Názory k článku Máte zaměstnance a GDPR neřešíte? Děláte chybu, týká se totiž i vás
-
Tomáš Neugebauer (neregistrovaný)
Ano, mate zcela pravdu, neboť GDPR je z drtivé většiny o papírech. S těmi praktickými radami je to prochu problematické, neboť GDPR je značně obecné a praktické je až u konkrétního správce. Konkrétnější informaci o tom můžete získat, napíšeteli do googlu: Jak postupovat při vytváření souladu s GDPR
-
Konkrétní praktické rady obecně napsat nejde. Bohužel je každý zaměstnavatel natolik specifický, že musí to své podnikání ošetřit sám. Podstata popsána byla správně a úplně. Konkrétní provedení je ale poněkud složité. Například pošlete nového zaměstnance na vstupní lékařskou prohlídku. A on přinese od lékaře jednoduché schopen. Prim, zbavili jste se problému. Ale pokud přinese od lékaře zprávu, že trpí závratí a nemůže pracovat proto ve výšce vyšší než 150 cm, máte problém. Taková zpráva totiž představuje cosi z kategorie zvláštní (dosud citlivý údaj) a pak jste povinen dělat spoustu věcí navíc. Nebo nezapomněli jste informovat zaměstnance, kam všude jejich osobní data postoupíte? Co takhle ČSSZ, pojišťovna, Finanční úřad, a třeba exekutoři atp? A už jste stihli poučit své zaměstnance o tom, jaké jejich osobní údaje zpracováváte a proč? A že jejich osobní údaje budete uchovávat 50 let po té, co u Vás skončí? Podobných povinností je ještě několik. A je potřeba je splnit. Dřív či později přijde kontrola. A ta bude chtít od zaměstnavatele doložit, že povinnosti splnil! Takže vše musíte dokumentovat, zapisovat, nechat si podepsat atp.
-
Mfrd (neregistrovaný)
Problém je typový skartační a archivační řád dle kterého spousta společností pracovala. Tam jsou uvedeny roky pro uchovávání, které nekorespondují s lhůtami dle zákonů. No a GDPR zavedlo, pokud není důvod nebo souhlas tak smazat. Tohle je potřeba opravit. Proto MVCR publikovalo dokument, který vypisuje dle kterých zákonů a jak dlouho archivovat. Www.mvcr.cz/gdpr
-
Tomáš Neugebauer (neregistrovaný)
Typový skartační rejstřík je pouze metodická pomůcka, jež má napomoci k vytvoření si mimo jiné vhodných skartačích lhůt pro své dokumenty. Předpokládám, že v příštím vydání MV ČR zohlední, nebo alespoň upozorní na potřebu souladu s GDPR. Je mnoho dokumentů obsahujících osobní údaje, jejichž skartační lhůta není žádným právním předpisem upravena a správci si budou muset u nich skartační lhůtu stanovit.
Dokument, který zmiňujete, je dobrou pomůckou. Avšak nelze na něj zcela spoléhat, neboť není komplexní. Například chybí evidence výkonu rizikové práce (§ 40 zákona č. 258/2000 Sb.; 10, resp. 40 let)
-
Mfrd (neregistrovaný)
Těch chybějících záležitostí bude více, neboť nikdo nemá úplný přehled o všem. Otázka je však jak se k tomu postavit?
Zlikvidovat mzdové listy starší 30 let? Nebo počkat nějaké přechodné období až se k tomu postaví ČSSZ?
Problém je v tom, že ČSSZ nepřijímá dokumenty k prokázaní skutečnosti, pokud něco v evidenci chybí v průběhu, ale až při žádosti o důchod. (Mohlo se změnit)Pak by zbrklá likvidace všeho dle GDPR byla problém. Ve své podstatě by bylo nejvhodnější kdyby ČSSZ všem vygenerovala Informativní osobní list důchodového pojištění.
-
Tomáš Neugebauer (neregistrovaný)
Pokud vím, tak se nic nezměnilo.
Pochopitelně, že těch chybějících záležitostí bude více (sami uvádějí, že se nejedná o úplný výčet).
Právní požadavek na mzdové listy je 30 let. Doporučeno je 45 let. Tedy 50 % nárůst, což není málo. Mzdové listy není možné pojmout jako archiválie. Z hlediska GDPR není možné pro těch 15 let najít jinou podmínku zákonného zpracování, než souhlas subjektu údajů.
-
Mfrd (neregistrovaný)
Samozřejmě, že dle GDPR nelze. Dostáváme se do morálního dilema. Stát není přívětivý. viz průběžné doplňování chybějících dokladů. Dále neinformuje o důsledcích GDPR a instituce lidem neslouží.
Odpověď jedné paní z archivu větší firmy. Budu je mít i nadále, neboť neustále chodí lidi a potřebují něco doložit ČSSZ. Přitom je to firma fungující nepřetržitě přes 100 let a podklady k evidenci důchodu vždy zasílala.
Nemohla bych se dívat, jak pak lidi brečí...
Co říct při tomto vědomí skutečného stavu?
-
Tomáš Neugebauer (neregistrovaný)
Upřimně? Je to problém těch lidí. Proč si neuchovali pracovní smlouvy, evidenční list důchodového pojištění atd. Proč při odchodu se zaměstnání si nevyžádali potvrzení o délce zaměstnání? Proč si neudělali kopii zápočtového listu? Samozřejmě můžete namítnou, že před rokem 1990 bylo téměř nemožné si něco okopírovat, avšak tehdy bylo mnohem snažší si vyžádat vydání potvrzení o délce zaměstnání. Takže nejen dříve, ale i po 25. květnu v prvé řadě je to problém těch lidí. - V jednom zaměstnání jsem měl kolegu, který měl za celý svůj produktivní věk uschovány výplatní pásky. - Někdo holt ano, někdo ne.
-
Tomáš Neugebauer (neregistrovaný)
Samozřejmě záleží na jedinci. Já například mám dokumenty od prvního zaměstnání. Jak již jsem uvedl v předcházejícím příspěvku, u některých lidí je to normální si schovávat doklady - např. i výplatní pásky. Kdo tak nečiní, musí nést případné následky. Nic víc, nic míň.
-
Mfrd (neregistrovaný)
Ano, právo přeje připraveným, to máte plnou pravdu.
Avšak v mnoha případech vše ze strany zaměstnance i zaměstnavatele proběhlo v pořádku a chyba mohla nastat i u ČSSZ.Samozřejmě paní jsem řekl, že GDPR říká jednu věc a v jejím případě pozor na pravidlo za dobrotu na žebrotu. Poukazuji však, že stát nedělá osvětu. Případně nemění své chování aby vycházel lidem vstříc a dokumenty mohli doplňovat průběžně. O své doklady mohou přijít i přírodním neštěstím (povodně), požárem atp.
V případě tohoto konkrétního případu, by bylo vhodné aby po dané době přebral doklady oblastní archiv, tak jak se to dělá např. ve školství. Po určitou dobu uchovává škola pak se předává oblastnímu archivu. Ve vašem případe BOZP uvádíte v případě ochrany zdraví uchovávání až 40 let a podklady pro důchod máme pouze 30 let. (Takhle to však zákonodárce nastavil)
Mnoho rodin má ve své historii zkušenosti se žádostí o důchod a řešilo diskontinuitu danou 2 světovou válkou, problémem rozdělení Československa, další lidi řeší problém divokého porevolučního období, kdy spousta firem vznikala a zanikala atp. A nikdo netuší co bude pro ČSSZ akceptovatelné jako dokument k prokázání doby za x desítek let.
-
Mfrd (neregistrovaný)
Plně souhlasím. Jen jsem rozvinul diskuzi v tomhle případě(důchody), kdy GDPR mění šmahem podmínky i pro všechny občany a to negativně. A přitom se bavíme, že GDPR je hlavně věc k řešení pro firmy. A na lidi se zapomíná, defacto by měli všichni co pracují déle než 30 let pro jistotu požádat všechny zaměstnavatele před 30 let o zaslání kopie mzdových listů, či potvrzení doby zaměstnání a příjmů za dané období. A to urychleně do 25.5 :-) Problém i je v tom, že ty co vědí, že se uchovává 45 let je mnohdy ani ve snu nenapadne, že po 25.5 se to lusknutím prstu změní na 30 let.
Osobně sice nemám mzdové listy, ale uchovávám ELDP a už jsem si v minulosti dělal i výpis z ČSSZ.Pak je otázka rizika, či GDPR ihned implementovat, v některých případech např. v archivu společnosti postupně a ne hned plně.
Znáte to, pokud chcete něco nebo někoho sabotovat, tak začnete příkazy plnit doslovně. Švejk a nadporučík Lukáš. :-)
-
Tomáš Neugebauer (neregistrovaný)
Závěrem vašeho příspěvku jste mi připomněl studentská léta, konkrétně téma stávky japonských železničářů, kteří začali důsledně dodržovat všechny předpisy a japonské železnice se svou příslovečnou přesností téměř zkolabovaly.
Váš nápad s vyžádáním si kopie mzdových listů je dobrým příkladem pro využití GDPR v praxi. Opět mi to něco připomnělo. A to rok 1990, kdy se rušila kádrová oddělení, a kdy se kádrové spisy předávaly jednotlivým zaměstnancům, kterých se týkaly. Možná by nebylo od věci, kdyby mzdové listy po uplynutí skartační lhůty 30 let se neskartovávaly, ale předávaly osobě, které se týkají. Pochopitelně, že by to znamenalo nárůst administrativy a další problémy, ale jeden by to řešilo.
-
Tomáš Neugebauer (neregistrovaný)
Bohužel máte zcela pravdu. Třicet let je velmi dlouhá doba. Lidé se přestěhují, zemřou. Vhodná by byla novela zákona na 45 let a osvěta mezi lidmi o nutnosti uchovávat si doklady. Bohužel stále přežívá socialistický názor zaměstnavatel se o mě musí postarat, on to musí archivovat (a to neplatí jen o mzdových listech). Zaměstnanci si neuvědomují, že on to nepotřebuje. Těmi, kdo to potřebují jsou oni (nabízí se možnost placené služby, neboť archivace je poměrně nákladná věc).
-
Mfrd (neregistrovaný)
:-) Pochopil jsem Vás správně, jde o to proč by zaměstnanec měl apriory předpokládat porušování povinnosti ze strany zaměstnavatele. Pro tyto případy má ČSSZ pravomoc kontrol u zaměstnavatelů.
Pokud jsou plněny povinnosti zaměstnavatele a ČSSZ, tak zaměstnanec nepotřebuje žádný z těchto dokladů.Ale tady nejde o na kterou stranu dát důraz. Zaměstnance či zaměstnavatele. Je zřejmé, že příslušné orgány nesledovali vznik GDPR a neanalyzovaly jeho dopady v prostředí ČR. Dnes to komentoval předseda Městského soudu v Praze p. Vávra.
-
Mfrd (neregistrovaný)
Největší gól je v tom, že 18 let tady máme typový skartační rejstřík, který porušuje současný zákon na ochranu osobních údajů.
paragraf 5 odst 1 písmeno e.uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů a osobní údaje anonymizovat, jakmile je to možné,
-
Petr (neregistrovaný)
Dobrý den,
dovolil bych si zásadně nesouhlasit s poskytovanými informacemi v bodě 1. + 2.Z jakého důvodu tvrdíte, že "Do pracovních smluv je třeba kromě ...., zakomponovat i informace o zpracování osobních údajů zaměstnanců, které zpracováváte jako zaměstnavatel." ?
GDPR jasně říká v Článek 6 - Zákonnost zpracování
1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;Tak jako není nutné řešit souhlasem osobní údaje, které potřebuji k podnikatelské činnosti, např. vystavení FA, tak není nutné dávat do pracovních smluv deset odstavců o tom, že budu zpracovávat zaměstnanecká data pro výplaty a v rámci pracovní činnosti. Dovolím si tedy tvrdit, že nic takového není nutné do smlouvy dávat.
To stejné platí pro první odstavec bodu 2.
Nezlobte se, ale věta "bylo by vhodné do vašich smluv zakomponovat opět informace o tom, jaké údaje zpracováváte proto, že je potřeba na jejich základě plnit smlouvu, fakturovat" je naprosto nesmyslná. Přesně tyto informace způsobují, že GDPR je brán jako jakýsi paskvil z EU a přitom to není pravda.Ještě mi na konci článku chybí informace, že jako podnikatel mohu dostat pokutu 20M €, to by byla zlatá tečka ;)
Ale nyní vážně, vyvraťte mi prosím můj názor.Jinak celkově k GDPR - proč nemáte v každém článku minimálně odkaz na CZ verzi? Nebo alespoň v sekci GDPR, kde máte jen odkaz na 101/2000? Viz. http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679
Nebylo by špatné, aby si to každý alespoň trochu přečetl. 88 stránek není moc a prolétnout se to dá. -
Tomáš Neugebauer (neregistrovaný)
Dovolím si reagovat na váš příspěvek od konce. Osobně si nemyslím, že průměrný občan přečtením GDPR získá přehled wo co go. Spíše bych se obával, že se v tom zcela ztratí. Takže já osobně bych redakci nezazlíval absenci odkazu na českou verzi GDPR.
Již několikrát jsem psal "nestrašme se pokutama". Není to tak hrozné, jak se prezentuje. Chcete-li o nich vědět více, zatejte do googlu "Obecná informace o GDPR - Tomáš Neugebauer".
A nyní k tomu hlavnímu. Souhlasím s vámi, že informace o zpracování osobních údajů by neměla být zapracována do pracovní smlouvy. Tím však se souhlasem s vámi jsem na konci. Tedy informace o zpracování osobních údajů musí zaměstnavatel zaměstnanci poskytnout i ve vámi uváděných případech, avšak, podle mého názoru, v jiném dokumentu, než v pracovní smlouvě. Informace je povinen poskytnout na základě čl. 13 GDPR. Na tento problém není možné nahlížet stejně, jako na udělení souhlasu. Jedná se o úplně jinou problematiku.
V praxi to bude například znamenat, že zaměstnavatel, kterému mzdy spracovává externí účetní musí svého zaměstnance informovat o tom, že požadované údaje potřebuje pro výpočet jeho mzdy, a že je k zpracování poskytne firmě XYZ, s kterou má o tom uzavřenu smlouvu (i o tom je nutné informovat).
-
Petr (neregistrovaný)
Dobrý den,
pokud se snažím o něčem informovat, tak uvést odkaz nebo rovnou gdpr ke stáhnutí na webu považuji za základní a vhodnou věc. Zda průměrný občan je či není schopen bych nechal na něm.Pokud souhlasíte s tím co jsem napsal, i částečně, pak jsou ale informace v článku zavádějící. V případě konkrétního dotazu o zpracování dat majitelkou by si paní majitelka hlavně měla dát dohromady celkový proces jak zpracovává osobní údaje zákazníků, zaměstnanců, jak je chrání atd.
Zmiňujete čl. 13, který je v Oddílu 2 (Informace a přístup k osobním údajům) a souhlasím s tou dokumentací. Podle mého názoru čl. 13, 14 a 15 vlastně jasně říká, co by každý podnikatel měl vědět a mít na papíře. Dokonce se domnívám, že ty body jsou napsány schválně jako pro laiky, aby se v požadavcích gdpr mohl orientovat kdokoliv. I to je důvod proč by si to měl každý přečíst.Imho běžný podnikatel neřeší zas tolik věcí, aby se mu nemohl poskytnout v nějakém seriálu jednoduchý návod jak na GDPR. Seriál - zákazníci, zaměstnanci, dodavatelé s os.úd. (většinou asi jen zpracování účetnictví), jak na kontakty z webu (souhlas). Pak technické věci jako uchovávání, chování se k OÚ, interní dokument. Čas ještě je, i když je možné, že vlastně stále nikdo pořádně neví co je nutné a co ne :)
Na závěr bych měl dotaz.
Článek 6 - Zákonnost zpracování uvádí
1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu..Článek 13 - Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů uvádí
1. Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:Článek 6 říká, že pro osobní údaje nezbytné pro splnění smlouvy nemusím mít vyloženě souhlas. Ale pokud bych chápal čl. 13, tak musím v okamžiku získání osobních údajů poskytnout X informací. Pak by např. v zam. smlouvě musel být odkaz na interní dokument s informacemi, na jakémkoliv objednávkovém formuláři odkaz na veřejný dokument, atd. atd.
Rozumím tomu správně? -
Tomáš Neugebauer (neregistrovaný)
V otázce odkazu na GDPR se asi neshodneme. Jeho neuvedení bych autorovi opravdu nevyčítal, neboť člověk, který je schopen se v něm orientovat je též schopen si jej dohledat. To je totiž mnohem jednodušší, než pochopit o čem je. Navíc, pouhé jeho přečtení je nedostatečné. Je nutné jej nastudovat a, ač nechci nikoho podceňovat, to vyžaduje jistou úroveň právních znalostí a znalostí problematiky ochrany osobních údajů.
Co se týče mého částečného souhlasu s tím, co jste v předcházejícím příspěvku uvedl, nebyl bych až tak kategorický, tedy, že se jedná o zavádějící informaci. Já jsem uvedl své stanovisko, že já bych pro uvedení těchto informací zvolil jiný způsob, než pracovní smlouvu, neboť uvádět to v ní se mi zdá nevhodné. Přemýšlím, zda existuje ustanovení, které by to znemožňovalo. Žádné se mi nevybavuje (to však neznamená, že neexistuje). Takže, prosím, chápejte to jako doporučení vhodnějšího způsobu řešení, nikoliv jako kategorické zamítnutí řešení (pokud si zaměstnavatel dokáže svůj způsob řešení obhájit, je to jeho věc). Já však bych to řešil tak, jak již jsem uvedl, tedy v souladu s vašim názorem.
Plně souhlasím s vámi, že při zavedení souladu s GDPR je nejprve nutné provést tzv. inventuru, tedy analyzovat současný stav ochrany osobních údajů. To je startovní blok pro zavedení souladu s GDPR v jednotlivé firmě nebo společnosti.
GDPR pojímá ochranu osobních údajů jako abstraktní oblast. Není tedy dost možné vytvořit vámi zamýšlený seriál jako praktický návod k řešení u jednotlivých firem. Tak jednoduché to opravdu není.
Jak již jsem uvedl, nemůžete slučovat problematiku udělení souhlasu s problematikou poskytování informací. Jedná se o řešení dvou oblastí a ke každé je nutné přistupovat samostatně. Z GDPR vyplývá kdy a jaké informace musí být poskytnuty subjektu údajů. To však neznamená, že se mu poskytne odkaz na interní předpis. Nejen, že zde uvedené údaje jsou pro něj nepodstatné, ale podstatnější je, že ty, které má získat v něm pravděpodobně nebudou. Jedná se především o informace o účelu zpracování po zaměstnanci požadovaných osobních údajů, případně včetně informace o zpracovateli.
-
Jarda Kuba (neregistrovaný)
Souhlasím s názorem, že kvůli GDPR není třeba překopat pracovní smlouvy, i když určitě je dobré je zkontrolovat, zda tam není nějaký problém (zda nejsou v rozporu a případně provést úpravy). Mnoho údajů se zpracovává na základě zákona, hodně na základě oprávněného zájmu atd. Souhlas je třeba např. v případě, kdy posílám zaměstnance na školení (předávám jeho jméno a příjmení pořádající agentuře), objednávám mu letenky na služební cestu, nebo pokud na něj beru dotace a tím pádem také posílám jeho osobní údaje dále v souvislosti s prací/dotací. Tyto věci ale není třeba ošetřit přímo v pracovní smlouvě - zaměstnanec podepíše klasický souhlas a je hotovo. Pokud jde o odkaz na informační zdroje, osobně odkazují také na 2 knížky - Praktický průvodce GDPR (Žůrek) a GDPR pro praxi (Navrátil akol.). GDPR přímo či nepřímo ovlivňuje mnoho oblastí od pracovního práva po dodavatelské vztahy, jde o užitečné knížky od pánů s vazbami na UOOU, kde ono ovlivnění zohledňují.
-
Mfrd (neregistrovaný)
Pozor na souhlas od zaměstnance. Vztah zaměstnavatele a zaměstnance není rovnocenný. Navíc souhlas znamená možnost jej odvolat se všemi konsekvencemi. Pracovní záležitosti v souladu s pracovním právem bude bez souhlasu se zpracováním osobních údajů. V příkladě zahraniční služební cesty, je pojištění, objednávka letenky bez souhlasu se zpracováním osobních údajů. Proč mít souhlas se služební zahr. cestou bez ziskaneho souhlasu se zpráv. Osobních údajů, který nesmím vynucovat?
-
Hana (neregistrovaný)
GDPR je neskutečný paskvil, ale nařízení vzešlo z EU, takže se nediví, protože tam se z těch chytrých hlav málokdy vylíhne něco něco normálního. A souhlasím, že je v tom zmatek, člověk by neměl dělat nic jiného, než pořád zjišťovat co může a co nemůže. A funkce pověřence - to je třešnička na dortu, fakt. ...
-
Vlado (neregistrovaný)
Dobrý den.
Potřeboval bych poradit jak je to pro Autopůjčovny? Do teď jsem psal do smlouvy RČ, č.OP, č. ŘP a dělal jsem si kopii OP a ŘP pro případ nehody nebo odcizení vozidla popř. pro pozdější komunikaci s úřady ohledně pokut za rychlost atd. Smlouvy archivuji v psané podobě v šanonech. Jsme mala firma (Jednatel firmy a já jakožto správce autopůjčovny a jediný zaměstnanec). Jak moc se nás GDPR dotkne? Postačí jen klientovi dát podepsat souhlas se zpracováním osobních údajů? Co když mi klient odmítne poskytnout souhlas? Nemůžu podmiňovat poskytnuti služby tím že mi musí podepsat souhlas.. V případě že odmítne co můžu použit? (jen jméno a příjmení? nebo třeba č. OP a č. ŘP?). Předem děkují za odpověď V. Zorin -
Sss (neregistrovaný)
Zpracovat informace můžete, jen o tom musíte klienta informovat a řádně zabezpečit. Pokud Vám podepisuje nějaký papír s těmi údaji které Vám dal tak jeho součástí může být větička že zákazník souhlasí se zpracováním pro ten a ten účel. Pokud Vám klient nedá údaje (se souhlasem). tak vám je nedá a nic si o vás nepůjčí.
Jestli jde o papírovou formu tak papíry uchovávat bezpečně (v zamčené skříni atp). Pokud máte data počítači umístěném v nějaké recepci, kde se může potloukat kde kdo a hrozí jeho snadné odcizení je vhodné data v počítači šifrovat.
ČLÁNKY DO MAILU