Údaje za miliony aneb Jak nedostat pokutu za GDPR
Osobní údaje nad zlato
Potkali jste kdysi během příjemného pohovoru pracanta, který by se vám ve firmě časem mohl hodit? Uložili jste si jeho telefonní číslo, kdybyste ho třeba za dva roky potřebovali? Pozor, i podobná zdánlivá maličkost vás může kvůli GDPR stát desítky tisíc. Osobní údaje jsou dnes totiž cennější než zlato.
To si neuvědomila ředitelka jedné české školy, kterou zaměstnankyně po ukončení pracovního poměru požádala o odstranění veškerých svých fotografií. Jaké bylo její překvapení, když se na sebe i přesto dál usmívala z fotek na Facebooku ústavu. Výzvu k nápravě „svědomitá“ ředitelka ignorovala a nakonec ji to stálo několik tisíc…
Sice byste po porušování zásad GDPR asi dopadli spíš jako tahle ředitelka než aerolinky British Airways, které dostaly za únik dat od stovek tisíc cestujících slušnou pokutu pět miliard korun, ale i tak vás to může stát víc než měsíční plat vašeho schopného zaměstnance. Přistupujte k GDPR jako k psovi, který štěká, ale občas může i pěkně kousnout…
Desítky pokut
Výše veškerých pokut, které Úřad pro ochranu osobních údajů od května loňského roku do současnosti udělil, je přibližně 7,5 milionu korun. Jen od začátku tohoto roku do listopadu rozdal téměř šest desítek pokut. „Úřad vydává na každý rok kontrolní plán, v poslední době jsou velmi časté kontroly cookies, užití dat v rámci mobilních aplikací nebo třeba zasílání nevyžádaných obchodních sdělení. Jakkoli GDPR přineslo řadu novinek, základní pojetí zpracování dat se v zásadě nezměnilo, změna přichází spíše s vývojem technologií a nekonečnými možnostmi, jak s daty nakládat,“ vysvětluje advokátka Andrea Jarolímková z advokátní kanceláře Bird&Bird.
Podle právničky se vyšší pokuty zatím začínají objevovat hlavně v zahraničí. Třeba v Německu byla letos v říjnu uložena společnosti Deutsche Wohnen SE pokuta ve výši 14,5 milionu eur za to, že společnost průběžně neaktualizovala data o svých zákaznících a uchovávala i ta zastaralá, která již k ničemu nepotřebovala, čímž porušila jeden ze základních principů zpracování dat.
Začnou padat ostré sankce i u nás? Vyhněte se na vašem HR oddělení riziku za pomoci 8 jednoduchých rad
1.Ukládání životopisů
Osobní údaje si nesmíte ponechat do důchodového věku, můžete s nimi pracovat jen v rámci jasně stanoveného času a pro jasně stanovený účel. Pozor na tabulky, e-mail a složky v počítači.
2.Inzeráty
V inzerátu žádejte jen informace, na které máte právo, a informujte uchazeče o tom, co se s jeho údaji bude dít. Zkrátka jako na seznamce.
3.Data kandidátů
4. Zpracování údajů
5.Pohovor
Osobní údaje uchazečů si ideálně netiskněte. Neúspěšné kandidáty smažte z databáze nejpozději, když vyprší účel, na jehož základě jste data zpracovávali. Nezapomeňte, že poznámky z pohovoru jsou taky osobní údaje.
6.Konec výběrka
Pokud po konci výběrového řízení nemáte od uživatele udělený souhlas k dalšímu zpracování údajů a ani ho nechcete, mažte. Pokud jste ho nedostali, ale chcete ho mít v databázi, požádejte ho o něj.
7.Nástup zaměstnance
Osobní údaje nového zaměstnance zpracujte na základě zákoníku práce, zákonu o zaměstnanosti a zákonu o provádění sociálního zabezpečení. Nezapomínejte, že pokud vám to zákon neumožňuje, na rodinný stav, etnický původ, počet dětí, náboženské vyznání a další pikanterie se ptát nesmíte.
8.Práva
V každé fázi náboru mají kandidáti práva, která musíte dodržovat. Právo na přístup k osobním údajům, na jejich opravu, doplnění a aktualizaci, omezení zpracování, výmaz, přenositelnost, právo vznést námitku a právo (pozor, bude to dlouhé) nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.
Ačkoliv tento dokument viděly oči několika právníků, LMC s. r. o. není advokátní kancelář. Tento dokument proto prosím chápejte jako informativní, s obecným charakterem, který nereflektuje Vaše konkrétní požadavky nebo poměry. Nezamýšleli jsme ho jako právní poradenství, komplexní vyjádření zákona nebo návrh na řešení Vašich individuálních požadavků, a proto neodpovídáme za soulad tohoto dokumentu s právními předpisy, ani za použití tohoto dokumentu jinak než v souladu s námi zamýšleným účelem. Pokud ve Vaší společnosti řešíte ochranu osobních údajů, doporučujeme Vám obrátit se na nezávislou právní kancelář a probrat s ní veškeré postupy tak, aby vyhovovaly přesně Vašim účelům.
