25. květen 2018 přináší účinnost nařízení GDPR. Pro snazší přípravu připravilo Ministerstvo průmyslu a obchodu ČR společně s Asociací malých a středních podniků a živnostníků ČR manuál, který je určený malým a středním firmám na. Obsahem je hned několik praktických příkladů.
Manuál vysvětluje mimo jiné, jak postupovat, pokud chce firma do svých vozidel instalovat GPS systémy: Zneužívali auta pro osobní účely. Firma do nich proto dala GPS. Co na to GDPR? Stejně tak například vysvětluje, jaká jsou pravidla při vytváření evidence zákazníků, kteří si u firmy objednávají určité zboží: Jak si správně vytvářet evidenci o zákaznících a jejich objednávkách dle GDPR?
Další situací, při které bude muset být zohledněno nařízení GDPR, je výběrové řízení, při kterém uchazeči předkládají životopisy plné osobních údajů.
Firma vypsala výběrové řízení na vedoucího IT oddělení. Inzerát publikovala na svém webu a současně si vyhledání vhodného kandidáta zadala u externí personální agentury. Do výběrového řízení se přihlásilo 12 kandidátů, z nichž 7 postoupilo do užšího kola.
Vhodný kandidát na volnou pozici byl nalezen a byla s ním uzavřena pracovní smlouva. Životopisy a další údaje 7 uchazečů, kteří se dostali do užšího výběru, si firma chtěla ponechat pro budoucí možné použití. Osobní údaje neúspěšných uchazečů zůstaly po realizaci výběrového řízení nekoordinovaně roztroušeny jak v personální agentuře, tak i na úsecích pracovníků, kteří se podíleli na výběru pracovníka (personální oddělení, úsek ředitele, právník).
Čtěte také: Mohou pokuty za porušení GDPR ohrozit vaši firmu?
Z pohledu GDPR je tento postup nepřijatelný, protože není zajištěna odpovídající bezpečnost údajů. Životopisy všech neúspěšných uchazečů zůstaly zaarchivovány na personálním oddělení, ostatní úseky byly požádány o jejich skartaci. Neúspěšní uchazeči, kteří postoupili do druhého kola, nicméně nebyli informováni o tom, že jejich údaje jsou u zaměstnavatele uchovány pro eventuální potřebu budoucích výběrových řízení.
Pro uchování údajů neúspěšných uchazečů, kteří do druhého kola nepostoupili, nezbyl žádný právní důvod.
Dalším krokem, kterým je porušeno nařízení, je, že nedošlo k výmazu nepotřebných údajů a žádný z neúspěšných uchazečů neobdržel informace o způsobu dalšího zpracování svých údajů. Všechny osobní údaje úspěšného uchazeče se staly součástí jeho osobního spisu.
Osobní údaje neúspěšných uchazečů, kteří nepostoupili do dalšího kola, byly na všech dotčených úsecích skartovány. Životopisy uchazečů, kteří postoupili do druhého kola, byly skartovány na všech úsecích kromě personálního oddělení, které je převedlo do elektronické podoby a zařadilo do databáze potenciálních zájemců o zaměstnání ve firmě a informovalo o tom dotčené uchazeče.
Aby bylo dodrženo nařízení GDPR, musí dojít k výmazu nepotřebných údajů, všechny dotčené subjekty údajů musí obdržet informace o dalším zpracování svých údajů a současně musí být zajištěna odpovídající úroveň zabezpečení údajů.
Příklad z praxe byl převzat z Příručky pro přípravu malých a středních firem na GDPR