Vlákno názorů k článku Máte zaměstnance a GDPR neřešíte? Děláte chybu, týká se totiž i vás od Petr - Dobrý den, dovolil bych si zásadně nesouhlasit s poskytovanými...

Dobrý den,
dovolil bych si zásadně nesouhlasit s poskytovanými informacemi v bodě 1. + 2.

Z jakého důvodu tvrdíte, že "Do pracovních smluv je třeba kromě ...., zakomponovat i informace o zpracování osobních údajů zaměstnanců, které zpracováváte jako zaměstnavatel." ?
GDPR jasně říká v Článek 6 - Zákonnost zpracování
1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;

Tak jako není nutné řešit souhlasem osobní údaje, které potřebuji k podnikatelské činnosti, např. vystavení FA, tak není nutné dávat do pracovních smluv deset odstavců o tom, že budu zpracovávat zaměstnanecká data pro výplaty a v rámci pracovní činnosti. Dovolím si tedy tvrdit, že nic takového není nutné do smlouvy dávat.

To stejné platí pro první odstavec bodu 2.
Nezlobte se, ale věta "bylo by vhodné do vašich smluv zakomponovat opět informace o tom, jaké údaje zpracováváte proto, že je potřeba na jejich základě plnit smlouvu, fakturovat" je naprosto nesmyslná. Přesně tyto informace způsobují, že GDPR je brán jako jakýsi paskvil z EU a přitom to není pravda.

Ještě mi na konci článku chybí informace, že jako podnikatel mohu dostat pokutu 20M €, to by byla zlatá tečka ;)
Ale nyní vážně, vyvraťte mi prosím můj názor.

Jinak celkově k GDPR - proč nemáte v každém článku minimálně odkaz na CZ verzi? Nebo alespoň v sekci GDPR, kde máte jen odkaz na 101/2000? Viz. http://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679
Nebylo by špatné, aby si to každý alespoň trochu přečetl. 88 stránek není moc a prolétnout se to dá.

Dovolím si reagovat na váš příspěvek od konce. Osobně si nemyslím, že průměrný občan přečtením GDPR získá přehled wo co go. Spíše bych se obával, že se v tom zcela ztratí. Takže já osobně bych redakci nezazlíval absenci odkazu na českou verzi GDPR.

Již několikrát jsem psal "nestrašme se pokutama". Není to tak hrozné, jak se prezentuje. Chcete-li o nich vědět více, zatejte do googlu "Obecná informace o GDPR - Tomáš Neugebauer".

A nyní k tomu hlavnímu. Souhlasím s vámi, že informace o zpracování osobních údajů by neměla být zapracována do pracovní smlouvy. Tím však se souhlasem s vámi jsem na konci. Tedy informace o zpracování osobních údajů musí zaměstnavatel zaměstnanci poskytnout i ve vámi uváděných případech, avšak, podle mého názoru, v jiném dokumentu, než v pracovní smlouvě. Informace je povinen poskytnout na základě čl. 13 GDPR. Na tento problém není možné nahlížet stejně, jako na udělení souhlasu. Jedná se o úplně jinou problematiku.

V praxi to bude například znamenat, že zaměstnavatel, kterému mzdy spracovává externí účetní musí svého zaměstnance informovat o tom, že požadované údaje potřebuje pro výpočet jeho mzdy, a že je k zpracování poskytne firmě XYZ, s kterou má o tom uzavřenu smlouvu (i o tom je nutné informovat).

Dobrý den,
pokud se snažím o něčem informovat, tak uvést odkaz nebo rovnou gdpr ke stáhnutí na webu považuji za základní a vhodnou věc. Zda průměrný občan je či není schopen bych nechal na něm.

Pokud souhlasíte s tím co jsem napsal, i částečně, pak jsou ale informace v článku zavádějící. V případě konkrétního dotazu o zpracování dat majitelkou by si paní majitelka hlavně měla dát dohromady celkový proces jak zpracovává osobní údaje zákazníků, zaměstnanců, jak je chrání atd.
Zmiňujete čl. 13, který je v Oddílu 2 (Informace a přístup k osobním údajům) a souhlasím s tou dokumentací. Podle mého názoru čl. 13, 14 a 15 vlastně jasně říká, co by každý podnikatel měl vědět a mít na papíře. Dokonce se domnívám, že ty body jsou napsány schválně jako pro laiky, aby se v požadavcích gdpr mohl orientovat kdokoliv. I to je důvod proč by si to měl každý přečíst.

Imho běžný podnikatel neřeší zas tolik věcí, aby se mu nemohl poskytnout v nějakém seriálu jednoduchý návod jak na GDPR. Seriál - zákazníci, zaměstnanci, dodavatelé s os.úd. (většinou asi jen zpracování účetnictví), jak na kontakty z webu (souhlas). Pak technické věci jako uchovávání, chování se k OÚ, interní dokument. Čas ještě je, i když je možné, že vlastně stále nikdo pořádně neví co je nutné a co ne :)

Na závěr bych měl dotaz.
Článek 6 - Zákonnost zpracování uvádí
1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu..

Článek 13 - Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů uvádí
1. Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:

Článek 6 říká, že pro osobní údaje nezbytné pro splnění smlouvy nemusím mít vyloženě souhlas. Ale pokud bych chápal čl. 13, tak musím v okamžiku získání osobních údajů poskytnout X informací. Pak by např. v zam. smlouvě musel být odkaz na interní dokument s informacemi, na jakémkoliv objednávkovém formuláři odkaz na veřejný dokument, atd. atd.
Rozumím tomu správně?

V otázce odkazu na GDPR se asi neshodneme. Jeho neuvedení bych autorovi opravdu nevyčítal, neboť člověk, který je schopen se v něm orientovat je též schopen si jej dohledat. To je totiž mnohem jednodušší, než pochopit o čem je. Navíc, pouhé jeho přečtení je nedostatečné. Je nutné jej nastudovat a, ač nechci nikoho podceňovat, to vyžaduje jistou úroveň právních znalostí a znalostí problematiky ochrany osobních údajů.

Co se týče mého částečného souhlasu s tím, co jste v předcházejícím příspěvku uvedl, nebyl bych až tak kategorický, tedy, že se jedná o zavádějící informaci. Já jsem uvedl své stanovisko, že já bych pro uvedení těchto informací zvolil jiný způsob, než pracovní smlouvu, neboť uvádět to v ní se mi zdá nevhodné. Přemýšlím, zda existuje ustanovení, které by to znemožňovalo. Žádné se mi nevybavuje (to však neznamená, že neexistuje). Takže, prosím, chápejte to jako doporučení vhodnějšího způsobu řešení, nikoliv jako kategorické zamítnutí řešení (pokud si zaměstnavatel dokáže svůj způsob řešení obhájit, je to jeho věc). Já však bych to řešil tak, jak již jsem uvedl, tedy v souladu s vašim názorem.

Plně souhlasím s vámi, že při zavedení souladu s GDPR je nejprve nutné provést tzv. inventuru, tedy analyzovat současný stav ochrany osobních údajů. To je startovní blok pro zavedení souladu s GDPR v jednotlivé firmě nebo společnosti.

GDPR pojímá ochranu osobních údajů jako abstraktní oblast. Není tedy dost možné vytvořit vámi zamýšlený seriál jako praktický návod k řešení u jednotlivých firem. Tak jednoduché to opravdu není.

Jak již jsem uvedl, nemůžete slučovat problematiku udělení souhlasu s problematikou poskytování informací. Jedná se o řešení dvou oblastí a ke každé je nutné přistupovat samostatně. Z GDPR vyplývá kdy a jaké informace musí být poskytnuty subjektu údajů. To však neznamená, že se mu poskytne odkaz na interní předpis. Nejen, že zde uvedené údaje jsou pro něj nepodstatné, ale podstatnější je, že ty, které má získat v něm pravděpodobně nebudou. Jedná se především o informace o účelu zpracování po zaměstnanci požadovaných osobních údajů, případně včetně informace o zpracovateli.

Souhlasím s názorem, že kvůli GDPR není třeba překopat pracovní smlouvy, i když určitě je dobré je zkontrolovat, zda tam není nějaký problém (zda nejsou v rozporu a případně provést úpravy). Mnoho údajů se zpracovává na základě zákona, hodně na základě oprávněného zájmu atd. Souhlas je třeba např. v případě, kdy posílám zaměstnance na školení (předávám jeho jméno a příjmení pořádající agentuře), objednávám mu letenky na služební cestu, nebo pokud na něj beru dotace a tím pádem také posílám jeho osobní údaje dále v souvislosti s prací/dotací. Tyto věci ale není třeba ošetřit přímo v pracovní smlouvě - zaměstnanec podepíše klasický souhlas a je hotovo. Pokud jde o odkaz na informační zdroje, osobně odkazují také na 2 knížky - Praktický průvodce GDPR (Žůrek) a GDPR pro praxi (Navrátil akol.). GDPR přímo či nepřímo ovlivňuje mnoho oblastí od pracovního práva po dodavatelské vztahy, jde o užitečné knížky od pánů s vazbami na UOOU, kde ono ovlivnění zohledňují.

Pozor na souhlas od zaměstnance. Vztah zaměstnavatele a zaměstnance není rovnocenný. Navíc souhlas znamená možnost jej odvolat se všemi konsekvencemi. Pracovní záležitosti v souladu s pracovním právem bude bez souhlasu se zpracováním osobních údajů. V příkladě zahraniční služební cesty, je pojištění, objednávka letenky bez souhlasu se zpracováním osobních údajů. Proč mít souhlas se služební zahr. cestou bez ziskaneho souhlasu se zpráv. Osobních údajů, který nesmím vynucovat?