Skupina W29 vydala Opinion 2/2017 on data processing at work – dokument se stanovisky k různým aspektům ochrany osobních údajů zaměstnanců.

Co mě zaujalo?

  • Vztah zaměstnavatel – zaměstnanec není rovnoprávným vztahem, tudíž případný souhlas se zpracováním osobních údajů nelze až tak brát jako svobodně udělený.
    Zaměstnavatel by se tedy měl hlavně opírat o legislativní důvody zpracování osobních údajů.

Bude mě zajímat výklad právníků ke zpracování fotek z firemních akcí, zveřejňování fotek u kontaktních údajů v prezentacích a na webových stránkách, …

  • Ochrana soukromí zaměstnance dominuje nad zájmy zaměstnavatele. Prevence by měla mít vyšší prioritu než kontrola. Např. blokování webových stránek před kontrolou pohybu na internetu.

Kdo řešil kamery v provozních prostorách, kdo se potýkal se zaměstnanci trávícími pracovní dobu na FB, ten ví o čem mluvím.

  • Tím, že se lokalizace stala osobním údajem, objevují se konflikty u služebních telefonů, vozidel užívaných i pro soukromé účely, …

Jsem zvědavá, kdo tohle dokáže uspokojivě řešit.

  • Pozitivní informací je, že jako zaměstnanec je vnímán každý pracovník, bez ohledu na typ smluvního vztahu. HP, DPP ale i freelancer.
    Důležité bude odlišit OSVČ – „zaměstnance“ a OSVČ – dodavatele.

 

Co mají personalisté dělat?

 

Zmapování zpracovávaných dat

  • Zpracujte si přehled osobních údajů zaměstnanců, které evidujete. Nezapomeňte na různé dokumenty, fotografie a pod.
  • Podchyťte si legislativu, která vám ten který údaj předepisuje.
  • Jestliže nemáte legislativní důvod, zamyslete se nad tím, jestli ten údaj opravdu potřebujete.
  • Zpracujte si přehled odkud data získáváte, kde je uchováváte, jak je zpracováváte, kdo k nim má přístup, komu je předáváte.

 

Soulad s GDPR

  • Zpracujte pro zaměstnance Informace o zpracování osobních údajů.
  • Pro údaje, které zpracováváte nad rámec legislativních požadavků, musíte získat souhlas zaměstnance. Návrh souhlasu konzultujte s právníkem.
  • Promyslete, jestli se k údajům nedostanou neoprávněné osoby.
  • S IT konzultujte bezpečnost datových přenosů a úložišť, systém zálohování a ochrany dat.
  • Pokud využíváte dodavatele, prověřte, že zpracovávají data v souladu s GDPR, spolu s právníky zrevidujte smlouvy s nimi.

 


 

Poznatky z praxe:

  • mzdové lístky e-mailem opravdu neposílejte
  • různé seznamy ukládejte na bezpečném místě a když už je nepotřebujete, tak je smažte nebo anonymizujte
  • ajťáci by opravdu neměli mít přístup do mzdového systému
  • externí zpracovatel mezd musí mít DPO a zpracovávat data v souladu s GDPR