Máte zaměstnance a GDPR neřešíte? Děláte chybu, týká se totiž i vás

12. 2. 2018
Doba čtení: 4 minuty

Sdílet

Ilustrační obrázek
Ilustrační obrázek
Společnost, jakožto zaměstnavatel, vystupuje jednoznačně jako správce osobních údajů svých zaměstnanců, minimálně v tomto ohledu se vás GDPR určitě týká.

Do pracovních smluv je třeba kromě mlčenlivosti ohledně osobních údajů, se kterými se zaměstnanci během činnosti setkají, zakomponovat i informace o zpracování osobních údajů zaměstnanců, které zpracováváte jako zaměstnavatel. V odborné poradně vysvětluje povinnosti Anna Freimannová z advokátní kanceláře eLegal.

Dotaz

Máme 4 zaměstnance, veškerou agendu kolem zaměstnanců včetně mezd spravuji sama jako jednatelka a zaměstnanec firmy. Týká se nás GDPR, a když ano, co musím dělat?

Odpověď

Na Váš dotaz lze s určitostí odpovědět na jedinou věc: GDPR (a obecně ochrana osobních údajů) se Vás týká. Jelikož ale neznáme více podrobnosti o povaze činnosti Vaší společnosti, nelze jednoznačně říct konkrétní informace, mohu tedy jen doporučit obecné rady:

1. Co se týká oblasti zaměstnanců

Společnost, jakožto zaměstnavatel, vystupuje jednoznačně jako správce osobních údajů svých zaměstnanců, minimálně v tomto ohledu se Vás GDPR určitě týká. Do pracovních smluv je třeba kromě mlčenlivosti ohledně osobních údajů, se kterými se zaměstnanci během činnosti setkají, zakomponovat i informace o zpracování osobních údajů zaměstnanců, které zpracováváte jako zaměstnavatel.

Podrobně jsou náležitosti dané informace stanoveny v čl. 12 GDPR či ust. § 11 zákona o ochraně osobních údajů – ve zkratce jde o informování o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány (v tomto případě pro plnění zaměstnavatelových povinností, plnění povinností plynoucí z pracovní smlouvy), kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, po jakou dobu budou osobní údaje uchovávány (ve Vašem případě po dobu trvání pracovního poměru a dále podle požadavků jednotlivých předpisů), dále musí být subjekt informován o jeho právech: např. o právu přístupu k osobním údajům, právu na opravu osobních údajů, či např. právu na vysvětlení ohledně zpracování osobních údajů (podrobně lze dohledat v zákoně na ochranu osobních údajů či nově od května v GDPR).

Pokud zaměstnance informujete, nemusíte evidovat, že tyto informace vzal na vědomí, nicméně pokud necháte zaměstnance tuto informaci podepsat, bude to pro Vás lepší z důvodu prokazatelnosti.

Ochranu osobních údajů musíte dodržovat i v souvislosti s vedením docházky, případné vedením knihy jízd, vypisováním inzerátů…

2. Obchodní vztahy

Pokud uzavíráte obchodní vztahy s dodavateli, během kterých nedochází k předání osobních údajů dalších subjektů (dodavatelé tedy nevystupují v pozici zpracovatelů osobních údajů), bylo by vhodné do vašich smluv zakomponovat opět informace o tom, jaké údaje zpracováváte proto, že je potřeba na jejich základě plnit smlouvu, fakturovat. Informace by měla obsahovat údaje uvedené výše v odst. 1 aplikované na příslušný obchodní vztah (tedy se už nebude jednat o plnění zaměstnavatelovi povinnosti, ale o plnění nezbytné pro smluvní vztah apod.).

Pokud od dodavatelů odebíráte služby/zboží a během této spolupráce dochází ke zpracování osobních údajů třetích subjektů (např. dodavatelé softwaru), vystupujete v pozici správce osobních údajů a dodavatel v pozici zpracovatele. Takový vztah je třeba mít taktéž upravený co do osobních údajů – ideálně smlouvou o zpracování osobních údajů či zárukou ohledně osobních údajů poskytnutou ve smluvních podmínkách s daným dodavatelem/zpracovatelem.

3. Kontakt s veřejností

Pokud se věnujete nějakým způsobem marketingu, je to kapitola sama o sobě, kterou doporučujeme nastudovat – pokud zasíláte obchodní sdělení, musíte mít k tomu řádný důvod (buďto zjednodušeně posílat v návaznosti na předchozí plnění ze smlouvy týkající se obdobného předmětu plnění anebo získat souhlas k zasílání takových obchodních sdělení správným způsobem).

4. Zabezpečení osobních údajů

Veškeré osobní údaje, které uchováváte (o zaměstnancích, případných klientech, dodavatelích apod.) je třeba mít zabezpečené – to znamená zejména na počítači, na kterém s údaji pracujete, mít spolehlivý antivir, dodržovat bezpečné chování na internetu, při přenosu dokumentů se chovat opatrně – dochází-li k přenášení údajů např. na přenosných médiích, mít je zašifrované, jsou-li data uchovávány v kartotéce, musí být řádně uzamykatelná a měli byste mít do ní ošetřené oprávněné přístupy.

Dále je třeba vzít do úvahy např. kamery, webové stránky, cookies. Všechny tyto věci, ale nejenom ony, vyžadují individuální posouzení a proto Vám na základě Vašeho obecného dotazu nemůžeme poskytnout konkrétní rady, jak jsem již psala výše. Doporučuji se tedy chovat ve vztahu k ochraně osobních údajů v souladu s jejími zásadami – to znamená se zásadou např. účelového omezení (to znamená zpracovávat pouze za účelem, za kterým byly osobní údaje shromážděny), minimalizace údajů (zpracovávat osobní údaje pouze v nutném rozsahu), přesnosti (údaje by měly být přesné a aktuální), omezení uložení (tedy po zákonem stanovené době archivace osobních údajů tyto odstranit) důvěrnosti (přijmout vhodná technická a organizační opatření) či např. transparentnosti (subjekt osobních údajů řádně informovat o tom, že a jakým způsobem zpracováváte jeho osobní údaje).

Autor článku

Kolektiv autorů serverů Podnikatel.cz a BusinessCenter.cz

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).