Cílem květnového odborného semináře GDPR bylo seznámit zákazníky s tím, jak jim Vema může pomoci při plnění jejich povinností vyplývajících z Nařízení GDPR. Společnost Vema k tomu připravila nový modul GDPR, který pomůže v oblastech:
- podpora tvorby a tisku „Směrnice o ochraně osobních údajů“,
- možnost promazávání osobních údajů,
- informovanost o evidovaných osobních údajích,
- export osobních dat,
- možnost šifrování dat,
- logování přístupu k datům.
V první části semináře byli účastníci seznámeni s instalací, ovládáním a funkcí tohoto nového softwarového nástroje, druhá část byla věnována dopadům GDPR ve mzdové a personální oblasti.
Petr Peňás vysvětluje funkčnost modulu GDPR
Jako první se ujal slova Petr Peňás, pod jehož vedením tento nástroj vznikl. Svou přednášku uvedl upozorněním, že software nevyřeší celou problematiku GDPR, ale její zavedení v organizaci velmi usnadní.
Následně prezentoval jednotlivé funkčnosti nového softwaru pro podporu GDPR.
Podpora tvorby a tisku „Směrnice o ochraně osobních údajů“
Systém Vema umožňuje vygenerovat návrh Směrnice o ochraně osobních údajů, který si každá organizace může upravit dle svých vnitřních pravidel a postupů.
Možnost promazání osobních údajů
Tento požadavek nařízení GDPR patří k nejvíce mediálně diskutovaným. V systému Vema je řešeno správou nastavení „aktivních“ datových prostředí, nastavení kategorií osobních dat, seznamem tabulek s osobními daty a seznamem položek v tabulkách. Výchozí nastavení retenčních lhůt je potřeba před ostrým nasazením zkontrolovat a upravit na podmínky organizace. Promazání osobních dat je možno v systému spustit i nanečisto. Archivy dat se nepromazávají, ale po jejich obnově je nabídnuto promazání dat podle aktuálně nastavených pravidel.
Petr Peňás uvádí výčet nutných podmínek pro zprovoznění modulu GDPR
Informovanost o evidovaných osobních údajích a export osobních dat
Pro tento účel se generuje dokument se seznamem tabulek a jejich hodnot, ve kterých jsou osobní data zadaného zaměstnance. Systém pak umožňuje export evidovaných osobních údajů do strojově čitelného formátu, konkrétně XML.
Možnost šifrování dat
GDPR šifrování nevynucuje, ale je volitelně použitelné. Doporučuje se používat jen na vyhrazených serverových stanicích, zálohovat klíče odděleně od šifrovaných dat a používat silné heslo.
Logování přístupu k datům
Lze provést globální nebo podrobné nastavení. Jsou podporovány dvě úrovně – logování jen přístupu k tabulkám s osobními údaji nebo logování všech čtených řádků. Pro analýzu logů slouží Koncentrátor logů – Sledování a Evidence Aktiv. Načítá ze všech logů vybrané typy záznamů. Dovoluje zobrazení přístupu jednotlivých uživatelů a rolí k osobním údajům a zobrazení aktivity uživatele v datech.
Následovala přestávka na občerstvení a po ní se ujala slova Renata Kolková, vedoucí oddělení analytiků mezd, kterou zákazníci znají zejména z pořádaných seminářů k novinkám aplikace Mzdy.
Ve své přednášce se zaměřila na konkrétní dopady GDPR na mzdovou a personální oblast s vazbou na legislativu.
Renata Kolková seznamuje s návrhem adaptačního zákona
V úvodu připomněla, co je cílem Nařízení GDPR a že každému členskému státu EU je v několika článcích Nařízení GDPR dána možnost prostřednictvím tzv. derogačních klauzulí vyloučit znění GDPR a stanovit si vlastní pravidla úpravy. Nepřijetím adaptačního zákona se ČR prozatím o tuto možnost připravila, a tudíž bude muset aplikovat GDPR v jeho plném rozsahu bez jakýchkoliv výjimek nebo úlev. Pro orgány veřejné moci lze za vysoce rizikové považovat nevyužití možnosti omezit výši správní pokuty podle článku 83 GDPR. Návrh Ministerstva vnitra počítá s maximální hranicí pokuty do výše 10 000 000 Kč, přičemž podle GDPR může být udělena pokuta max. ve výši 20 000 000 eur nebo 4 % celkového ročního obratu podle toho, která hodnota je vyšší.
Renata Kolková dále pokračovala informacemi z navrhovaného znění zákona o ochraně osobních údajů. Velmi podstatná část navržené úpravy je věnována novému uspořádání Úřadu pro ochranu osobních údajů (ÚOOÚ), který i nadále bude plnit funkci hlavního dozorového orgánu pro ČR. K dalším zajímavým okruhům navrhovaného zákona patří např. úprava věku dítěte pro souhlas se zpracováním jeho osobních údajů (13 let) nebo specifikace veřejného subjektu podle článku 37.
Podle článku 5 GDPR byly prezentovány principy GDPR, které dosud nebyly v zákoně č. 101/2000 Sb. definovány. Dle současných pravidel ale nedochází k věcné změně, jediný nový princip je odpovědnost – povinnost zajistit soulad s platnou legislativou a tento nově prokázat. Zajímavou částí prezentace bylo vysvětlení desatera nejčastějších omylů či zavádějících tvrzení o GDPR, které zpracoval ÚOOÚ. Jsou to:
- Odkazování na obecné nařízení jako na směrnici
- Označování obecného nařízení za revoluci v právech subjektů údajů a v povinnostech správců
- Rozšiřuje se definice osobního údaje
- Je lepší mít paušální souhlas subjektů údajů, než se zabývat jednotlivými zákonnými důvody
- Šifrování je povinné
- Každý, popř. téměř každý musí mít pověřence pro ochranu osobních údajů
- Pověřenec musí mít osvědčení (certifikát)
- Obecné nařízení klade na pověřence pro ochranu osobních údajů vysoké, obtížně splnitelné nároky
- Správce nemůže pověřenci pro ochranu osobních údajů ukládat úkoly
- Nově hrozí správcům a zpracovatelům pokuty dle obratu.
Posluchači v sále poslouchají prezentaci Renaty Kolkové s velkým zaujetím
Účastnici byli také informováni, jak by organizace měla postupovat, aby byla schopna prokázat soulad s GDPR.
Základním firemním dokumentem by měla být Směrnice o ochraně osobních údajů, kterou ve formě vzorového textu umožňuje Vema ve svých produktech vygenerovat. Směrnice je to poměrně rozsáhlá, a proto zákazníci jistě uvítají nabídku pomoci s tvorbou tohoto dokumentu od společnosti Vema.
Směrnice musí obsahovat:
- Definici pojmů (např. osobní údaje, citlivé osobní údaje)
- Způsob zpracování osobních údajů
- Kdo je subjekt údajů?
- Kdo je správce osobních údajů?
- Kdo je zpracovatel osobních údajů?
- Jak probíhá náborový proces?
- Jak probíhá nástup zaměstnance?
- Jak se zpracovávají údaje o zdravotním stavu?
- Jak se řeší zdravotní prohlídky zaměstnanců?
- Jak jsou zabezpečeny osobní údaje?
- Jaká opatření jsou v Personálním informačním systému?
- Probíhá monitoring zaměstnanců? Jak?
- Řešení žádostí zaměstnanců a dalších dotčených osob o uplatnění práv.
- Jak je umožněn přístup k osobním údajům žadatelů?
- Jak jsou řešeny námitky proti zpracování osobních údajů?
- Jak jsou řešeny žádosti o opravu?
- Jak jsou řešeny žádosti o výmaz (právo být zapomenut)?
- Jak je zajištěn přenos osobních údajů zaměstnavatele k jinému správci osobních údajů?
- Jak je řešeno zpřístupňování údajů o zaměstnancích třetím stranám?
- atd.
Renata Kolková pokračovala vysvětlením pojmu zákonnosti zpracování osobních údajů. Každé zpracování musí mít právní základ. Právní základy v HR jsou:
- právní povinnost,
- plnění či uzavření smlouvy se subjektem,
- oprávněný zájem,
- souhlas zaměstnanců, který musí být svobodný, konkrétní, informovaný a jednoznačný.
Renata Kolková zdůrazňuje, že každé zpracování osobních údajů musí mít právní základ
Udělení souhlasu prokazuje správce, v případě odmítnutí nesmí vzniknout žádný následek. Pro udělení souhlasu je nutné mít samostatné prohlášení oddělené od pracovní smlouvy. Po 25. 5. 2018 budou platné pouze souhlasy udělené v souladu s GDPR.
Osobní údaje je možné zpracovávat pouze po nezbytně nutnou dobu. Pokud odpadne právní základ pro jejich zpracování nebo je naplněn účel zpracování, je třeba údaje anonymizovat nebo smazat.
Pro usnadnění plnění požadavků GDPR při výběru nových pracovníků nabízí Vema modul Výběrová řízení, který zajistí celý proces v souladu s GDPR. Také aplikace Personalistika vám plnění nároků GDPR usnadní, její hlavní výhodou je centrální správa personálních dokumentů. Aplikace Mobilní výplatní lístek zase umožňuje odesílat výplatní lístky zabezpečené heslem na mobil nebo na email.