Sledovat:
Někteří o GDPR již slyšeli, někteří o něm četli. Jisté je, že se nás všech bude od 25. 05. 2018 týkat. Ale už nyní vznikají kolem GDPR nejasnosti, dezinformace a nedorozumění.
GDPR zasahuje do téměř všech aspektů běžného života. Počínaje zpracováním Vašich dat obecním úřadem v obci kde bydlíte, přes zpracování Vašich dat e-shopem, na kterém si objednáte zboží, až po zpracování vašich dat Vaším zaměstnavatelem.
My se na tomto místě budeme věnovat GDPR z pohledu personalistiky a mzdové oblasti. Tato oblast je totiž v mnoha ohledech odlišná od pohledu například od jednorázového nákupu na e-shopu.
GDPR je platné v celé EU. Jedná se o Nařízení (EU) 2016/679 (General Data Protection Regulation), o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Nejjednodušší a nejčastěji použitý popis je ten, že se jedná o nařízení, které má výrazně zvýšit ochranu osobních dat občanů.
Nikoli. V různých podobách byla ochrana osobních údajů součástí zákonů všech zemí EU (a nejen nich). GDPR je však revoluční v tom, že sjednocuje postupy a pravidla po všechny země EU.
Osobním údajem, je jakékoliv údaj fyzické osoby, pomocí kterého je možné danou osobu identifikovat. Jedná se například o kontaktní údaje (jméno a příjmení, datum narození, rodné číslo, IČO, adresa, IP adresa počítače apod.), dále biometrické údaje (otisk prstu), genetické údaje, údaje o zdravotním stavu osoby apod.
Zpracování osobních údajů je jakákoliv operace s osobními údaji – přepsání údajů do PC, nahlížení do nich, jejich úprava apod.
Udělení souhlasu je vždy dobrovolné. Nemůžete k němu být nijak nuceni, na formuláři nesmí být předvyplněné políčko se souhlasem apod. Nicméně u takzvaných zákonných údajů (například údaje nezbytné pro uzavření pracovní smlouvy a následnou evidenci mezd, odvodů pojistného apod.) se souhlas nevyžaduje a vyžadovat ani nemůže.
Ano, tuto možnost musíte mít. Například pokud uzavíráte smlouvu o poskytnutí internetového připojení a nesouhlasíte s využitím e-mailu pro zasílání nabídek, nemůže být neposkytnutí souhlasu důvodem k neuzavření smlouvy. Pokud je však zákonný důvod ke zpracování údajů (například údaje nezbytné pro uzavření pracovní smlouvy a následnou evidenci mezd, odvodů apod.), tuto možnost nemáte. Bez zákonem vyžadované evidence údajů není možné smlouvu uzavřít.
Správce osobních údajů je osoba/společnost, která má osobní údaje k dispozici a určuje účely a způsob nakládání s nimi.
Zpracovatel osobních údajů je osoba/společnost, která s údaji nakládá (třídí, archivuje, na pokyn správce odesílá například faktury apod.), nerozhoduje však o účelu jejich zpracování.
Jedná se vlastně o vymazání dat, které o Vás daný správce má. Avšak je potřeba upozornit, že právo být zapomenut není možné uplatnit vždy, byť je v médiích toto právo uváděno jako neomezitelné.
Aby mohl správce zlikvidovat osobní údaje, musí být splněna alespoň jedna z těchto podmínek:
Právo být zcela zapomenut neznamená vždy povinnost úplného a nenávratného smazání všech údajů, které o Vás daná společnost/úřad eviduje a které je možné smazat. Nejde o to, že by se firma mohla rozhodnout, že některé údaji si přeci jen ponechá. Jedná se o technickou možnost data uložená v backup souborech a archivech smazat. V případě smazání dat ze záloh se jedná nejen o časově a technicky náročnou proceduru, ale v některých případech by došlo k porušení integrity a ztrátě dat ostatních osob. Pokud je to technicky náročné nebo není možné, GDPR dovoluje správci data v archivech ponechat. To ale neznamená, že s nimi pak může nakládat. V případě obnovy dat musí správce vaše osobní údaje z „živého“ systému odstranit. Správce tedy musí zajistit, aby nebylo možné s Vašimi osobními údaji nakládat.
V případě pracovněprávního vztahu (agentura práce je vaším přímým zaměstnavatelem) jsou vaše osobní údaje zpracovány z „právního důvodu“ dle GDPR. Vaše jméno, adresa bydliště, datum narození, rodné číslo, mzda apod. jsou vše údaje, které jsme povinni evidovat, zpracovávat a archivovat z důvodu, které nám ukládá některý ze zákonů (např. zákon č. 586/1992 Sb. o dani z příjmu; zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení; zákon č. 262/2006 Sb., zákoník práce; zákon č. 435/2004 Sb., zákon o zaměstnanosti atd.).
Velmi přehledně jsou povinnosti zaměstnavatele popsány přímo Úřadem pro ochranu osobních údajů v článku z roku 2013 - https://www.uoou.cz/zamestnavatel-jako-spravce-osobnich-udaju/d-6171. Z pohledu GDPR se tedy pro agenturní zaměstnávání nic nemění.
Ano, je vaším právem o vymazání požádat. Ale vzhledem ke skutečnosti, že například mzdové listy je zaměstnavatel povinen archivovat 30 let, nebude možné „zapomenout“ Vaše data, která jsou vyžadována zákonem.
Na příchod GDPR se připravujeme pečlivě a s maximálním důrazem na správnost a soulad s nařízením. Vzhledem ke skutečnosti, že již nyní nakládáme s osobními údaji v souladu se zákonem 101/2000 Sb., o ochraně osobních údajů, se u nás nejedná o žádné zásadní změny. Například jako správce osobních údajů jsme na ÚOOÚ zaregistrováni již od začátku účinnosti zákona 101/2000 Sb., o ochraně osobních údajů a úspěšně jsme absolvovali řádnou kontrolu ÚOOÚ.