GDPR a docházkové systémy: 7 otázek, které pomohou vaší společnosti

Které informace o zaměstnancích jsou podle GDPR považovány za osobní údaje? Přibyly na seznam nové položky, ke kterým je třeba od května přistupovat jako k osobním údajům?

Osobní údaje vnímá GDPR velmi široce. Rozsah osobních údajů, které konkrétní zaměstnavatel zpracovává, stanovuje on sám podle toho, k jakému účelu je potřebuje.

Obecně jsou osobními údaji základní identifikační údaje zaměstnance, údaje související s jeho zaměstnáním, docházkou, odměňováním, pracovní pozicí, výkonností, hodnocením a plněním pracovních povinností. Dále to mohou být údaje související s pracovním úrazem, informace uvedené v životopisu, fotografie, kamerové záznamy a podobně.

Málokdo však ví, že do této skupiny patří například i geolokační údaje (např. z GPS zařízení ve vozidlech), záznam o aktivitách zaměstnance v systémech zaměstnavatele (např. logy na ochranu elektronických systémů), vzdálené přístupy do systémů (např. IP adresa, ze které se přihlásil), přihlašovací údaje do systémů zaměstnavatele včetně hesla, výpis telefonických hovorů či sledování internetu (pokud je to v organizaci zavedené).

GDPR řeší i žádosti o přístup k osobním údajům. Znamená to, že zaměstnanec nebo klient si může kdykoliv vyžádat přístup ke svým údajům? Může také sledovat, jak je s nimi nakládáno a v případě nespokojenosti zamítnout práva k nakládání s nimi?

Zaměstnanec má vždy právo na přístup ke svým údajům. To znamená, že osoba, jejíž údaje zpracováváte, má právo od vás získat potvrzení nejen o tom, zda se zpracovávají její osobní údaje, ale také o jaké se jedná, odkud je máte, komu je poskytujete, jak dlouho je uchováváte a zda je přenášíte mimo EU.

Dotyčná osoba má také právo získat kopii všech osobních údajů, které se o ní zpracovávají nebo zpracovávaly. Zpracovatelé na to musí být připraveni. Musí mít neustálý přehled o tom, kde a jaké údaje o konkrétní osobě zpracovává.

Jestliže má dotyčná osoba podezření na nezákonné zpracovávání dat, může provozovatele požádat o omezení jejich zpracovávání. Dotyčná osoba se může přímo obrátit na Úřad pro ochranu osobních údajů (dále jen Úřad), zdá má žádat o soudní ochranu podáním žaloby.

Co se týče samotného vymazání údajů, dotyčná osoba má toto právo pouze v omezených případech uvedených v článku 17 GDPR. Jiné je to v oblasti direct marketingu. V případě, že dotyčná osoba zpochybňuje používání osobních údajů, musí dojít k jejich okamžitému vymazání.

Od května se musí interní firemní regulace na ochranu osobních údajů shodovat s GDPR. Na jaká nejdůležitější pravidla bychom neměli zapomenout při vytváření vnitřní směrnice?

Situace a pracovní prostředí se liší od organizace k organizaci, proto je tato otázka velmi široká a odpovídat na ni je náročné. Vnitřní směrnice jedné organizace vůbec nemusí reflektovat potřeby jiné.

Zásadní změnou, kterou přináší GDPR, je, aby organizace přijaly opatření s ohledem na rizika, která při zpracovávání ohrožují práva a svobody fyzických osob. Organizace se tedy musí zamyslet nad tím, jaká újma může v případě bezpečnostního incidentu nastat dotčeným osobám, ne jim.

Například pro direct marketingovou agenturu představuje ztráta databáze e-mailových kontaktů značnou škodu, k újmě na právech dotčených osob však nemusí vůbec dojít. Opatření je nutné zvolit s ohledem na riziko pro dotčené osoby a pravděpodobnost jejich materializace.

Opatření by měla být preventivní (zaměřená na prevenci incidentů) i reaktivní (co uděláme, když k incidentu dojde). Využívat by tak měly podle možností nové technologie, které jim agendu usnadní. Je třeba se také zamyslet nad tím, zda není možné zpracovávaná data minimalizovat, kdy je potřebné zavést pseudonymizáciu a které údaje je třeba šifrovat.

Je však nezbytné zavést nejen opatření týkající se bezpečnosti, ale je nutné upravit samotné procesy. Tyto změny umožní efektivně reagovat na žádosti dotčených osob (např. žádost osoby o přístup k údajům, o přenositelnost údajů, o zapomenutí…) a včas plnit oznamovací povinnost vůči Úřadu a dotčeným osobám v případě závažného bezpečnostního incidentu. Společnost si musí stanovit, jakým způsobem bude zjišťovat, zda se stal bezpečnostní incident.

Jakými změnami musí projít docházkové systémy pro zaměstnance? Je nutné provést úpravy v souladu s GDPR?

Za používání zvolené technologie vždy odpovídá zaměstnavatel, a tudíž i provozovatelé a vlastníci osobních údajů. Zejména jsou povinni určit účel zpracování, rozsah zpracovávaných údajů, právní základ a potřebnou dobu zpracovávání.

Musí se také zohlednit typ využité technologie a posoudit, zda je třeba splnit další specifické povinnosti podle GDPR (např. provést posouzení dopadů podle čl. 35 apod.) nebo dokonce získat souhlas dotčených osob.

Biometrické docházkové systémy budou například vyžadovat svobodný, informovaný a prokazatelný souhlas zaměstnance. Podle GDPR ho budete muset řádně informovat, umožnit mu souhlas odmítnout (pro tento případ je třeba mít připravenou okamžitou rovnocennou alternativu – například kartu) a jeho souhlas zdokumentovat.

Dodavatel technologie obvykle nemá možnost zmíněné povinnosti za provozovatele splnit, může mu však s jejich plněním částečně pomoct.

Dochádzkové systémy by měly být nadizajnované tak, aby měly z technického hlediska nastavená dostatečná bezpečnostní opatření (například odolnost proti vnějším hrozbám). Provozovatelům by měly také umožnit využívat nová bezpečnostní opatření zavedená v GDPR, zejména pseudonymizáciu a šifrování dat. Šifrování by mělo být nastaveno podle nejnovějších bezpečnostních standardů. Chráněný (např. zaheslovaný) přístup do systému patří k základním opatřením.

Samozřejmostí by měla být také funkce přehledného uložení a vyhledávání dat, aby provozovatel mohl rychle reagovat, například na žádosti dotčených osob o přístupu k údajům nebo o jejich úpravu. Důležitá je také možnost vymazání dat.

Systém by měl zaměstnavatelům usnadnit řízení přístupu k datům. Měl by mít kontrolu nad obsahem dat v systému, nad vstupy do systému, možnost udělovat přístupy a měnit rozsah oprávnění přístupu interním uživatelům systému.

V případě biometrického systémů je podstatnou vlastností i jeho přesnost. Minimalizuje se tak riziko nesprávného vyhodnocení shody při použití terminálu. Výhodou je možnost použití stejného zařízení také pro zaměstnance, kteří souhlas se zpracováním biometrických údajů odmítli udělit.

Pokud firma spolupracuje se subjekty ze zemí mimo Evropské unie, musí regulovat údaje, které s touto spoluprací souvisejí?

GDPR se vztahuje na zpracování osobních údajů v rámci činnosti provozovny provozovatele nebo zpracovatele v rámci Evropské unie bez ohledu na to, zda se zpracování provádí v Unii nebo ne. GDPR nevylučuje z ochrany osobní údaje příslušníků zemí mimo Unii. Pokud tedy provádíte činnost na území Unie, GDPR se na vás vztahuje.

Co pro firmu znamená tzv. princip zajištění a prokazování dodržování GDPR?

Princip zajištění a prokazování dodržování GDPR (tzv. accountability) je jedním ze základních pilířů GDPR. To znamená, že každý provozovatel by měl být schopen Úřadu prokázat, že postupuje v souladu s GDPR. Firmy by měly vypracovat pravidla pro plnění GDPR v písemné formě. To však nestačí. Nastavená opatření je třeba neustále kontrolovat a aktualizovat. Zároveň je potřeba dokumentovat vše, co se děje s osobními údaji, pořizovat záznamy, logy a vést příslušnou dokumentaci.

Vypracování i té nejpřesnější směrnice nezajistí soulad s GDPR. Klíčové jsou dobře nastavené procesy ve vaší organizaci.

Jaká je minimální a maximální výše pokuty, která hrozí firmě při porušení GDPR?

Za porušení GDPR můžete dostat pokutu až do výšky 20 milionů eur nebo 4 % celkového světového ročního obratu za předchozí účetní rok (rozhoduje, která částka je vyšší).

Za odpovědi děkujeme advokátní kanceláři Bužek & Terem advokáti. Článek má pouze informativní charakter a nepředstavuje právní posouzení ani právní radu. Při řešení konkrétních případů je nutné kontaktovat odborníka na téma ochrany osobních údajů nebo právního poradce.