Kdo musí zajistit GDPR a pověřence DPO

GDPR v praxi

Kdo musí zajistit GDPR a pověřence DPO

Ochrana osobních údajů je jednou z klíčových oblastí každé společnosti. S ohledem na komplikovanost této problematiky bylo evropskou pracovní skupinou WP29 vydáno Stanovisko ke zpracování osobních údajů na pracovišti, které se touto oblastí zabývá a řeší nejen GDPR, ale především zajištění rovnováhy mezi oprávněnými zájmy zaměstnavatele a očekáváním zaměstnanců z hlediska jejich soukromí.

 

Z pohledu personalistiky a mzdové agenty patří mezi zásadní oblasti, které je třeba uvést do souladu s požadavky GDPR především:

  • Nábor a přijímání nových zaměstnanců
  • Procesy v průběhu trvání pracovněprávního vztahu
  • Ukončení pracovněprávního vztahu
  • Smluvní vztahy se zaměstnanci

 

Všechny tyto oblasti vyžadují nejen důkladnou analýzu osobních údajů, které jsou ze strany zaměstnavatele shromažďovány, ale také uvedení účelu jejich zpracování a právní důvod k jejich uchovávání. Bohužel se však jedná o oblast práva, která bývá zaměstnavateli často opomíjena.

 

Povinnost ochrany osobních údajů musí brát zaměstnavatelé v potaz nejen u svých současných zaměstnanců ale také u případných uchazečů o zaměstnaní nebo bývalých zaměstnanců. V některých případech je po zaměstnanci požadován souhlas se zpracováním těchto údajů, jindy tomu ale tak není, a proto si řada zaměstnavatelů mnohdy není jista, jaké údaje zpracovávat a především uchovávat o zaměstnancích muže či musí, a k jakým údajům naopak potřebuje udělení souhlasu.

GPDR u uchazečů o zaměstnání

Co se týče uchazečů o zaměstnání, již ve chvíli obdržení životopisu musí zaměstnavatel respektovat určitá pravidla, která z ochrany GDPR vyplývají. Životopis totiž standardně obsahuje základní osobní údaje jako jméno a příjmení, datum narození, telefonní číslo či osobní adresu uchazeče. Zaměstnavatel má tedy právo pro účely výběrového řízení s těmito údaji nakládat a zpracovávat je v rámci své společnosti. Ve chvíli, kdy ale dojde k odmítnutí uchazeče a ten tedy ve společnosti nadále nepůsobí, má zaměstnavatel povinnost veškeré osobní údaje o uchazeči zlikvidovat. Pokud by zaměstnavatel chtěl tyto údaje nadále uchovávat, což není neobvyklý krok s ohledem na to, že si zaměstnavatelé často rádi ponechají případného zájemce ve své databázi, je třeba, aby k tomu uchazeč o zaměstnání udělil souhlas. Souhlas musí obsahovat informace nejen o tom, kdo bude osobní údaje zpracovávat, ale také jak dlouho budou tyto údaje uchovávány.

GDPR během trvání pracovního vztahu

V případě, že uchazeč o zaměstnání ve výběrovém řízení uspěje, je třeba upravit podmínky pro uchování a zpracování jeho osobních údajů po dobu trvání pracovního poměru. Vzhledem k tomu, že se v tomto směru jedná o informace, které zaměstnavatel nutně potřebuje, aby v rámci pracovního poměru vše fungovalo a není možné se zpracování osobních údajů o zaměstnanci prakticky vyhnout, nemá zaměstnavatel povinnost požadovat výslovný souhlas zaměstnance se zpracováním jeho osobních údajů.

 

Zvláštním případem zpracování osobních údajů během trvání pracovního poměru jsou pak informace o pracovních úrazech, nemocích z povolání a obecně o zdravotním stavu zaměstnance. Tyto údaje lze považovat za citlivé údaje a je třeba k nim proto i takto přistupovat. Nicméně ani v tomto případě není nutné, aby k jejich zpracování zaměstnanec udělil souhlas, jelikož zpracování těchto údajů má zaměstnavatel povinné přímo ze zákona.

Zpracování osobních údajů po ukončení pracovního poměru

V momentě, kdy je pracovní poměr ukončen, nemá zaměstnavatel ihned povinnost veškeré osobní údaje o zaměstnanci zlikvidovat. Jejich zpracování má však umožněné pouze v omezeném rozsahu. Uchovávat bez souhlasu zaměstnance proto může pouze ty údaje, které mu stanoví právní předpis. Jedná se především o osobní údaje související s důchodovým a sociálním pojištěním, případně údaje, které by zaměstnavatel mohl potřebovat pro případný soudní spor, a to například za situace, kdy vznikne spor o rozvázání pracovního poměru či nedoplatek mzdy.

Kdo kontroluje, jak jsou osobní údaje v rámci podniku zpracovávány?

Vzhledem k povaze osobních údajů je třeba mít v rámci společnosti také striktně jmenovanou osobu, která je za zpracování osobních údajů zodpovědná a má tuto oblast na starost. Touto osobou může být např. pověřenec pro ochranu osobních údajů (anglicky Data Protection Office – DPO). Jedná se o poměrně nový institut, který je v současné době spojován především se státní správou, jmenovat ho však mohou i soukromé organizace.

 

Pověřenec je osoba, jejíž hlavní činnost spočívá v dohlížení na soulad postupu organizace při zpracování osobních údajů s požadavky, které na zpracování osobních údajů nařízení GDPR klade. Povinnost jmenovat DPO mají organizace v případě, že:

  • Jsou subjektem nakládajícím s osobními údaji a současně se jedná o orgán veřejné moci či veřejnoprávní korporaci
  • Jsou subjektem, jenž systematicky monitoruje fyzické osoby
  • Jsou subjektem, který ve větším rozsahu zpracovává citlivé osobní údaje (banky, nemocnice, pojišťovny apod.)

 

Do role pověřence může být jmenována jak jedna osoba, tak jich v rámci dané organizace může působit i více. Případně lze jmenovat za pověřence externího zprostředkovatele, který bude na zpracování osobních údajů v dané organizaci dohlížet.

 

Co se týče kvalifikace pověřence pro ochranu osobních údajů, nároky jsou kladeny poměrně vysoko. Vybraná osoba musí být znalá nejen národní a evropské legislativy, ale musí se také velice zdatně orientovat v problematice ochrany osobních údajů, nařízení GDPR a dalších právních předpisech, které s touto problematikou souvisejí. Současně musí pověřenec dobře znát vnitřní předpisy organizace a orientovat se ve všech systémech, které osobní údaje o zaměstnancích zpracovávají.

BOZP v praxi

Kontakujte nás

    Vaše Jméno*

    Váš E-mail*

    Zpráva*

    Pro tyto firmy zajišťujeme naše služby