printer.jpg

Co všechno může požadovat zaměstnanec nebo člověk, který vám poskytl osobní údaje? GDPR jim dává 3 základní práva. Zjistěte, která to jsou, a buďte na nároky zaměstnanců včas připravení.

1. Právo na přístup k osobním údajům

Člověka, který poskytuje svá soukromá data, nazývá GDPR „subjektem údajů”. Ten má právo vědět, co o něm správce eviduje.

V článku 15 druhého oddílu nařízení se dočtete, které informace musí na požádání vydat správce údajů každému subjektu. Takový soupis informací od správce údajů získají zaměstnanci zadarmo. Může obsahovat například:

  • účely zpracování údajů,
  • seznam osobních údajů,
  • upřesnění, kdo má k údajům přístup.

Právo na přístup k údajům je zatím možné vykládat velmi široce – zaměstnanci by mohli požadovat například i záznamy z firemní kroniky nebo fotky z teambuildingu. 

2. Právo na přenositelnost údajů

Osobní údaje jako balíček, který si člověk může vzít kamkoliv s sebou. Tak bez nadsázky vypadá právo na přenositelnost údajů. Každý zaměstnanec může požádat svého zaměstnavatele, aby mu dal ve strojově čitelné podobě veškeré evidované údaje.

Stejně tak si o výpis může požádat člověk, který udělil souhlas se zpracováním údajů. (Ale tato varianta se uživatelů softwaru Vema netýká.)

Z GDPR ovšem nevyplývá, v jakém formátu by data přesně měla být. Údaje v podobě datové zprávy je možné odnést si například na:

  • CD
  • nebo flash disku.

Právo na přenositelnost údajů dává zaměstnancům možnost předat údaje jinému správci – například novému zaměstnavateli.

dr.jpg

3. Právo na výmaz

Právo na výmaz neboli také právo být zapomenut popisuje nařízení v článku 17 třetího oddílu na straně 43 a 44. Znamená to, že zaměstnavatel musí smazat veškeré údaje o svém zaměstnanci či zákazníkovi, u kterého pominul právní důvod nebo oprávněný zájem k jejich uchovávání. To se stane například v okamžiku, kdy:

  • osobní údaje už nejsou potřebné
  • nebo zákazník odvolá souhlas ke zpracování osobních údajů.

Podívejme se na příklad zaměstnance Petra. Rozvázal pracovní poměr ve firmě v Liberci, přestěhoval se do Jičína a podepsal novou pracovní smlouvu. Ale původní zaměstnavatel má stále právní důvod některá data o Petrovi uchovávat.

Jak jsme totiž popisovali v minulém díle seriálu o GDPR, rozvázání pracovní smlouvy neznamená, že zaměstnavatel z Liberce ihned bezhlavě smaže všechny údaje o Petrovi.

Údaje maže zaměstnavatel postupně podle toho, kdy pominou právní důvody či oprávněný zájem. Petr přitom nemusí zaměstnavateli připomínat, aby údaje smazal. Má na to automatické právo.

Všechno smazat se snadno řekne, ale hůře provede. Z interpretace GDPR zatím můžeme odvodit, že splnění práv a povinností musí být technicky proveditelné. A to bez velké finanční zátěže.

Čeští poslanci mají možnost v budoucnu do GDPR zasáhnout. Mohou odhlasovat nový český zákon, který Nařízení EU číslo 2016/679 upraví. S žádnými velkými změnami ale nepočítejte – GDPR mohou poslanci pouze upřesnit nebo dokonce zpřísnit, bohužel ne zmírnit.

Ve Vemě už pracujeme na tom, abyste ve svých softwarech všechny požadavky evropské legislativy zvládli splnit.  

To není o GDPR všechno. Přečtěte si i 1. díl a 2. díl našeho seriálu a sledujte nás na Facebooku nebo Twitteru, kde vám dáme vědět nejen o GDPR novinkách.