Jak to bude s mazáním osobních údajů podle GDPR a mají zákazníci sami řešit dodatky smluv s Vemou? Nejen to se dozvěděli zástupci škol, nemocnic, úřadů i komerčních firem ve středu 18. října na speciálním semináři Vemy v Brně.
Už od května 2018 musí i ve vaší organizaci nebo firmě běžet správa osobních údajů podle evropského nařízení jako na drátkách. A protože je důležité GDPR řešit z hlediska práva i z hlediska informačních systémů, měl seminář dvě části:
Nejprve se představil právník Jan Tomíšek mladší, který se v advokátní kanceláři ROWAN LEGAL věnuje právu informačních technologií. Rozebral GDPR po právní stránce a vysvětlil, jak nařízení ovlivňuje správu údajů v HR.
Pak vystoupil ředitel Vemy Jan Tomíšek starší. Ten vysvětlil, jaké změny v systémech připravují a jak Vema svým klientům s GDPR pomůže.
Anonymizace? Může být velmi obtížná
„Už jste slyšeli něco o GDPR?” zahájil svoji přednášku Jan Tomíšek mladší – a zvedl se les rukou. Ale na následující otázku, jaká je definice osobního údaje, se přihlásilo o poznání méně lidí. Proto Jan Tomíšek začal vysvětlením důležitých termínů jako:
- osobní údaje a jejich zpracování,
- správce, zpracovatel a subjekt údajů,
- zvláštní kategorie údajů,
- anonymizace údajů
- nebo co všechno jsou osobní údaje a co patří mezi citlivé údaje.
„Představte si svůj informační systém ve velmi zjednodušené podobě. Na řádku jsou všechny údaje o zaměstnanci. Vy odstraníte jméno a rodné číslo, jenže ani díky tomu nebudou data anonymní. Když připíchnete v práci na nástěnku papír s pracovní pozicí, předchozími zkušenostmi, věkem a platem, všichni zaměstnanci budou hned vědět, o koho jde,” vysvětlil Jan Tomíšek, co všechno lze považovat za osobní údaje.
Svou prezentaci odstartoval Jan Tomíšek výkladem důležitých termínů.
Postupně se propracoval k detailům, které se týkají GDPR v HR.
7 principů GDPR
GDPR je nařízení Evropského parlamentu. „Znamená to, že nepotřebujeme českou legislativu, aby pro nás GDPR od 25. května platilo. Čeští zákonodárci ovšem připravují Zákon o zpracování osobních údajů, který upraví dopady GDPR do českého právního řádu. Ale i když tento zákon včas neschválí, na GDPR to nic nemění. Termín je závazný,” řekl Jan Tomíšek, aby upozornil na to, že přijímání české zákona zřejmě pozdržely volby.
Pochopit základní myšlenky GDPR proto musí každý zaměstnavatel. Takových principů je hned sedm, ale pozor – pouze ten sedmý je skutečná novinka. Všechny ostatní principy jsou už teď součástí dosavadní české legislativy:
- Každé zpracování osobních údajů musí mít právní základ, který označuje oprávněnost legislativního postupu. Tím je například souhlas, právní povinnost (do té spadá třeba podání daňového přiznání za zaměstnance) nebo oprávněný zájem.
- Údaje můžete zpracovávat jen pro určitý účel, který vyplývá z právního základu.
- Můžete shromažďovat jen údaje, které potřebujete pro svůj účel zpracování údajů, a uchovávat je pouze po nezbytně dlouhou dobu.
- Údaje, které zpracováváte, musí být přesné.
- Při zpracování údajů musíte být transparentní – aby o něm váš zaměstnanec věděl a mohl ho kontrolovat.
- Zpracovávané osobní údaje musíte zabezpečit – například před ztrátou nebo neoprávněnou manipulací s nimi.
- Máte povinnost zajistit soulad s nařízením a umět tento soulad aktivně prokázat.
GDPR v HR systémech
GDPR je podle Jana Tomíška mladšího problémem pro zaměstnavatele, kteří nefungují ani v souladu se stávající českou legislativou o ochraně osobních údajů. „Pro tyhle firmy a organizace bude GDPR opravdovou revolucí. GDPR významně nemění principy ochrany osobních údajů – především narůstají sankce za nedodržení,” upozornil právník.
Z hlediska HR by se měly firmy a organizace řešit například na:
- Správný způsob skladování vyžádaných i nevyžádaných životopisů.
- Vyhledávání informací o uchazečích na sociálních sítích – možné je projít profesní síť LinkedIn, za nevhodné se považuje kontrolovat Facebook.
- Vyžadování jen těch informací o budoucím zaměstnanci, které jsou pro zaměstnavatele skutečně relevantní.
- Řádné informování zaměstnanců i uchazečů o zpracování jejich údajů.
„Tématem z každodenního života je třeba monitoring zaměstnanců. Je to sledování, jestli v e-mailech nejsou viry, nahrávání hovorů na call centru či kamerový systém ve skladu. GDPR to nezakazuje, ale říká, že zaměstnavatel musí monitorování minimalizovat, zdůvodnit jeho nezbytnost a mít k němu právní základ,” vysvětlil Jan Tomíšek ještě před přestávkou další z témat, která jsou pro zaměstnavatele klíčová.
Po přestávce Jan Tomíšek mladší svoji přednášku dokončil. Podrobněji rozebral například anonymizaci. Pokud skončí účel zpracování dat nebo člověk odvolá svůj souhlas se zpracováním dat, musíte údaje zlikvidovat:
- smazáním
- nebo anonymizací.
To se naštěstí netýká dat, která mají organizace jako zálohu. Jenže v situaci, kdy je potřeba se k záloze vrátit, ji musíte uvést do souladu se stávající databází údajů a údaje pročistit, aby splňovaly požadavky GDPR.
GDPR: některé potřebné funkce jsou ve Vemě už teď
Po svém synovi převzal mikrofon Jan Tomíšek starší, ředitel společnosti Vema. Ve své přednášce vysvětlil další postup:
- Vema se aktuálně zabývá technickým řešením GDPR, ale organizační opatření si musí udělat každá firma či instituce na míru.
- Smluvní vztahy budou upravené novými smlouvami, které Vema včas předloží svým klientům.
„Spoustu funkcí potřebných kvůli GDPR ve Vemě najdete už teď. Pro větší organizace je důležité omezení osob, které mají přístup k vybraným datům. Díky logování a auditování monitorujete provoz informačního systému. A hlavně je vyřešený problém, který trápí spoustu lidí – jak ukládat takzvaná nestrukturovaná data. Pomůže vám s tím aplikace Personalistika, kde můžete už teď izolovat a ukládat data do centrální databáze,” vysvětlil posluchačům Jan Tomíšek starší.
Vema sice chystá kvůli GDPR nový produkt, ale některé povinnosti v systému zařídíte už teď.
Jan Tomíšek starší v sále brněnských veletrhů vysvětlil, jak na to.
S novým produktem zvládnete naplnit práva zaměstnanců
S ostatními procesy, které vyžaduje GDPR, pomůže nový produkt. Ten bude včas k dispozici a vyřeší například splnění práv zaměstnanců:
- Systém Vema umožní zaměstnancům jednoduše přímo v Portálu zjistit, které údaje o nich organizace shromažďuje. Pro každého člověka bude možné vytisknout souhrn dat také v PDF.
- Systém Vema umožní vyexportovat data do strojově čitelného formátu XML, aby si je mohl zaměstnanec odnést.
- U každé položky v databázi bude připojená informace o její životnosti. Díky tomu můžete data po expiraci selektivně mazat.
„Nařízení GDPR lze aplikovat pouze v rámci technických a finančních možností. Proto nebudeme selektivní zapomínání údajů implementovat do starších verzí aplikací Vema nebo do archivů. Představte si, jak byste mazali vybrané položky například na pásce, kterou máte uloženou v archivu,” vysvětlil na příkladu Jan Tomíšek starší.
Ve druhé části své přednášky zmínil Jan Tomíšek starší další důležité téma – smluvní vztahy Vemy a jejích klientů, kteří využívají V4 Cloud nebo outsourcing mezd. Kvůli GDPR bude potřeba změnit znění smlouvy. „Návrhy dodatků ke smlouvám připravíme pravděpodobně v březnu. Chceme, aby byly co nejkvalitnější. Zatím stále sledujeme výklady legislativy a všem klientům zajistíme dodatek v souladu s GDPR,” řekl Jan Tomíšek.
