GDPR v náboru - Co je GDPR?

Nové nařízení General Data Protection Regulation neodstartuje revoluci ve zpracování dat. Přináší ale změny, na které se s námi můžete snadno připravit. 

Co je GDPR

V sérii 8 článků se dozvíte, jak GDPR ovlivňuje…

Co je GDPR?

Obecné nařízení o ochraně osobních údajů neboli General Data Protection Regulation (GDPR) je nová legislativa EU, která přispěje ke zvýšení ochrany osobních dat občanů.

Toto nařízení, které vstupuje v účinnost 25. 5. 2018, se dotkne všech, kteří shromažďují, zpracovávají nebo analyzují osobní údaje fyzických osob, které žijí v Evropě. Roli zde přitom nehraje to, zda se jedná o firmu, instituci či jednotlivce.

GDPR ale není žádná revoluční myšlenka. Takzvaná „stojednička“, kterou se v ochraně osobních údajů nyní všichni řídíme, bude nahrazena modernějším nařízením GDPR, které bude mít jednotnou formu v rámci celé EU. To zajistí, že si pravidla o ochraně osobních údajů místní vlády nebudou moci uzpůsobovat podle sebe nebo zájmů různých organizací.

Do vstupu platnosti GDPR je nutná zejména revize informačních systémů a stávajících postupů nakládání s osobními údaji. V případě závažného porušení GDPR totiž firmy mohou postihnout vysoké pokuty. Ale nebojte se, jedeme v tom s vámi!

Nevíte, jestli jste na nové nařízení připraveni? Stáhněte si GDPR check-list pro personalisty a ověřte si to.

Základní pravidlo

Vy i kandidát musíte mít v každé fázi náboru jasno, co se s osobními údaji děje.

Slovník základních pojmů

Subjekt údajů, Zpracovatel a Správce. S těmito poněkud odtažitě znějícími pojmy se, stejně jako u 101čky, u GDPR budeme často setkávat, a je tak důležité pochopit jejich význam v různých situacích.

Osobní údaj

Ve zkratce jde o všechno, podle čeho můžete identifikovat nějakého člověka. To, co je u jedné fyzické osoby osobním údajem, protože je jasně identifikovaná, nemusí být osobním údajem pro jinou fyzickou osobu. Záleží vždy na tom, zda je možné podle údajů, které jsou s informací spojeny, určit konkrétní osobu.

Jaké jsou nejčastější osobní údaje?

  • jméno
  • pohlaví
  • věk
  • datum narození
  • místo narození
  • rodné číslo
  • osobní stav
  • fotografický záznam
  • video nebo audio záznam
  • adresa
  • trvalé bydliště
  • doručovací adresa
  • e-mailová adresa (zvláště pokud obsahuje například jméno a firmu)
  • telefonní číslo – soukromé i pracovní
  • různé identifikační údaje vydané státem: identifikační číslo, DIČ, číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu atd.
  • a další….

Co patří mezi další osobní údaje?

  • Genetické údaje (například DNA)
  • Biometrické údaje (například snímek obličeje, otisky prstů, podpis atd.)
  • Zvláštní osobní údaje (například rasa, politické vyznání, trestní delikty atd.)

Zpracování údajů

Jakákoli činnost, kterou s daty provádíte za konkrétním účelem.

Subjekt údajů

Krycí jméno: Kandidát

Je to fyzická osoba, které se osobní údaje týkají. Například kandidát, který odpoví na pracovní pozici. 

Správce

Krycí jméno: Firma

Odpovídá za to, že osobní údaje budou zpracovány podle daných pravidel.

Kdo je tedy Správcem? Třeba vy jako firma, která využívá naše služby během zpracování kandidáta v Teamiu.

Správcem je ale i LMC, které zpracovává osobní údaje uživatele (kandidáta), který se nově registruje třeba na Jobs.cz či Prace.cz.

To, jestli jste Správcem, tedy vždy záleží na situaci. Jednoduše řečeno: Správcem jste vždy, když něčí osobní data používáte pro svůj vlastní účel a určujete, jak budou zpracovávána.

Zpracovatel

Krycí jméno: Dodavatel

Pokud si vy jako Správce najmete dodavatele, aby pro vás zpracovával osobní údaje kandidátů během náboru, z pohledu GDPR je to váš Zpracovatel.

My jako LMC zpracováváme údaje kandidáta pro vás coby našeho klienta prostřednictvím svých elektronických systémů. Například data kandidátů v Teamiu.

Pověřenec pro ochranu osobních údajů

Jeho úkolem je zajistit, aby firma jednala v souladu s GDPR. Má tak pod palcem celou agendu interní ochrany dat, pravidelné audity a školení zaměstnanců, kteří s údaji nakládají.

Ne všechny firmy, kterých se GDPR týká, jej ale musí mít.

Povinné jmenování DPO se týká například veřejných subjektů, nebo organizací, které provádí rozsáhlé a systematické monitorování občanů, nebo zpracovávají zvláštní kategorie dat (např. nemocnice, banky, pojišťovny).

Svou činnost by měl provádět nezávisle a za nedodržování GDPR nenese osobní zodpovědnost.

Účel

Osobní údaje můžete zpracovávat na základě jasně definovaného účelu. GDPR říká, že zpracování osobních údajů je zákonné, pokud splníte jednu z následujících podmínek pro naplnění účelu:

  • souhlas se zpracováním dat,
  • plnění smlouvy,
  • plnění právních povinností,
  • ochrana životně důležitých zájmů subjektu údajů,
  • veřejný zájem
  • nebo oprávněný zájem správce.

Práva subjektu

Subjekt údajů má právo na:

  • právo na přístup k osobním údajům,
  • právo na opravu, resp. doplnění,
  • právo na výmaz,
  • právo na omezení zpracování,
  • právo na přenositelnost údajů,
  • právo vznést námitku,
  • právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.

„Ačkoliv tento dokument viděly oči několika právníků, LMC s. r. o. není advokátní kancelář. Tento dokument proto prosím chápejte jako informativní, s obecným charakterem, který nereflektuje Vaše konkrétní požadavky nebo poměry. Nezamýšleli jsme ho jako právní poradenství, komplexní vyjádření zákona nebo návrh na řešení Vašich individuálních požadavků, a proto neodpovídáme za soulad tohoto dokumentu s právními předpisy, ani za použití tohoto dokumentu jinak než v souladu s námi zamýšleným účelem. Pokud ve Vaší společnosti řešíte ochranu osobních údajů, doporučujeme Vám obrátit se na nezávislou právní kancelář a probrat s ní veškeré postupy tak, aby vyhovovaly přesně Vašim účelům.“

 
Sdílejte