Analýza dat zabere malému zaměstnavateli několik dní, říká David Borovec k GDPR

Velkým přínosem pro zaměstnance a uchazeče o zaměstnání je publicita, která se nařízení GDPR věnuje, říká v rozhovoru pro Právní prostor JUDr. David Borovec. Se svým příspěvkem na téma ochrana osobních údajů v personální praxi vystoupí na kongresu Právní prostor 2018.

spolupracující redaktorka
Foto: Fotolia

V květnu tohoto roku začnou platit nová pravidla ochrany osobních údajů, na co by si personalisté měli při nabírání zaměstnanců dát nově pozor?

Personalisté by určitě měli zvážit, zda chtějí vést databázi životopisů uchazečů o zaměstnání i po skončení výběrového řízení, do kterého se přihlásili. V takovém případě je totiž potřeba výslovný souhlas uchazeče s dalším uchováváním jeho osobních údajů, tedy nejen těch uvedených v životopisu, ale také těch uvedených v motivačním dopisu a jiných přiložených dokumentech.

Pokud by personalisté databázi uchovávat nechtěli, což ale asi nebude častý případ, pak je potřeba, aby po skončení výběrového řízení, resp. v přiměřené době po jeho skončení kvůli potenciálním sporům, zpravidla kvůli tvrzené diskriminaci uchazeče, skartovali životopis a další dokumenty s osobními údaji uchazeče. Také, aby dohlédli na to, že tak učiní i manažeři, kteří se účastní výběrových řízení a kteří jsou zvyklí si s sebou odnášet dokumentaci uchazečů.

Jakým způsobem by se nově měly uchovávat informace také o současných i minulých zaměstnancích?

Pokud si zaměstnavatel uchovává jen osobní údaje zaměstnance nezbytné za účelem plnění zákonných povinností zaměstnavatele a pro účely samotného pracovněprávního vztahu, pak zaměstnavatel, na rozdíl od jeho propagace na internetu a sociálních sítích, nepotřebuje souhlas ke zpracování těchto osobních údajů – musí ale zaměstnance o takovémto zpracování prokazatelným způsobem informovat.

Ani skončení pracovního poměru neznamená, že by zaměstnavatel musel osobní údaje okamžitě skartovat – naopak je ze zákona povinen uchovávat osobní údaje v rozsahu a po dobu stanovenou právními předpisy. Nadto zaměstnavatelům vždy doporučuji, aby osobní údaje bývalých zaměstnanců uchovávali po přiměřenou dobu po skončení pracovního poměru i z důvodu obrany v případných sporech například o bonusy, mzdová plnění za práci přesčas. V obou těchto případech je ale nutné zaměstnance informovat o délce doby určené ke zpracování osobních údajů.

Pokud dojde k úniku či ohrožení osobních údajů zaměstnanců, co by měl zaměstnavatel dle GDPR učinit?

Zaměstnavatel by měl v prvé řadě kontaktovat své IT oddělení, případně se obrátit na externí IT specialisty, aby se zhodnotilo, zda je únik či ohrožení osobních údajů zaměstnanců spojen s vysokým rizikem zneužití těchto dat.

V takovém případě má totiž zaměstnavatel jen 72 hodin na to, aby ohlásil tuto skutečnost Úřadu pro ochranu osobních údajů a aby také informoval o rizicích s tím spojených dotčené zaměstnance.

Na druhou stranu, pokud by tu vysoké riziko zneužití dat nebylo, například pokud by databáze zaměstnanců byla šifrovaná tak, že ani při odcizení části databáze by takováto třetí osoba neměla možnost zjistit obsah odcizených dat, pak by se tyto ohlašovací povinnosti neuplatnily.

Do května je také třeba provést analýzu dosavadního zpracování osobních údajů, ať už klientů či zaměstnanců. V čem by tato analýza měla spočívat?

Tato analýza spočívá zejména v prověření toho, jaké osobní údaje zaměstnanců a klientů a za jakým účelem zaměstnavatel zpracovává – s tím, že následně je třeba zjistit, kdo má k těmto osobním údajům zaměstnanců a klientů přístup, v jaké formě jsou zpracovávány a jak jsou zabezpečeny. Ať již fyzicky v rámci spisů, nebo elektronicky v rámci jednotlivých IT systémů. V této souvislosti je třeba také prověřit, zda se osobní údaje sdílejí s dalšími třetími osobami, nejen dodavateli softwaru, ale třeba také s mateřskou společností, a jak je toto sdílení ošetřeno.

Dále je pak přímo ve vztahu k těmto zaměstnancům a klientům třeba ověřit, zda byli informováni o zpracování svých osobních údajů, požádáni o souhlas, pokud byl potřebný, byli seznámeni s tím, zda probíhá zpracování jejich osobních údajů také prostřednictvím třetích osob, například přes externí mzdovou účtárnu, a zda byli poučeni o všech svých právech, a to ve srozumitelné formě.

Kolik času by si na analýzu podnikatelé měli vyhradit?

Na tuto otázku je těžké odpovědět – samozřejmě hodně záleží na velikosti podniku a oboru jeho činnosti, tedy jestli v rámci dané činnosti dochází ke zpracování citlivých osobních údajů, což představuje zvláštní kategorii osobních údajů dle GDPR – například na klinikách nebo platebních institucích, nebo zda provozují s ohledem na svou činnost e-shopy, zpracovávají rozsáhlé klientské databáze.

Z mých zkušeností jsou ale obecně zaměstnavatelé střední a větší velikosti schopni zvládnout tento proces během dvou až tří týdnů při zapojení příslušných oddělení – a v řádu dní, jedná-li se o malého zaměstnavatele.

GDPR dále zavádí právo na přenositelnost údajů nebo právo být zapomenut. V čem tato práva spočívají a jaké jsou podmínky jejich uplatnění?

Zatímco právo na přenositelnost údajů se v praxi u zaměstnanců příliš neuplatní, neboť toto právo cílí na předání osobních údajů mezi správci, což má cílit například na telekomunikační operátory a další společnosti poskytující služby, tak právo být zapomenut může zaměstnanec využít zejména po skončení jeho pracovního poměru.

Nejedná se ale o nové právo – toto právo je již v současné právní úpravě známé jako právo na výmaz – a znamená to, že se lze domáhat ukončení procesu zpracování osobních údajů, pokud tu není nadále zákonný účel ke zpracování osobních údajů a není tu, případně je odvolán, souhlas se zpracováním osobních údajů.

Prakticky to může znamenat, že (bývalý) zaměstnanec může odvoláním svého souhlasu se zpracováním jeho osobních údajů pro účely marketingu zaměstnavatele na sociálních sítích způsobit, že zaměstnavatel bude povinen neprodleně ukončit dané zpracování – a tím také zaměstnavatele přimět ke stažení (smazání) fotografií, videí a jiných audiovizuálních záznamů zaměstnance.

Jaká další práva a výhody získají s novým nařízením zaměstnanci a uchazeči o zaměstnání?

Podle mého názoru nepřináší samo nařízení výrazné množství nových práv, když pomineme například právo přenositelnosti a právo na námitku, neboť převážná část práv byla již v českém právním řádu upravena.

Velkým přínosem pro zaměstnance a uchazeče je ale podle mého názoru publicita, která se věnovala a stále více věnuje nařízení – kdy si nejen zaměstnanci a uchazeči uvědomují svá práva, ale i samotní zaměstnavatelé začínají klást větší důraz na ochranu osobních údajů jejich zaměstnanců a uchazečů.

Jaké sankce hrozí za nedodržení nových pravidel?

Dle samotného nařízení je maximální výše pokut skutečně astronomická – může dosahovat až 20 mil. EUR, nebo 4 % z celosvětového obratu celého koncernu (podle toho, která částka je vyšší).

Nicméně očekáváme, že v českém prostředí nejenže český Úřad pro ochranu osobních údajů nepřistoupí k ukládání takových pokut, ale že bude i přijata lokální právní úprava, která by měla zachovat stávající model pokut do výše 10 milionů korun, případně do 20 milionů korun, pokud by se prosadila v legislativním procesu přísnější varianta.

Bude možné se těmto sankcích zpětně vyhnout?

V tomto směru bude velmi záležet na finální podobě české právní úpravy a samotné praxi Úřadu pro ochranu osobních údajů – s tím, že je ale nepravděpodobné, že by bylo možné se sankci zcela vyhnout.

Lze ale předpokládat, že by následná snaha zaměstnavatele o nápravu, například zajištění informovanosti, získání potřebných souhlasů se zpracováním osobních údajů, nastavení interních procesů, přijetí příslušných opatření k zajištění bezpečnosti dat, měla být vnímána jako polehčující okolnost při vyměření sankce.

JUDr. David Borovec
Advokát, který si již během studií Právnické fakulty UK v Praze zvolil jako svůj hlavní obor pracovní právo, ve kterém získával praktické zkušenosti nejprve při mezinárodní advokátní kanceláři Baker & McKenzie a následně jako koncipient a poté jako advokát v advokátní kanceláři Randl Partners. Od roku 2018 si otevřel vlastní advokátní praxi BOROVEC LEGAL zaměřenou nejen na pracovní právo a ochranu osobních údajů, ale také na otázky náhrady újmy a korporátního práva. Pravidelně přednáší, je autorem a spoluautorem řady odborných článků a publikací.

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články