Zkombinujte užitečné s povoleným
GDPR v HR má dvě strany. První stránkou je, že nejspíš chcete dostupné osobní údaje využít na maximum. Druhá strana ale naopak spočívá v nutnosti využívat osobní údaje zaměstnanců pouze v souladu s předpisy. Co tedy ještě můžete, a co už ne?
GDPR a zaměstnanci: Můžete je monitorovat při práci?
Jako typický příklad, kdy většina firem váhá, si uveďme monitorování činnosti pracovníků. Je totiž možné, že své zaměstnance chcete při práci kontrolovat, a to například monitorováním navštěvovaných webových stránek či odchozí e‑mailové komunikace nebo sledováním pohybu služebního automobilu pomocí GPS lokátorů.
Takový monitoring zakázaný není, v každém jednotlivém případě je ale potřeba posoudit účel takového monitorování, právní titul a zejména přiměřenost takového opatření. Zároveň musíte zaměstnance o monitoringu či kontrolách řádně informovat.
Pozor na výjimky: Osobní údaje zaměstnanců jen na základě souhlasu zpracovávat nesmíte
Pokud jsou pracovníci ve smyslu zákoníku práce vašimi zaměstnanci, považuje je Úřad pro ochranu osobních údajů za zranitelné subjekty. Těm je podle platné legislativy potřeba věnovat zvláštní pozornost, jsou totiž vůči zaměstnavateli v podřadném postavení. Co to znamená v praxi?
Pokud osobní údaje zaměstnanců využíváte na základě právního titulu souhlasu se zpracováním osobních údajů, nejednáte v souladu se zákonem. Podle úřadu totiž podřízenost zaměstnance vylučuje svobodné vyjádření souhlasu, proto je jeho souhlas neplatný. Typicky se jedná o používání biometrických čteček otisků prstů, obličeje, sítnice oka apod.
GDPR v HR: Jak vést evidenci?
Disciplínou samo o sobě je také vedení evidencí, které se týkají zaměstnanců, externích pracovníků, úspěšných a neúspěšných uchazečů o zaměstnání a podobně. Měli byste při něm postupovat obzvlášť obezřetně, zvláštní pozornost si zaslouží především určení právního titulu zpracování osobních údajů. Často se bude jednat o zpracování údajů vyžadované zákonem. Evidenci ale můžete vést i na základě oprávněného zájmu nebo souhlasu se zpracováním osobních údajů.
Stejnou péči jako určení právního titulu je třeba věnovat také správnému stanovení účelu, za nímž osobní údaje zaměstnanců, externistů či uchazečů vedete. Údaje pak můžou být zpracovány pouze způsobem, který tomuto účelu odpovídá.
Co s osobními údaji rozhodně nedělat
Velmi častou chybou je snaha obejít administrativní zátěž a zpracování údajů zrychlit nebo zjednodušit. Personalista například potřebuje osobní údaje uvést do evidence, ale místo aby si od daných subjektů vyžádal souhlas, zvolí pohodlnější způsob a údaje zkopíruje z evidence, která byla vedená za jiným účelem: například z osobního spisu nebo z životopisu. Takové jednání je v rozporu se zákonem.
Nebuďte v tom sami: S ochranou osobních údajů vám pomůžeme
NGSS má s ochranou osobních údajů (nejen) zaměstnanců řadu let praktických zkušeností. Díky tomu je připraveno poskytnout vám svou pomoc a dosáhnout efektivního, spravedlivého a legálního systému řízení lidských zdrojů.
A vzhledem k tomu, že se jedná o oblast, kde se setkává občanské právo s pracovním právem a právem ochrany osobních údajů, bude důležitá role v týmu náležet naší advokátce. Posoudíme úroveň ochrany osobních údajů zaměstnanců a externích pracovníků ve vaší organizaci, identifikujeme nedostatky a navrhneme nejjednodušší a nejúčinnější řešení, které vám v případě zájmu rádi pomůžeme implementovat.
Rádi pro vás připravíme i odborná GDPR školení pro zaměstnance / personalisty či ICT pracovníky.