Hlavní navigace

Ochrana osobních údajů se týká všech zaměstnavatelů

16. 10. 2017
Doba čtení: 6 minut

Sdílet

O nařízení k ochraně osobních údajů (GDPR) se v poslední době hodně mluví. Také je nejvyšší čas. Ne každý zaměstnavatel však ví, o co se vlastně jedná.

Změny se dotknou také mzdových účetních a personalistů, tedy pracovníků, kteří s osobními i citlivými osobními údaji zaměstnanců pracují.

Tématu GDPR se server Podnikatel.cz věnoval již několikrát. Přesto nemají někteří jasno, o co se jedná, zda a v jakém rozsahu se jich problematika dotýká. Pokusíme se popsat nové povinnosti týkající se zaměstnavatelů zjednodušenou formou. Nelze se však zcela vyhnout výkladům důležitých pojmů.

Co je GDPR?

Obecné nařízení Evropského parlamentu a Rady o ochraně osobních údajů č. 2016/679, neboli General Data Protection Regulation (GDPR) bylo přijato v dubnu 2016 po čtyřletém vyjednávání. Je platné od 24. května 2016, ale účinné od 25. května 2018. Od tohoto data se začne aplikovat na celém území Evropské unie. Nařízení platí pro 28 členských států EU + pro území EFTA (Norsko, Island, Lichtenštejnsko). V oblasti ochrany osobních údajů přináší mnoho změn a společnostem zpracovávajícím osobní údaje nemálo nových povinností. Mezi takové subjekty patří bezesporu zaměstnavatelé.

Čtěte také: Aktuální legislativní novinky pro zaměstnance i podnikatele

Ochrana osobních údajů je ošetřena evropskou směrnicí a v návaznosti na ni naším zákonem na ochranu osobních údajů. Nyní přichází GDPR, kterým je třeba se řídit. Jednoduše řečeno, nařízení EU má přednost před naším zákonem. GDPR vzniklo jako reakce na technologický pokrok v oblasti informačních a komunikačních technologií. Při zpracování osobních údajů se totiž používají nové metody, jako je např. profilování nebo automatizované zpracování.

Hlavní znaky GDPR (obecně):

  • Je jednotně aplikovatelné v celé EU.
  • Rozšiřuje pojem osobních údajů – nově také biometrické prvky (sken oční sítnice).
  • Zpřesňuje souhlas se zpracováním osobních údajů – nově zákaz předvyplněných políček.
  • Vyžaduje vyšší technickou a organizační bezpečnost správců a zpracovatelů.
  • Při rozsáhlém a systematickém zpracování osobních údajů požaduje jmenování pověřence na ochranu osobních údajů.
  • Při rizikových zpracování osobních údajů požaduje příchozí provedení posouzení vlivu na ochranu osobních údajů.
  • Posiluje stávající práva fyzických osob a zakládá práva nová – právo být zapomenut či právo na přenositelnost údajů.
  • Porušení ochrany dat musí být oznámeno do 72 hodin jak fyzické osobě, tak Úřadu pro ochranu osobních údajů.
  • Zavádí nepoměrně vyšší sankce za porušení ochrany osobních údajů – oproti současnosti (maximálně 10 000 000 korun) bude možné uložit až 20 000 000 eur nebo 4 % celosvětového obratu podniku.

Zaměstnavatel a osobní údaje

Každé zaměstnávání, tj. uzavírání pracovněprávních vztahů, se týká zaměstnanců a o nich získaných informacích. Zaměstnavatel vždy zpracovává osobní údaje. Stává se „správcem“. Tím je v podstatě každý, kdo určuje účel a prostředky shromažďování, zpracování a uchovávání údajů. Nejedná se jen o osobní údaje v digitální podobě, ale i o takzvaně papírové databáze v podobě různých kartoték, personálních složek apod.

Pojem „správce“ chápe zákon jako subjekt, který musí nést základní odpovědnost za aktivity týkající se osobních údajů. Správce může osobní údaje zpracovávat sám nebo zpracováním osobních údajů pověřit jinou osobu – „zpracovatele“ (například OSVČ zpracovávající pro společnost mzdovou agendu).

Osobním údajem je jakýkoliv údaj vztahující se k nějaké fyzické osobě (tj. např. zaměstnanec, klient, zákazník). Podle GDPR jsou osobními údaji veškeré informace vztahující se k identifikované osobě. Prvky osobních údajů jsou:

  • Obecné: jméno, pohlaví, věk, datum narození, osobní stav, občanství, IP adresa, fotografie.
  • Organizační: pracovní nebo osobní adresa, telefonní číslo, email, ověřovací identifikační údaje.
  • Citlivé (speciální zpřísněná kategorie): rasový původ, politické názory, genetické údaje (např. DNA), biometrické údaje (např. otisk prstu), osobní údaje dětí.

Zpracování osobních údajů musí být v souladu se zákonem. Aby tomu tak bylo, musí být splněny tři důležité podmínky:

  1. Ke zpracování získal správce souhlas – souhlas musí být jednoznačně specifikován a prokazatelně doložen po celou dobu zpracování. Například zpracování údajů o rodinných příslušnících pro účely poskytování zaměstnaneckých benefitů, monitorování zaměstnanců, použití fotografií pro identifikační karty apod.
  2. Zpracování je nezbytné pro splnění smlouvy – výslovný souhlas nemusí být v této smlouvě uváděn, jelikož osobní údaje jsou nezbytné pro splnění smluvní povinnosti.
  3. Zpracování je nezbytné pro splnění právní povinnosti – zaměstnavatel ze zákona zpracovává a shromažďuje určité osobní údaje pro vedení mzdové a personální agendy. Zde se souhlas zaměstnance nevyžaduje. Zaměstnavatel údaje zpracovává po určité období a v určitém zákonem daném rozsahu.

Dotkne se GDPR všech zaměstnavatelů?

Ochrana osobních údajů se bezesporu týká všech zaměstnavatelů (zpracovávají osobní údaje). K naplnění přísnějších podmínek požadovaných GDPR budou muset revidovat smlouvy a znění dříve udělených souhlasů se zpracováním osobních údajů zaměstnanců (uvést rozsah a účel zpracovávaných osobních údajů). Nově například souhlas se zpracováním údajů o dětech atd. Zaměstnanci, kteří mají k zpracovávaným osobním údajům přístup (mzdoví účetní, personalisté, nadřízení zaměstnanci atd.), budou vázaní jasnými a jednoznačnými pokyny, pracovní smlouvou či interní směrnicí ke správnému nakládání s osobními údaji. Dále bude například nutné minimalizovat objem osobních údajů, a to tak, že budou průběžně mazána data, která již nejsou nezbytně nutná nebo pro která již neplatí souhlas zaměstnance (právo být zapomenut). Správce i zpracovatel osobních údajů musí zabezpečit data proti zneužití a nahlásit každý únik či ohrožení dat do 72 hodin Úřadu na ochranu osobních údajů.

Novinkou bude vedení záznamů o činnostech zpracování. Záznam má obsahovat název a kontaktní údaje společnosti, důvod zpracování údajů, popis kategorií subjektů a osobních údajů, kategorie organizací, které údaje obdrží, eventuální přenos údajů do jiné organizace či země, lhůtu pro jejich odstranění, popis bezpečnostních opatření uplatňovaných při zpracování.

V případě povinností vedení záznamů o činnostech zpracování zaměstnavateli se vyskytují určité nejasnosti. Problematická je totiž výjimka, podle které se nařízení neuplatní na podnik nebo organizaci zaměstnávající méně než 250 osob. Ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné nebo zahrnuje zpracování citlivých údajů. Tuto problematiku trefně shrnuje právník Jiří Matzner v článku GDPR: Nový strašák pro firmy. Absolutní většina případů zpracování osobních údajů totiž „není příležitostná.“ Budou v takovém případě muset záznamy o zpracování vypracovávat všechny subjekty provádějící nepříležitostné zpracování osobních údajů, tedy téměř všichni? Jaký by byl vůbec význam takovéto výjimky?

Podle Tomáše PatákaÚřadu pro ochranu osobních údajů je nutné spojení „není příležitostné“ vztahovat k předchozímu, tj. zpracování, které pravděpodobně představuje riziko pro práva a svobody subjektů údajů. Toto zpracování není příležitostné. Jinak by to skutečně nedávalo smysl, jelikož z povahy věci každé zpracování není příležitostné.

Jestliže jste se v tuto chvíli ve výkladech odborníků nezorientovali, nevadí. Důležité je, že výjimka z povinností vedení záznamů o činnostech zpracování se má i podle názoru Úřadu pro ochranu osobních údajů týkat menších a středních firem s méně než 250 zaměstnanci. Ovšem ostatní povinnosti ochrany osobních údajů se dotknou všech zaměstnavatelů. Bez ohledu na počet zaměstnanců. 

Čtěte také: Novinky v daních fyzických osob pro rok 2017

skoleni_15_4

Nejvyšší čas začít

Splnit podmínky nařízení GDPR bude stát společnosti nemalé úsilí a s tím spojené finanční náklady. Minimálně bude potřeba upravit interní dokumenty, zmapovat, jak se ve firmě zachází s osobními údaji (k jakému účelu, z jakého titulu, jak se archivují apod.), zajistit školení zaměstnanců, kteří s osobními údaji nakládají, zajistit dokumentaci k záznamům o činnostech zpracování (společnosti zaměstnávající alespoň 250 zaměstnanců), připravit se na zvláštní podmínky při zpracování osobních údajů dětí zaměstnanců, zajistit bezpečnost zpracování osobních údajů (zabezpečit údaje podle kategorií – např. osobní a citlivé), vyhodnotit možná rizika a zavést potřebná technická opatření.

V případě, kdy mzdovou a personální agentu zpracovává externí firma, bude nutné nastavit povinnosti a odpovědnost za případnou škodu každé ze smluvních stran. Nově totiž přímá odpovědnost za řádné zpracování osobních údajů dopadá i na zpracovatele.

Navíc je třeba nové povinnosti zaměstnavatele, jenž přináší GDPR, propojit s ostatními činnostmi, kdy se rovněž zpracovávají osobní údaje (zákazníků, klientů atd.). Jde o týmovou práci napříč celou společností. Proto je nejvyšší čas se na GDPR připravit. Seznámit dotčené zaměstnance s novými pravidly, případně využít i externích služeb poradců, jež se problematikou zabývají a nabízí kompletní řešení v souladu s GDPR.

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).