GDPR v náboru - Co je GDPR?

10. května 2018,

4 min čtení

Nové nařízení General Data Protection Regulation neodstartuje revoluci ve zpracování dat. Přináší ale změny, na které se s námi můžete snadno připravit.

V sérii 8 článků se dozvíte, jak GDPR ovlivňuje…

Co je GDPR?

Obecné nařízení o ochraně osobních údajů neboli General Data Protection Regulation (GDPR) je nová legislativa EU, která přispěje ke zvýšení ochrany osobních dat občanů.

Toto nařízení, které vstupuje v účinnost 25. 5. 2018, se dotkne všech, kteří shromažďují, zpracovávají nebo analyzují osobní údaje fyzických osob, které žijí v Evropě. Roli zde přitom nehraje to, zda se jedná o firmu, instituci či jednotlivce.

GDPR ale není žádná revoluční myšlenka. Takzvaná „stojednička“, kterou se v ochraně osobních údajů nyní všichni řídíme, bude nahrazena modernějším nařízením GDPR, které bude mít jednotnou formu v rámci celé EU. To zajistí, že si pravidla o ochraně osobních údajů místní vlády nebudou moci uzpůsobovat podle sebe nebo zájmů různých organizací.

Do vstupu platnosti GDPR je nutná zejména revize informačních systémů a stávajících postupů nakládání s osobními údaji. V případě závažného porušení GDPR totiž firmy mohou postihnout vysoké pokuty. Ale nebojte se, jedeme v tom s vámi!

Nevíte, jestli jste na nové nařízení připraveni? Stáhněte si GDPR check-list pro personalisty a ověřte si to.

Základní pravidlo

Vy i kandidát musíte mít v každé fázi náboru jasno, co se s osobními údaji děje.

Slovník základních pojmů

Subjekt údajů, Zpracovatel a Správce. S těmito poněkud odtažitě znějícími pojmy se, stejně jako u 101čky, u GDPR budeme často setkávat, a je tak důležité pochopit jejich význam v různých situacích.

Osobní údaj

Ve zkratce jde o všechno, podle čeho můžete identifikovat nějakého člověka. To, co je u jedné fyzické osoby osobním údajem, protože je jasně identifikovaná, nemusí být osobním údajem pro jinou fyzickou osobu. Záleží vždy na tom, zda je možné podle údajů, které jsou s informací spojeny, určit konkrétní osobu.

Jaké jsou nejčastější osobní údaje?

jméno
pohlaví
věk
datum narození
místo narození
rodné číslo
osobní stav
fotografický záznam
video nebo audio záznam
adresa
trvalé bydliště
doručovací adresa
e-mailová adresa (zvláště pokud obsahuje například jméno a firmu)
telefonní číslo – soukromé i pracovní
různé identifikační údaje vydané státem: identifikační číslo, DIČ, číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu atd.
a další….

Co patří mezi další osobní údaje?

Genetické údaje (například DNA)
Biometrické údaje (například snímek obličeje, otisky prstů, podpis atd.)
Zvláštní osobní údaje (například rasa, politické vyznání, trestní delikty atd.)

Zpracování údajů

Jakákoli činnost, kterou s daty provádíte za konkrétním účelem.

Subjekt údajů

Krycí jméno: Kandidát

Je to fyzická osoba, které se osobní údaje týkají. Například kandidát, který odpoví na pracovní pozici.

Správce

Krycí jméno: Firma

Odpovídá za to, že osobní údaje budou zpracovány podle daných pravidel.

Kdo je tedy Správcem? Třeba vy jako firma, která využívá naše služby během zpracování kandidáta v Teamiu.

Správcem je ale i LMC, které zpracovává osobní údaje uživatele (kandidáta), který se nově registruje třeba na Jobs.cz či Prace.cz.

To, jestli jste Správcem, tedy vždy záleží na situaci. Jednoduše řečeno: Správcem jste vždy, když něčí osobní data používáte pro svůj vlastní účel a určujete, jak budou zpracovávána.

Zpracovatel

Krycí jméno: Dodavatel

Pokud si vy jako Správce najmete dodavatele, aby pro vás zpracovával osobní údaje kandidátů během náboru, z pohledu GDPR je to váš Zpracovatel.

My jako LMC zpracováváme údaje kandidáta pro vás coby našeho klienta prostřednictvím svých elektronických systémů. Například data kandidátů v Teamiu.

Pověřenec pro ochranu osobních údajů

Jeho úkolem je zajistit, aby firma jednala v souladu s GDPR. Má tak pod palcem celou agendu interní ochrany dat, pravidelné audity a školení zaměstnanců, kteří s údaji nakládají.

Ne všechny firmy, kterých se GDPR týká, jej ale musí mít.

Povinné jmenování DPO se týká například veřejných subjektů, nebo organizací, které provádí rozsáhlé a systematické monitorování občanů, nebo zpracovávají zvláštní kategorie dat (např. nemocnice, banky, pojišťovny).

Svou činnost by měl provádět nezávisle a za nedodržování GDPR nenese osobní zodpovědnost.

Účel

Osobní údaje můžete zpracovávat na základě jasně definovaného účelu. GDPR říká, že zpracování osobních údajů je zákonné, pokud splníte jednu z následujících podmínek pro naplnění účelu:

souhlas se zpracováním dat,
plnění smlouvy,
plnění právních povinností,
ochrana životně důležitých zájmů subjektu údajů,
veřejný zájem
nebo oprávněný zájem správce.

Práva subjektu

Subjekt údajů má právo na:

právo na přístup k osobním údajům,
právo na opravu, resp. doplnění,
právo na výmaz,
právo na omezení zpracování,
právo na přenositelnost údajů,
právo vznést námitku,
právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.

Následuje GDPR v náboru – Úklid v datech →

„Ačkoliv tento dokument viděly oči několika právníků, LMC s. r. o. není advokátní kancelář. Tento dokument proto prosím chápejte jako informativní, s obecným charakterem, který nereflektuje Vaše konkrétní požadavky nebo poměry. Nezamýšleli jsme ho jako právní poradenství, komplexní vyjádření zákona nebo návrh na řešení Vašich individuálních požadavků, a proto neodpovídáme za soulad tohoto dokumentu s právními předpisy, ani za použití tohoto dokumentu jinak než v souladu s námi zamýšleným účelem. Pokud ve Vaší společnosti řešíte ochranu osobních údajů, doporučujeme Vám obrátit se na nezávislou právní kancelář a probrat s ní veškeré postupy tak, aby vyhovovaly přesně Vašim účelům.“