Skupina W29 vydala Opinion 2/2017 on data processing at work – dokument se stanovisky k různým aspektům ochrany osobních údajů zaměstnanců.
Co mě zaujalo?
- Vztah zaměstnavatel – zaměstnanec není rovnoprávným vztahem, tudíž případný souhlas se zpracováním osobních údajů nelze až tak brát jako svobodně udělený.
Zaměstnavatel by se tedy měl hlavně opírat o legislativní důvody zpracování osobních údajů.
Bude mě zajímat výklad právníků ke zpracování fotek z firemních akcí, zveřejňování fotek u kontaktních údajů v prezentacích a na webových stránkách, …
- Ochrana soukromí zaměstnance dominuje nad zájmy zaměstnavatele. Prevence by měla mít vyšší prioritu než kontrola. Např. blokování webových stránek před kontrolou pohybu na internetu.
Kdo řešil kamery v provozních prostorách, kdo se potýkal se zaměstnanci trávícími pracovní dobu na FB, ten ví o čem mluvím.
- Tím, že se lokalizace stala osobním údajem, objevují se konflikty u služebních telefonů, vozidel užívaných i pro soukromé účely, …
Jsem zvědavá, kdo tohle dokáže uspokojivě řešit.
- Pozitivní informací je, že jako zaměstnanec je vnímán každý pracovník, bez ohledu na typ smluvního vztahu. HP, DPP ale i freelancer.
Důležité bude odlišit OSVČ – „zaměstnance“ a OSVČ – dodavatele.
Co mají personalisté dělat?
Zmapování zpracovávaných dat
- Zpracujte si přehled osobních údajů zaměstnanců, které evidujete. Nezapomeňte na různé dokumenty, fotografie a pod.
- Podchyťte si legislativu, která vám ten který údaj předepisuje.
- Jestliže nemáte legislativní důvod, zamyslete se nad tím, jestli ten údaj opravdu potřebujete.
- Zpracujte si přehled odkud data získáváte, kde je uchováváte, jak je zpracováváte, kdo k nim má přístup, komu je předáváte.
Soulad s GDPR
- Zpracujte pro zaměstnance Informace o zpracování osobních údajů.
- Pro údaje, které zpracováváte nad rámec legislativních požadavků, musíte získat souhlas zaměstnance. Návrh souhlasu konzultujte s právníkem.
- Promyslete, jestli se k údajům nedostanou neoprávněné osoby.
- S IT konzultujte bezpečnost datových přenosů a úložišť, systém zálohování a ochrany dat.
- Pokud využíváte dodavatele, prověřte, že zpracovávají data v souladu s GDPR, spolu s právníky zrevidujte smlouvy s nimi.
Poznatky z praxe:
- mzdové lístky e-mailem opravdu neposílejte
- různé seznamy ukládejte na bezpečném místě a když už je nepotřebujete, tak je smažte nebo anonymizujte
- ajťáci by opravdu neměli mít přístup do mzdového systému
- externí zpracovatel mezd musí mít DPO a zpracovávat data v souladu s GDPR