovat se zaměstnanci a zahrnout do strategie firmy rovněž CSR aktivity. Jaký je tedy lídr 21. století v kontextu všudypřítomné digitalizace, rozvoje nových technologií a současného demografického vývoje? 

6. 8. 2019
Technologie  Právo 

TechLaw zpravodaj: Telekomunikace a média [červenec 2019]

Další rozhodnutí Soudního dvora EU, kterým se vytyčují pojmové znaky služby elektronických komunikací. ČTÚ finišuje s přípravou podmínek aukce rádiových kmitočtů pro sítě 5G. Ve Sněmovně se objevila nenápadná novela zákona o elektronických komunikacích, která má umožnit využití nové technologie při lokalizaci osob v ohrožení života. To jsou červencové novinky z oblasti telekomunikace a médií. 

31. 7. 2019