Obecné nařízení o ochraně osobních údajů neboli General Data Protection Regulation (GDPR) je nová legislativa EU, která přispěje ke zvýšení ochrany osobních dat občanů.
Toto nařízení, které vstupuje v účinnost 25. 5. 2018, se dotkne všech, kteří shromažďují, zpracovávají nebo analyzují osobní údaje fyzických osob, které žijí v Evropě. Roli zde přitom nehraje to, zda se jedná o firmu, instituci či jednotlivce.
GDPR ale není žádná revoluční myšlenka. Takzvaná „stojednička“, kterou se v ochraně osobních údajů nyní všichni řídíme, bude nahrazena modernějším nařízením GDPR, které bude mít jednotnou formu v rámci celé EU. To zajistí, že si pravidla o ochraně osobních údajů místní vlády nebudou moci uzpůsobovat podle sebe nebo zájmů různých organizací.
Do vstupu platnosti GDPR je nutná zejména revize informačních systémů a stávajících postupů nakládání s osobními údaji. V případě závažného porušení GDPR totiž firmy mohou postihnout vysoké pokuty. Ale nebojte se, jedeme v tom s vámi!
Základní pravidlo
Vy i kandidát musíte mít v každé fázi náboru jasno, co se s osobními údaji děje.
Subjekt údajů, Zpracovatel a Správce. S těmito poněkud odtažitě znějícími pojmy se, stejně jako u 101čky, u GDPR budeme často setkávat, a je tak důležité pochopit jejich význam v různých situacích.
Ve zkratce jde o všechno, podle čeho můžete identifikovat nějakého člověka. To, co je u jedné fyzické osoby osobním údajem, protože je jasně identifikovaná, nemusí být osobním údajem pro jinou fyzickou osobu. Záleží vždy na tom, zda je možné podle údajů, které jsou s informací spojeny, určit konkrétní osobu.
Jaké jsou nejčastější osobní údaje?
Co patří mezi další osobní údaje?
Jakákoli činnost, kterou s daty provádíte za konkrétním účelem.
Krycí jméno: Kandidát
Je to fyzická osoba, které se osobní údaje týkají. Například kandidát, který odpoví na pracovní pozici.
Krycí jméno: Firma
Odpovídá za to, že osobní údaje budou zpracovány podle daných pravidel.
Kdo je tedy Správcem? Třeba vy jako firma, která využívá naše služby během zpracování kandidáta v Teamiu.
Správcem je ale i LMC, které zpracovává osobní údaje uživatele (kandidáta), který se nově registruje třeba na Jobs.cz či Prace.cz.
Krycí jméno: Dodavatel
Pokud si vy jako Správce najmete dodavatele, aby pro vás zpracovával osobní údaje kandidátů během náboru, z pohledu GDPR je to váš Zpracovatel.
My jako LMC zpracováváme údaje kandidáta pro vás coby našeho klienta prostřednictvím svých elektronických systémů. Například data kandidátů v Teamiu.
Jeho úkolem je zajistit, aby firma jednala v souladu s GDPR. Má tak pod palcem celou agendu interní ochrany dat, pravidelné audity a školení zaměstnanců, kteří s údaji nakládají.
Ne všechny firmy, kterých se GDPR týká, jej ale musí mít.
Povinné jmenování DPO se týká například veřejných subjektů, nebo organizací, které provádí rozsáhlé a systematické monitorování občanů, nebo zpracovávají zvláštní kategorie dat (např. nemocnice, banky, pojišťovny).
Svou činnost by měl provádět nezávisle a za nedodržování GDPR nenese osobní zodpovědnost.
Osobní údaje můžete zpracovávat na základě jasně definovaného účelu. GDPR říká, že zpracování osobních údajů je zákonné, pokud splníte jednu z následujících podmínek pro naplnění účelu:
Subjekt údajů má právo na:
Následuje GDPR v náboru – Úklid v datech →
„Ačkoliv tento dokument viděly oči několika právníků, LMC s. r. o. není advokátní kancelář. Tento dokument proto prosím chápejte jako informativní, s obecným charakterem, který nereflektuje Vaše konkrétní požadavky nebo poměry. Nezamýšleli jsme ho jako právní poradenství, komplexní vyjádření zákona nebo návrh na řešení Vašich individuálních požadavků, a proto neodpovídáme za soulad tohoto dokumentu s právními předpisy, ani za použití tohoto dokumentu jinak než v souladu s námi zamýšleným účelem. Pokud ve Vaší společnosti řešíte ochranu osobních údajů, doporučujeme Vám obrátit se na nezávislou právní kancelář a probrat s ní veškeré postupy tak, aby vyhovovaly přesně Vašim účelům.“