Tři čtvrtě roku s GDPR v personalistice
Situace ve firmách
Personální oddělení podnikla různě intenzivní interní audity nakládání s osobními údaji. „Všechny kroky jsme prozkoumali pod drobnohledem. Zjistili jsme, co by kde mohlo utéct a co není v souladu s GDPR. U nás šlo hlavně o zaslané životopisy v soukromých e-mailech nebo o ty ponechané na recepci,” přibližuje situaci s novou legislativou Anna Urbanová z firmy OBB.
Scénář, kdy uchazeč osobně přišel na recepci a zanechal tam své CV, byl ve firmě běžný. Zájemci neodpovídali jen na konkrétní inzeráty, ale dávali o svém zájmu firmě vědět prostřednictvím doneseného životopisu. Osobní údaje uchazečů tak byly volně dostupné i lidem mimo tým personalistů.
Některé firmy změny ve fungování personálního oddělení téměř nepostřehly, například pánské zakázkové krejčovství Galard. „Byli jsme na několika školeních, upravili jsme smlouvy a způsob, jak s údaji nakládáme. Výrazněji nás ale GDPR v personalistice nezasáhlo,” řekla Adéla Hoffmannová z Galardu.
Ve firmě se ale potýkali s velmi specifickým problémem: „Bojovali jsme například s přesnou definicí osobního údaje. Šijeme pánskou módu na míru a z výkladu GDPR jsme nepoznali, zda míry a váhy zákazníků jsou osobní údaje, které podléhají stanoveným pravidlům,” dodala Hoffmannová.
Podobně to vidí i Ján Jaroš z advokátní kanceláře Havel a Partners, kde se zaváděním GDPR ve firmách zabývají: „Mylné představy o dramatických změnách a jednoznačně negativních důsledcích GDPR se postupně rozplynuly,” shrnul své zkušenosti z komunikace s firmami.
Příliš mnoho souhlasů může uškodit
Na konci srpna vydal Úřad pro ochranu osobních údajů tiskovou zprávu k vyžadování souhlasů se zpracováním osobních údajů. Shrnuli jsme to nejdůležitější z dokumentu:
Ve vyjádření Úřad pro ochranu osobních údajů také připomněl, že soukromí člověka není obchodovatelnou komoditou a ani po souhlasu se zpracováním údajů s nimi nesmí správci či zpracovatelé obchodovat.
Ačkoliv by se vývoj GDPR mohl zdát nepřehledný kvůli nespecifické interpretaci některých detailů, je takový stav podle Jana Svobody, pověřence pro ochranu osobních údajů LMC, pochopitelný.
Při jednáních s klienty proto spíše obhajuje zaujaté postuje a výklad. Důležité podle Jana Svobody je, že se v LMC s klienty shodují na základních principech. Je hrdý, že od subjektů údajů (tedy od uchazečů o práci) nepřichází žádné stížnosti ohledně nakládání s jejich údaji.
GDPR v náboru hlídá Teamio
Zaměstnavatelé, kteří inzeráty zadávají, se nazývají z hlediska GDPR správci údajů. Teamio funguje jako zpracovatel osobních údajů uchazečů.
Pokud personalisté používají Teamio správně a neshromažďují údaje na dalších místech, zpracovávají osobní údaje uchazečů v souladu s legislativou.
Vše potřebné k GDPR si můžete osvěžit v:
Dozorový úřad funguje
Zatímco někteří zpracovatelé osobních údajů posílají až přehnané množství žádostí o souhlas se zpracováním osobních údajů, jiní sází na malou pravděpodobnost hrozícího postihu.
Podle advokátů z Havel and Partners to ale není dobré řešení. Úřad kontroly vykonává.
Česká republika možnosti specifikace GDPR zatím nevyužívá
Evropská legislativa dává každému členskému státu možnost přizpůsobit si zákony na míru vlastními nařízeními a úpravami. U nás poslanci takový dodatek zatím neschválili.
Momentálně mají čeští zákonodárci v jednání Zákon o zpracování osobních údajů, který by díky pozměňovacím návrhům některá nejasná místa GDPR osvětlil.
Podle advokáta Jána Jaroše je pozvolný vývoj legislativy dobrý. Změny se zapracovávají postupně s praxí a bez revolučních právních změn.
Ačkoliv je složité odhadovat vývoj evropských zákonů, žádný radikální vývoj v legislativě momentálně odborníci neočekávají.
Ohledně chystaných změn je dobré sledovat legislativu a mít nástroj, který případné novinky reflektuje. „Sledovat všechny změny je náročné. GDPR se vyvíjí a zapracovávat změny do vnitřních procesů vyžaduje hodně času. Proto jsem ráda, že používáme Teamio, které náležitosti ohlídá za nás,” shrnula Anna Urbanová z OBB.
