Semináře byly rozděleny do dvou částí, v první právní části přednášel Jan Tomíšek ml. z advokátní kanceláře ROWAN LEGAL o dopadech Nařízení GDPR na praxi mzdových účetních a personalistů, ve druhé části se ředitel společnosti Vema Jan Tomíšek st. věnoval podpoře GDPR v aplikacích Vema. Všichni účastníci obdrželi kromě tištěných materiálů i reklamní letáček s výčtem funkcionalit aplikace Vema GDPR, kterou naše společnost pro usnadnění práce nabízí.
Zahájení semináře, zleva: Jan Tomíšek st., Jan Tomíšek ml., Milan Poláček
Brněnský seminář uvedl Milan Poláček z obchodního oddělení. Představil přednášející, seznámil přítomné s programem a s nabídkou softwarového řešení, které Vema pro své zákazníky připravila.
Základní pojmy a principy GDPR
Jako první se ujal slova Jan Tomíšek ml. a nejdříve vysvětlil základní pojmy obsažené v Nařízení, jako jsou:
- osobní údaj = jakákoliv informace o fyzické osobě, kterou lze identifikovat,
- zvláštní kategorie údajů (citlivé údaje) = zdravotní stav, biometrické údaje, členství v odborech apod.,
- správce = osoba určující účel a prostředky zpracování osobních údajů,
- zpracovatel = zpracovává osobní údaje jménem správce,
- subjekt údajů = fyzická osoba, které se údaje týkají.
Dále uvedl principy GDPR, které jsou v Nařízení uvedeny:
- zákonnost a férovost,
- omezení účelem,
- minimalizace údajů a omezení uložení,
- přesnost,
- transparentnost,
- integrita a důvěrnost,
- odpovědnost.
Jak Jan Tomíšek ml. zdůraznil, každé zpracování osobních údajů musí mít právní základ. Právními základy v HR mohou být buď právní povinnost, oprávněný zájem, plnění či uzavření smlouvy se subjektem a souhlas (který musí být svobodný, konkrétní, informovaný a jednoznačný).
Po 25. květnu 2018 budou platné pouze souhlasy udělené v souladu s GDPR. Udělení takového souhlasu musí prokázat správce a musí být zcela svobodné, oddělené od jiných prohlášení. I v případě, kdy není nutný souhlas, je potřeba subjekt údajů vždy informovat o zpracování jeho údajů. Způsob informování by měl být stručný, transparentní, srozumitelný a snadno přístupný.
Další zajímavostí byla informace o existenci pracovní skupiny 29 (WP29). Jedná se o nezávislý evropský poradní orgán na ochranu dat a soukromí, který je složen z vedoucích zástupců dozorových úřadů členských zemí Evropské unie.
Pracovní skupina WP29 vydává a veřejně diskutuje materiály, které mají čtenáři maximálně vysvětlit a co nejblíže ho seznámit s jednotlivými částmi a oblastmi Obecného nařízení. Účinností GDPR od 25. května 2018 se WP29 změní na Evropský sbor pro ochranu osobních údajů (EPDB). Úkolem Sboru bude především zajišťování jednotného uplatňování Obecného nařízení a za tím účelem monitorovat jeho uplatňování a vydávat pokyny, doporučení a osvědčené postupy, a to i pro některé stanovené oblasti a instituty GDPR.
Právní problematiku přednesl Jan Tomíšek ml.
Dopady GDPR do vybraných personálních procesů
Prvním prezentovaným tématem byl proces výběrového řízení na pracovní pozici. Zde typicky dochází ke zpracování životopisů více zájemců a výběru nejvhodnějšího kandidáta. Životopisy neúspěšných kandidátů nelze dále zpracovávat a oslovovat kandidáty dalšími nabídkami. Do databáze pro pozdější řízení je lze zařadit pouze s jejich souhlasem. Obezřetně je třeba postupovat i při případném prověřování uchazečů o zaměstnání na sociálních sítích. Dle stanoviska 2/2017 WP29 lze prověřovat prezentaci uchazečů pouze na relevantních sociálních sítích jako je LinkedIn. Na využívání soukromých informací o uchazeči na Facebooku již není právní základ.
Druhým příkladem HR procesu byla realizace pracovně právního vztahu. Je třeba si uvědomit, že právním základem pro zpracování mezd je plnění uzavřené pracovní smlouvy. Pro tuto činnost tedy není nutný žádný další speciální souhlas. Právním základem pro odvod daní a pojištění zaměstnance je zase právní povinnost. Ani zde tedy není třeba žádný další souhlas.
Jako další příklad byla objasněna problematika uveřejňování fotek zaměstnanců na webu zaměstnavatele a na firemním intranetu. Na základě oprávněného zájmu zaměstnavatele mohou být uveřejněny fotky zaměstnanců na webu bez jejich souhlasu u pracovních pozic, jako jsou např. obchodní zástupci a pracovníci určení pro styk se zákazníky a s veřejností. Pro provozní potřebu pak lze pak na základě oprávněného zájmu zveřejnit na intranetu fotky všech zaměstnanců bez jejich souhlasu, zaměstnanci však mají právo proti takovému použití fotografií vznést námitku, kterou musí zaměstnavatel posoudit.
K citlivým tématům patří monitoring zaměstnanců, který musí být vždy přiměřený.
V případě sledování obsahu emailové komunikace nemůže být právním základem souhlas zaměstnanců. Může být realizováno pouze u organizací se zvláštní povahou činností, např. u vybraných pracovníků banky, kde převažuje oprávněný zájem organizace. Za monitoring se ale nepovažuje např. skenování příloh emailů na přítomnost virů. Naopak nepřiměřeným monitoringem by bylo sledování pohybu myší u počítače nebo zaznamenávání úderů klávesnice.
V případě monitoringu firemních vozidel pomocí GPS, pokud je pracovník používá i pro soukromé účely, musí být možnost vypnout aktivní GPS sledování.
Kamery na pracovišti mohou být pouze v případě oprávněného zájmu zaměstnavatele, např. sledování běžných prostor jako jsou sklady nebo prodejny. Sledování vyhrazených prostor, např. šaten by již bylo nepřiměřené.
Všichni zaměstnanci musí být informováni o sběru a účelu zpracování jejich osobních údajů. U nových zaměstnanců se toto doporučuje realizovat např. základní informací v rámci osobního dotazníku s odkazem na podrobnější informace ve vnitřním předpisu, u stávajících zaměstnanců se může řešit např. formou emailu se základními informacemi a odkazem na dokument na intranetu nebo k vyžádání na personálním oddělení.
Po přestávce na občerstvení následovala přednáška na téma tzv. principu omezení uložení. Osobní údaje je možné zpracovávat pouze po nezbytně nutnou dobu. Jestliže odpadne právní základ pro jejich zpracování – např. skončí pracovní smlouva nebo je naplněn účel zpracování – např. konec výběrového řízení, údaje je třeba anonymizovat nebo smazat. Lze ponechat pouze agregované údaje, které nelze přiřadit ke konkrétní osobě. Výmaz zpravidla potřebuje podporu na úrovni softwaru.
Následovalo vysvětlení pojmů práv subjektů údajů na: přístup a opravu, námitku, výmaz, omezení, přenositelnost, automatizované rozhodování.
Přednášející také podrobněji objasnil pojmy:
Zpracovatelé v HR – např. outsourcing zpracování mezd a poskytování cloudových služeb, kde existuje vztah na základě písemné smlouvy.
Správce – je povinen zajistit soulad s GDPR a musí být schopen jej prokázat. Musí zajistit náležité zabezpečení osobních údajů, k tomu musí přijmout vhodná technická a organizační opatření. V praxi to znamená přijmout Data Protection Policy = pravidla, směrnice – jak se ve firmě chrání osobní údaje, co vše se pro to dělá. Vše musí být napsáno srozumitelně pro zaměstnance a dodržování by se mělo průběžně kontrolovat. Část technických opatření vyžaduje podporu v rámci personálního software (řízení přístupu, autentizace, šifrování…).
Podpora GDPR v aplikacích Vema a smluvní vztahy
Ve druhé části semináře vystoupil ředitel společnosti Vema Jan Tomíšek st. a prezentoval podporu GDPR v aplikacích Vema a smluvní vztahy.
Ředitel společnosti Jan Tomíšek st. objasňuje funkčnost aplikace GDPR.
Již nyní existuje poměrně solidní podpora v aplikacích Vema: bezpečnostní model, logování a auditování, ochrana proti neřízenému ukládání a oběhu dokumentů, Vema V4 Cloud, šifrovaný výplatní lístek na mobil/emaile apod.
Nabízená aplikace GDPR usnadní splnění následujících povinností vyplývajících z Nařízení GDPR:
Právo subjektu na informovanost – úplná informace o údajích evidovaných o subjektu údajů, PDF výstup, volitelně i portálový dokument.
Přenositelnost údajů – požadován strojově čitelný formát, Nařízení nijak blíže nespecifikuje, neexistuje uznávaný standard pro HR, bude zajištěno prostým exportem do XML.
Selektivní zapomínání údajů – vždy když pomine právní povinnost, oprávněný zájem nebo skončí souhlas. Pro tuto funkcionalitu se nastavuje kategorizace údajů vzhledem k expiraci dat. Funkci lze spustit i nanečisto. Vše je dokumentováno podrobným protokolem mazání.
Šifrování dat – není explicitně Nařízením požadováno, přínos je silně relativní, provozně je velmi nebezpečné. Volitelně je ale použitelné.
Metodika zajištění souladu personálních procesů s GDPR – dokument ve formátu PDF přímo generovaný z aplikace GDPR. Je to výchozí návrh, který je možno uživatelsky upravit. Součástí dokumentu je i příloha s pravidly mazání osobních údajů.
Obsah metodiky – vodítko pro strukturu interní směrnice: definice, náborový proces, nástup zaměstnance, evidence údajů o zaměstnanci, údaje o zdravotním stavu, monitoring zaměstnanců, žádosti zaměstnanců a dalších dotčených osob o uplatnění práv, zpřístupnění údajů o zaměstnancích, zabezpečení osobních údajů (bezpečnostní model).
Auditování a logování – řeší dílčí požadavek na prokazování provozu v souladu s GDPR. Je vylepšena evidence: kdo co měnil, jak měnil, kdo co exportoval, kdo se na co díval, kdo co spouštěl. Klade to ale vysoké nároky na systémové prostředky. Analyzátor logů se spouští nad všemi logy dohromady. Obsahuje podrobné statistiky, pomůže při odhalování anomálií, poslouží k zpětné analýze bezpečnostního incidentu: kdo neoprávněně přistupoval k údajům, které údaje přesně viděl, jak a kdy incident probíhal.
Pseudonymizace – jedná se o oddělení identifikačních údajů od zbytku dat a Nařízení o GDPR jej nevyžaduje, takže v našem softwaru řešit nebudeme a jednoznačně nedoporučujeme. Je určeno pro jiný typ informačního systému než pro personální.
O seminář byl velký zájem, pohled do sálu
Úpravy smluvních vztahů mezi Vemou a zákazníky
Týká se jen smluvních vztahů, v nichž Vema vystupuje jako zpracovatel, tedy v případech využívání cloudu a u outsourcingu mezd. U cloudu se jedná o data pouze v rámci ČR, ne mimo EU.
Další technické prostředky (produkty), které pro plnění povinností dle Nařízení doporučujeme využívat:
- Personalistika
- Výběrová řízení
- V4 Cloud
- Výplatní lístek na mobil
Závěr semináře byl věnován odpovědím na dotazy.