Magazín

Píšeme o tom, co má v HR smysl číst.

Nábor

Údaje za miliony aneb Jak nedostat pokutu za GDPR

Údaje za miliony aneb Jak nedostat pokutu za GDPR

Když letos zaplavily česká média zprávy o tom, že jsou na světě první sankce za porušení GDPR, kdekdo začal panikařit. Máte k tomu důvod i ve vašem HR oddělení?

7 minut čtení
19. listopadu
Údaje za miliony aneb Jak nedostat pokutu za GDPR

Osobní údaje nad zlato

Potkali jste kdysi během příjemného pohovoru pracanta, který by se vám ve firmě časem mohl hodit? Uložili jste si jeho telefonní číslo, kdybyste ho třeba za dva roky potřebovali? Pozor, i podobná zdánlivá maličkost vás může kvůli GDPR stát desítky tisíc. Osobní údaje jsou dnes totiž cennější než zlato.

zdvižený prst

To si neuvědomila ředitelka jedné české školy, kterou zaměstnankyně po ukončení pracovního poměru požádala o odstranění veškerých svých fotografií. Jaké bylo její překvapení, když se na sebe i přesto dál usmívala z fotek na Facebooku ústavu. Výzvu k nápravě „svědomitá“ ředitelka ignorovala a nakonec ji to stálo několik tisíc…

Sice byste po porušování zásad GDPR asi dopadli spíš jako tahle ředitelka než aerolinky British Airways, které dostaly za únik dat od stovek tisíc cestujících slušnou pokutu pět miliard korun, ale i tak vás to může stát víc než měsíční plat vašeho schopného zaměstnance. Přistupujte k GDPR jako k psovi, který štěká, ale občas může i pěkně kousnout…

Desítky pokut

Výše veškerých pokut, které Úřad pro ochranu osobních údajů od května loňského roku do současnosti udělil, je přibližně 7,5 milionu korun. Jen od začátku tohoto roku do listopadu rozdal téměř šest desítek pokut. „Úřad vydává na každý rok kontrolní plán, v poslední době jsou velmi časté kontroly cookies, užití dat v rámci mobilních aplikací nebo třeba zasílání nevyžádaných obchodních sdělení. Jakkoli GDPR přineslo řadu novinek, základní pojetí zpracování dat se v zásadě nezměnilo, změna přichází spíše s vývojem technologií a nekonečnými možnostmi, jak s daty nakládat,“ vysvětluje advokátka Andrea Jarolímková z advokátní kanceláře Bird&Bird.

ikona životopisu

Strašidlo GDPR můžete úplně snadno zkrotit v Teamiu. Podívejte se na videonávod a uvidíte, že je to hračka. A už se nebude čeho bát.  

Podle právničky se vyšší pokuty zatím začínají objevovat hlavně v zahraničí. Třeba v Německu byla letos v říjnu uložena společnosti Deutsche Wohnen SE pokuta ve výši 14,5 milionu eur za to, že společnost průběžně neaktualizovala data o svých zákaznících a uchovávala i ta zastaralá, která již k ničemu nepotřebovala, čímž porušila jeden ze základních principů zpracování dat. 

Začnou padat ostré sankce i u nás? Vyhněte se na vašem HR oddělení riziku za pomoci 8 jednoduchých pravidel:

  1. Ukládání životopisů
    Osobní údaje si nesmíte ponechat do důchodového věku, můžete s nimi pracovat jen v rámci jasně stanoveného času a pro jasně stanovený účel. Pozor na tabulky, e-mail a složky v počítači.
  2. Inzeráty
    V inzerátu žádejte jen informace, na které máte právo, a informujte uchazeče o tom, co se s jeho údaji bude dít. Zkrátka jako na seznamce.
  3. Data kandidátů
    Hledáte nové zaměstnance? Posílat kolegům mailem excely s předvýběrem kandidátů nedoporučujeme. Neuhlídáte, jak se dokument s údaji dál šíří. Dejte si pozor na souhlasy a databáze.
  4. Zpracování údajů
    Shromažďovat, udržovat, mazat. To je svatá trojice, na kterou musíte myslet. Osobní údaje zpracujte transparentně, se souhlasem (pokud je potřeba) a nevytvářejte kopie dokumentů, které je obsahují. Nepřekračujte účelem stanovenou dobu jejich uložení a zamezte jejich úniku.
  5. Pohovor
    Osobní údaje uchazečů si ideálně netiskněte. Neúspěšné kandidáty smažte z databáze nejpozději, když vyprší účel, na jehož základě jste data zpracovávali. Nezapomeňte, že poznámky z pohovoru jsou taky osobní údaje.
  6. Konec výběrka
    Pokud po konci výběrového řízení nemáte od uživatele udělený souhlas k dalšímu zpracování údajů a ani ho nechcete, mažte. Pokud jste ho nedostali, ale chcete ho mít v databázi, požádejte ho o něj.
  7. Nástup zaměstnance
    Osobní údaje nového zaměstnance zpracujte na základě zákoníku práce, zákonu o zaměstnanosti a zákonu o provádění sociálního zabezpečení. Nezapomínejte, že pokud vám to zákon neumožňuje, na rodinný stav, etnický původ, počet dětí, náboženské vyznání a další pikanterie se ptát nesmíte.
  8. Práva
    V každé fázi náboru mají kandidáti práva, která musíte dodržovat. Právo na přístup k osobním údajům, na jejich opravu, doplnění a aktualizaci, omezení zpracování, výmaz, přenositelnost, právo vznést námitku a právo (pozor, bude to dlouhé) nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.

Foto: Shutterstock.com

„Ačkoliv tento dokument viděly oči několika právníků, LMC s. r. o. není advokátní kancelář. Tento dokument proto prosím chápejte jako informativní, s obecným charakterem, který nereflektuje Vaše konkrétní požadavky nebo poměry. Nezamýšleli jsme ho jako právní poradenství, komplexní vyjádření zákona nebo návrh na řešení Vašich individuálních požadavků, a proto neodpovídáme za soulad tohoto dokumentu s právními předpisy, ani za použití tohoto dokumentu jinak než v souladu s námi zamýšleným účelem. Pokud ve Vaší společnosti řešíte ochranu osobních údajů, doporučujeme Vám obrátit se na nezávislou právní kancelář a probrat s ní veškeré postupy tak, aby vyhovovaly přesně Vašim účelům.“