< návrat zpět

... personalistika

V personálních odděleních je GDPR nejdůležitější

Jsou to právě HR oddělení, která ve firmách shromažďují nejvíce citlivých údajů. Z toho důvodu by se personalisté měli o nové nařízení z EU zajímat ze všech zaměstnanců nejvíce. Nové Nařízení přináší největší změny za posledních několik let a vzhledem k tomu, že pokuty za nedodržení předpisů jsou značné, vyplatí se věnovat jí pozornost.

Popravdě řečeno, GDPR je napsáno velmi obecně. Reguluje zacházení s jakýmikoliv informacemi vztahujícími se k identifikované nebo identifikovatelné osobě. Ve spoustě ohledů nedefinuje přesné kroky, které musíte vykonat, protože by to dost dobře ani nebylo možné. Každá firma musí analyzovat svou situaci a pravidla si upravit tak, aby mohla kdykoli prokázat, že je GDPR complianed.

Jaké údaje jsou považovány za osobní?

Možná to tak ani nevypadá, ale naše smýšlení o osobních datech je zastaralé. Nově je potřeba toto vnímat mnohem komplexněji. Napříč různými odvětvími jde třeba o politickou příslušnost či preferovaný typ dopravy zboží. V rámci GDPR pro HR lze jmenovat například, údaje z docházkového systému, informace, kdo kdy absolvoval jaké školení, výpisy z GPS a vlastně každý údaj, podle něhož lze osobu identifikovat. Všechna tato data je potřeba pečlivě hlídat a zpracovávat v souladu s evropským nařízením.

Co by bylo dobré změnit?

Nejdůležitější je i v oblasti osobních údajů zaměstnanců (stejně jako např. u obcí) přesně vědět, jaké procesy s osobními údaji v organizaci probíhají, tedy provést audit nakládání s údaji zaměstnanců. Teprve poté je možné začít implementovat nové postupy a pravidla, případně i upravit interní dokumentaci, zejména informace a souhlasy se zpracováváním údajů ze strany zaměstnanců (a zájemců o práci). 

Doporučuje se nastavit tzv. pseudononymizaci, tedy uchovávat zaměstnance pod osobním číslem, přičemž musí být jasně stanoveno, kdo má přístup k převodním tabulkám mezi čísly a jmény.

Souhlas potřebujete i na to, abyste mohli uchovávat fotografie zaměstnanců. Na zveřejnění svých fotografií jsou navíc lidí velmi citliví.

Budete-li přijímat nového zaměstnance, pořiďte si od něj souhlas. Právo zpracovávat osobní údaje vám ostatně musí dát každý uchazeč. A podobně to funguje i při odchodu ze zaměstnání. Výstupní dotazník se jménem lze uchovávat pouze se souhlasem. Záznamy o hodnocení zaměstnance máte právo skladovat po určenou retenční dobu s rozumně odůvodněnou délkou. 

Novinkou bude vedení záznamů o činnostech zpracování. Záznam má obsahovat název a kontaktní údaje společnosti, důvod zpracování údajů, popis kategorií subjektů a osobních údajů, kategorie organizací, které údaje obdrží, eventuální přenos údajů do jiné organizace či země, lhůtu pro jejich odstranění, popis bezpečnostních opatření uplatňovaných při zpracování. 

V případě, kdy mzdovou a personální agentu zpracovává externí firma, bude nutné nastavit povinnosti a odpovědnost za případnou škodu každé ze smluvních stran. Nově totiž přímá odpovědnost za řádné zpracování osobních údajů dopadá i na zpracovatele.

Co je stejné jako jinde?

Pravdou zůstává, že zaměstnanci si ukládají, posílají a často i odnášejí z práce mnoho osobních údajů, aniž by věděli, že se jedná o potenciální problém. Základní pravidla však platí u GDPR v personalistice stejně pro všechny. Je potřeba zajistit, aby měli lidé právo na úpravu či výmaz svých citlivých údajů, data musí být zabezpečená, jakékoliv narušení bezpečnosti se musí okamžitě hlásit prostřednictvím svého DPO. Nastavení správných procesů, obnova směrnic a dodržování nových zásad může rozhodně snížit riziko, že nebudete GDPR compliant, na minimum.