GDPR to má těžké. Jde o rozhodnutí Bruselu, který se v očích mnoha popularitě zrovna netěší, a přichází v době, kdy firmy jedou mnohdy na více než sto procent a další byrokracie je pro ně jen přítěží. Nepřekvapí proto, že podle šetření Hospodářské komory zasáhne nařízení až pětinu firem nepřipravenou. Situaci komplikuje i fakt, že dosud není na světě tuzemský adaptační zákon k GDPR.
„Ač ochrana osobních údajů u nás platí od roku 1992, ač úřad zřízený zákonem o ochraně osobních údajů kontroluje povinnosti tímto zákonem uložené už téměř dvě desetiletí, pro mnohé, kteří si se zákonem starosti nedělali, jako by šlo o novou věc,“ vzkazuje Úřad pro ochranu osobních údajů, který se snaží krotit vášně, které podle něho pod vidinou zisku občas rozdmýchávají i „poradenské společnosti“.
Na svých stránkách se úřad tématu věnuje velmi přehledně, nabízí i praktické krátké shrnutí. Například vyvrací zkazky o trezorech s certifikátem GDPR. „Je třeba, aby dotčené listinné dokumenty, pokud se s nimi nepracuje, byly uchovávány v uzamčené zásuvce stolu nebo v uzamčené skříni a nebyly ponechávány v neuzamčené místnosti, pokud z ní odchází ten, kdo s nimi má pracovat. K údajům uloženým v počítači nebo jiném elektronickém zařízení může mít na základě správně zvoleného hesla přístup vždy jen ten, kdo je pověřen, aby s určitými údaji pracoval,“ vysvětluje podrobnosti úřad.
O co jde v praxi?
Úřad pro ochranu osobních údajů v tom má jasno – pro menší firmu, která vede jen evidenci smluv se svými zákazníky a evidenci zaměstnanců, se toho zase až tak moc nezmění. Bude nutné vést záznam o činnostech, které se s osobními daty provádějí. „Lze doporučit připravit si na to formulář s kolonkami a do nich zapsat informace požadované v článku 30 GDPR – záznam o evidenci smluv, o evidenci zaměstnanců, případně o slevovém programu pro zákazníky a podobně,“ doporučují odborníci z úřadu. Druhou obecně platnou povinností je ohlašování případů porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů do 72 hodin od zjištění incidentu. „Úřady a jiné orgány, které rozhodují o právech občanů, a patří k nim i školy, budou muset jmenovat pověřence pro ochranu osobních údajů, osobu, která se bude této problematice věnovat a upozorňovat na případné nedostatky. Nemusí to přitom nutně znamenat nové pracovní místo. „Pověřencem může být jak vlastní zaměstnanec, tak externista,“ doplňuje úřad.
MPO: Pomoc podnikatelům
Ministerstvo průmyslu vydalo praktickou Příručku pro přípravu malých a středních firem na GDPR. V ní se podnikatelé například dočtou, jaké mají povinnosti jako správci údajů, i to, jak mají svou firmu na GDPR připravit. Nechybí ani modelové příklady z praxe včetně tipů, jak řešit konkrétní situace. Příručka nezapomíná ani na personální a zaměstnaneckou agendu a také poradí, jak pracovat s osobními údaji zákazníků. Součástí jsou také užitečné odkazy na stránky, kde lze dohledat další informace. Publikace je ke stažení na webových stránkách ministerstva, my vám z ní přinášíme několik zajímavých tipů.
Výběrové řízení? Pozor na dotazníky
Společnost se rozhodla vypsat výběrové řízení na nového vedoucího IT oddělení. Do výběrového řízení se přihlásilo 12 kandidátů, z nichž 7 postoupilo do užšího kola. Vhodný kandidát na volnou pozici byl skutečně nalezen a byla s ním uzavřena pracovní smlouva. Životopisy a další údaje 7 uchazečů, kteří se dostali do užšího výběru, si firma chtěla ponechat pro budoucí možné použití. Osobní údaje neúspěšných uchazečů zůstaly roztroušeny na úsecích pracovníků, kteří se podíleli na výběru pracovníka Špatně. Jak to má tedy vypadat? Všechny osobní údaje úspěšného uchazeče se staly součástí jeho osobního spisu. Osobní údaje neúspěšných uchazečů, kteří nepostoupili do dalšího kola, byly na všech dotčených úsecích skartovány. Životopisy uchazečů, kteří postoupili do druhého kola, byly skartovány na všech úsecích kromě personálního oddělení, které je převedlo do elektronické podoby a zařadilo do databáze potenciálních zájemců o zaměstnání ve firmě a informovalo o tom dotčené uchazeče.
GPS ve služebních automobilech
Jelikož opakovaně docházelo ke zneužívání osobních automobilů pro soukromé účely, rozhodla se firma umísit do nich GPS lokátory. Zaměstnance o této novince informovala s tím, že se jedná o opatření zahrnující novou formu zpracování osobních údajů zaměstnanců, které bylo zavedeno v zájmu zaměstnavatele. GPS lokátory byly v provozu nepřetržitě a monitorovaly každé použití služebního automobilu kterýmkoli zaměstnancem firmy. Špatně – jednalo se o nepřípustný permanentní monitoring subjektů údajů. Záznamy z GPS lokátorů, které byly v provozu nepřetržitě, byly navíc zařazovány jako trvalá součást evidence služebních cest – knihy jízd. Kromě toho, že šlo o permanentní monitoring subjektu údajů, jednalo se dále i o zpracování osobních údajů bez právního důvodu. A správně? Provoz GPS lokátorů byl spouštěn pouze nahodile, a to dle klíče, který zaměstnancům nebyl znám. Jeho prostřednictvím byla zajišťována nepermanentní, avšak přesto efektivní kontrola využívání prostředků svěřených zaměstnavatelem zaměstnanci. Po období, za něž byly vyúčtovány služební cesty a pracovník správy vozového parku vše ověřil, byl proveden výmaz těchto údajů.
Realita v malých podnicích
Pan František je fyzickou osobou podnikající – vlastníkem truhlářské firmy, která má pět zaměstnanců. Objednávky přijímá výlučně osobně na své provozovně, neprovozuje e-shop. Takže jak začít? Analýzou. Majitel pověřil svou asistentku, aby do tabulky sepsala, odkud osobní údaje do firmy přicházejí, kdo a jakým způsobem s nimi nakládá, v jakých evidencích jsou vedeny, po jakou dobu uchovávány a komu mimo firmu jsou předávány. Výsledek: osobní údaje klientů do firmy proudí výlučně skrze objednávkový systém na provozovně, osobní údaje zaměstnanců pak prostřednictvím kontaktu s majitelem v případě, že je čas od času zapotřebí přijmout nového zaměstnance. Osobní údaje zaměstnanců i uchazečů o zaměstnání ve firmě byly po celou dobu od zahájení činnosti firmy shromažďovány v šanonu v kanceláři majitele, s osobními údaji klientů průběžně pracovali zaměstnanci pověření realizací jednotlivých zakázek a po skončení případu byly souhrnně evidovány též v papírové podobě u majitele, současně i v jeho počítači. Osobní údaje zaměstnanců firma předávala každý měsíc poskytovateli stravenek, externí mzdové účetní a dále orgánům finanční a daňové správy, orgánům správy sociálního zabezpečení.
Na co se zaměřit
Na co se tedy zaměřit pro naplnění podmínek GDPR? K osobním údajům klientů i zaměstnanců musí mít přístup pouze přesně vymezený okruh osob. S poskytovatelem zaměstnaneckých benefitů – stravenek – bude uzavřena smlouva o zpracování osobních údajů, případně součástí smlouvy o poskytování stravenek bude i ujednání o způsobu zpracování osobních údajů zaměstnanců. Podobná smlouva o zpracování údajů bude i s externí mzdovou účetní. Dále je nutné se zaměřit na zabezpečení údajů v počítači – tedy aby k jeho obsahu neměl nikdo kromě majitele přístup. Pozornost je nutné věnovat i zabezpečení osobních dat v provozovně firmy – uzamykatelné místo, k němuž má přístup přesně vymezený okruh osob. A v neposlední řadě je nutné stanovit povinnost zaměstnanců ve vztahu k nakládání s osobními údaji zákazníků a způsob hlášení eventuálních problémů s jejich zpracováním, jako jsou nepřesnosti zjištěné v osobních údajích nebo ztráta či odcizení dokumentů obsahujících osobní údaje. Majitel firmy musí také věnovat pozornost třídění a skartování dokumentace obsahující osobní údaje v případech, kdy už ji nepotřebuje pro splnění daného účelu a kdy mu ve skartaci nebrání žádná zákonná povinnost, a publikovat ve své provozovně a na webových stránkách firmy pravidla pro ochranu osobních údajů zákazníků.
Zdroj: MPO, UOOU, redakčně upraveno