GDPR
Dobrý den, jsme s.r.o., máme 4 zaměstnance, veškerou agendu kolem zaměstnanců včetně mezd spravuji sama jako jednatelka a zaměstnanec firmy. Týká se nás GDPR a když ano, co musím dělat?
Odpověď
Dobrý den, Marie,
Děkujeme za otázku.
Na Váš dotaz lze s určitostí odpovědět na jedinou věc: GDPR (a obecně ochrana osobních údajů) se Vás týká. Jelikož ale neznáme více podrobnosti o povaze činnosti Vaší společnosti, nelze jednoznačně říct konkrétní informace, mohu tedy jen doporučit obecné rady:
1. Co se týká oblasti zaměstnanců
Společnost, jakožto zaměstnavatel, vystupuje jednoznačně jako správce osobních údajů svých zaměstnanců, minimálně v tomto ohledu se Vás GDPR určitě týká. Do pracovních smluv je třeba kromě mlčenlivosti ohledně osobních údajů, se kterými se zaměstnanci během činnosti setkají, zakomponovat i informace o zpracování osobních údajů zaměstnanců, které zpracováváte jako zaměstnavatel.
Podrobně jsou náležitosti dané informace stanoveny v čl. 12 GDPR či ust. § 11 zákona o ochraně osobních údajů – ve zkratce jde o informování o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány (v tomto případě pro plnění zaměstnavatelových povinností, plnění povinností plynoucí z pracovní smlouvy), kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, po jakou dobu budou osobní údaje uchovávány (ve Vašem případě po dobu trvání pracovního poměru a dále podle požadavků jednotlivých předpisů), dále musí být subjekt informován o jeho právech: např. o právu přístupu k osobním údajům, právu na opravu osobních údajů, či např. právu na vysvětlení ohledně zpracování osobních údajů (podrobně lze dohledat v zákoně na ochranu osobních údajů či nově od května v GDPR).
Pokud zaměstnance informujete, nemusíte evidovat, že tyto informace vzal na vědomí, nicméně pokud necháte zaměstnance tuto informaci podepsat, bude to pro Vás lepší z důvodu prokazatelnosti.
Ochranu osobních údajů musíte dodržovat i v souvislosti s vedením docházky, případné vedením knihy jízd, vypisováním inzerátů...
2. Obchodní vztahy
Pokud uzavíráte obchodní vztahy s dodavateli, během kterých nedochází k předání osobních údajů dalších subjektů (dodavatelé tedy nevystupují v pozici zpracovatelů osobních údajů), bylo by vhodné do vašich smluv zakomponovat opět informace o tom, jaké údaje zpracováváte proto, že je potřeba na jejich základě plnit smlouvu, fakturovat. Informace by měla obsahovat údaje uvedené výše v odst. 1 aplikované na příslušný obchodní vztah (tedy se už nebude jednat o plnění zaměstnavatelovi povinnosti, ale o plnění nezbytné pro smluvní vztah apod.).
Pokud od dodavatelů odebíráte služby/zboží a během této spolupráce dochází ke zpracování osobních údajů třetích subjektů (např. dodavatelé softwaru), vystupujete v pozici správce osobních údajů a dodavatel v pozici zpracovatele. Takový vztah je třeba mít taktéž upravený co do osobních údajů – ideálně smlouvou o zpracování osobních údajů či zárukou ohledně osobních údajů poskytnutou ve smluvních podmínkách s daným dodavatelem/zpracovatelem.
3. Kontakt s veřejností
Pokud se věnujete nějakým způsobem marketingu, je to kapitola sama o sobě, kterou doporučujeme nastudovat – pokud zasíláte obchodní sdělení, musíte mít k tomu řádný důvod (buďto zjednodušeně posílat v návaznosti na předchozí plnění ze smlouvy týkající se obdobného předmětu plnění anebo získat souhlas k zasílání takových obchodních sdělení správným způsobem).
4. Zabezpečení osobních údajů
Veškeré osobní údaje, které uchováváte (o zaměstnancích, případných klientech, dodavatelích apod.) je třeba mít zabezpečené – to znamená zejména na počítači, na kterém s údaji pracujete, mít spolehlivý antivir, dodržovat bezpečné chování na internetu, při přenosu dokumentů se chovat opatrně – dochází-li k přenášení údajů např. na přenosných médiích, mít je zašifrované, jsou-li data uchovávány v kartotéce, musí být řádně uzamykatelná a měli byste mít do ní ošetřené oprávněné přístupy.
Dále je třeba vzít do úvahy např. kamery, webové stránky, cookies. Všechny tyto věci, ale nejenom ony, vyžadují individuální posouzení a proto Vám na základě Vašeho obecného dotazu nemůžeme poskytnout konkrétní rady, jak jsem již psala výše. Doporučuji se tedy chovat ve vztahu k ochraně osobních údajů v souladu s jejími zásadami – to znamená se zásadou např. účelového omezení (to znamená zpracovávat pouze za účelem, za kterým byly osobní údaje shromážděny), minimalizace údajů (zpracovávat osobní údaje pouze v nutném rozsahu), přesnosti (údaje by měly být přesné a aktuální), omezení uložení (tedy po zákonem stanovené době archivace osobních údajů tyto odstranit) důvěrnosti (přijmout vhodná technická a organizační opatření) či např. transparentnosti (subjekt osobních údajů řádně informovat o tom, že a jakým způsobem zpracováváte jeho osobní údaje).
Přeji pěkný den,
S pozdravem
Anna Freimannová
ČLÁNKY DO MAILU