Semináre boli rozdelené do dvoch častí, v prvej právnej časti prednášal Jan Tomíšek ml. z advokátskej kancelárie ROWAN LEGAL o dopadoch Nariadenia GDPR v praxi mzdových účtovníčok a personalistov, v druhej časti sa riaditeľ spoločnosti Vema Jan Tomíšek st. venoval podpore GDPR v aplikáciách Vema. Všetci účastníci dostali okrem vytlačených materiálov aj reklamný letáčik s výpočtom funkcionalít aplikácie Vema GDPR, ktorú naša spoločnosť pre uľahčenie práce ponúka.
Zahájenie seminára, zľava: Jan Tomíšek st., Jan Tomíšek ml., Milan Poláček
Brnenský seminár uviedol Milan Poláček z obchodného oddelenia. Predstavil prednášajúcich, oboznámil prítomných s programom a s ponukou softwarového riešenia, ktoré Vema pre svojich zákazníkov pripravila.
Základné pojmy a princípy GDPR
Ako prvý sa ujal slova Jan Tomíšek ml. a najskôr vysvetlil základné pojmy obsiahnuté v Nariadení, ako sú:
- osobný údaj = akákoľvek informácia o fyzickej osobe, ktorou je možné identifikovať,
- osobitné kategórie údajov (citlivé údaje) = zdravotný stav, biometrické údaje, členstvo
- v odboroch a pod.,
- prevádzkovateľ = osoba určujúca účel a prostriedky spracovania osobných údajov,
- sprostredkovateľ = spracováva osobné údaje menom prevádzkovateľa,
- dotknutá osoba = fyzická osoba, ktorej sa údaje týkajú.
Ďalej uviedol princípy GDPR, ktoré sú v Nariadení uvedené:
- zákonnosť a férovosť,
- obmedzenia účelom,
- minimalizácia údajov a obmedzenie uloženia,
- presnosť,
- transparentnosť,
- integrita a dôvernosť,
- zodpovednosť.
Jak Jan Tomíšek ml. zdôraznil, každé spracovanie osobných údajov musí mať právny základ. Právnymi základmi v HR môže byť buď právna povinnosť, oprávnený záujem, plnenie či uzatvorenie zmluvy s dotknutou osobou a súhlas (ktorý musí byť slobodný, konkrétny, informovaný a jednoznačný).
Po 25. máji 2018 budú platné iba súhlasy udelené v súlade s GDPR. Udelenie takéhoto súhlasu musí preukázať prevádzkovateľ a musí byt úplne slobodné, oddelené od iných prehlásení. Aj v prípade, kedy nie je nutný súhlas, je potrebné dotknutú osobu vždy informovať o spracovaní jeho údajov. Spôsob informovania by mal byť stručný, transparentný, zrozumiteľný a ľahko prístupný.
Ďalšou zaujímavosťou bola informácia o existencii pracovnej skupiny 29 (WP29). Jedná sa o nezávislý európsky poradný orgán na ochranu dát a súkromia, ktorý je zložený z vedúcich zástupcov dozorných úradov členských zemí Európskej únie.
Pracovná skupina WP29 vydáva a verejne diskutuje materiály, ktoré majú čitateľovi maximálne vysvetliť a čo najbližšie ho oboznámiť s jednotlivými časťami a oblasťami Všeobecného nariadenia. Účinnosťou GDPR od 25. mája 2018 sa WP29 zmení na Európsky zbor pre ochranu osobných údajov (EPDB). Úlohou Zboru bude predovšetkým zaisťovanie jednotného uplatňovania Všeobecného nariadenia a za tým účelom monitorovať jeho uplatňovanie a vydávať pokyny, odporúčania a osvedčené postupy, a to i pre niektoré stanovené oblasti a inštitúty GDPR.
Právnu problematiku predniesol Jan Tomíšek ml.
Dopady GDPR do vybraných personálnych procesov
Prvou prezentovanou témou bol proces výberového konania na pracovnú pozíciu. Tu typicky dochádza ku spracovaniu životopisov viacerých záujemcov a výberu najvhodnejšieho kandidáta. Životopisy neúspešných kandidátov nie je možné ďalej spracovávať a oslovovať kandidátov ďalšími ponukami. Do databázy pre neskoršie konanie ich je možné zaradiť iba s ich súhlasom. Obozretne je potrebné postupovať aj pri prípadnom preverovaní uchádzačov o zamestnanie na sociálnych sieťach. Podľa stanoviska 2/2017 WP29 je možné preverovať prezentáciu uchádzačov iba na relevantných sociálnych sieťach ako je LinkedIn. Na využívanie súkromných informácií o uchádzačov na Facebooku už nie je právny základ.
Druhým príkladom HR procesu bola realizácia pracovno právneho vzťahu. Je potrebné si uvedomiť, že právnym základom pre spracovanie miezd je plnenie uzatvorené pracovnou zmluvou. Pre túto činnosť teda nie je nutný žiadny ďalší špeciálny súhlas. Právnym základom pro odvod daní a poistenia zamestnanca je zase právna povinnosť. Ani tu teda nie je treba žiadny ďalší súhlas.
Ako ďalší príklad bola objasnená problematika uverejňovania fotiek zamestnancov na webe zamestnávateľa a na firemnom intranete. Na základe oprávneného záujmu zamestnávateľa môžu byť uverejňované fotky zamestnancov na webe bez ich súhlasu v pracovných pozíciách, ako sú napr. obchodní zástupcovia a pracovníci určení pre styk so zákazníkmi a s verejnosťou. Pre prevádzkovú potrebu je možné potom na základe oprávneného záujmu zverejniť na intranete fotky všetkých zamestnancov bez ich súhlasu, zamestnanci však majú právo proti takémuto použitiu fotografií vzniesť námietku, ktorú musí zamestnávateľ posúdiť.
K citlivým témam patrí monitoring zamestnancov, ktorý musí byť vždy primeraný.
V prípade sledovania obsahu e-mailovej komunikácie nemôže byť právnym základom súhlas zamestnancov. Môže byť realizované iba v organizáciách so zvláštnou povahou činností, napr. pri vybraných pracovníkoch banky, kde prevažuje oprávnený záujem organizácie. Za monitoring sa ale nepovažuje napr. skenovanie príloh e-mailov na prítomnosť vírusov. Naopak neprimeraným monitoringom by bolo sledovanie pohybu myšou na počítači alebo zaznamenávanie úderov klávesnice.
V prípade monitoringu firemných vozidiel pomocou GPS, pokiaľ ich pracovník používa aj pre súkromné účely, musí byť možnosť vypnúť aktívne GPS sledovanie.
Kamery na pracovisku môžu byť iba v prípade oprávneného záujmu zamestnávateľa, napr. sledovanie bežných priestorov ako sú sklady alebo predajne. Sledovanie vyhradených priestorov, napr. šatne by už bolo neprimerané.
Všetci zamestnanci musia byť informovaní o zbere a účele spracovania ich osobných údajov. Pri nových zamestnancoch sa toto odporúča realizovať napr. základnou informáciou v rámci osobného dotazníka s odkazom na podrobnejšie informácie vo vnútornom predpise, pri súčasných zamestnancoch sa môže riešiť napr. formou e-mailu so základnými informáciami a odkazom na dokument na intranete alebo na vyžiadanie na personálnom oddelení.
Po prestávke na občerstvenie nasledovala prednáška na tému tzv. princípu obmedzenia uloženia. Osobné údaje je možné spracovávať iba po nevyhnutne nutnú dobu. Ak pominie právny základ pre ich spracovanie – napr. skončí pracovná zmluva alebo je naplnený účel spracovania – napr. koniec výberového konania, údaje je potrebné anonymizovať alebo zmazať. Je možné ponechať iba agregované údaje, ktoré nie je možné priradiť ku konkrétnej osobe. Výmaz spravidla potrebuje podporu na úrovni softwaru.
Nasledovalo vysvetlenie pojmov práv dotknutých osôb na: prístup a opravu, námietku, výmaz, obmedzenie, prenositeľnosť, automatizované rozhodovanie.
Prednášajúci tiež podrobnejšie objasnil pojmy:
Sprostredkovateľ v HR – napr. outsourcing spracovania miezd a poskytovanie cloudových služieb, kde existuje vzťah na základe písomnej zmluvy.
Prevádzkovateľ – je povinný zaistiť súlad s GDPR a musí byť schopný ho preukázať. Musí zaistiť náležité zabezpečenie osobných údajov, k tomu musí prijať vhodné technické a organizačné opatrenia. V praxi to znamená prijať Data Protection Policy = pravidlá, smernice – ako sa vo firme chránia osobné údaje, čo všetko sa pro to robí. Všetko musí byť napísané zrozumiteľne pre zamestnancov a dodržiavanie by sa malo priebežne kontrolovať. Časť technických opatrení vyžaduje podporu v rámci personálneho softwaru (riadenie prístupu, autentizácie, šifrovanie…).
Podpora GDPR v aplikáciách Vema a zmluvné vzťahy
V druhej časti seminára vystúpil riaditeľ spoločnosti Vema Jan Tomíšek st. a prezentoval podporu GDPR v aplikáciách Vema a zmluvné vzťahy.
Riaditeľ spoločnosti Jan Tomíšek st. objasňuje funkčnosť aplikácie GDPR.
Teraz už existuje pomerne solídna podpora v aplikáciách Vema: bezpečnostný model, logovanie a auditovanie, ochrana proti neriadenému ukladaniu a obehu dokumentov, Vema V4 Cloud, šifrovaný výplatný lístok na mobil/e-mail a pod.
Ponúkaná aplikácia GDPR uľahčí splnenie nasledujúcich povinností vyplývajúcich z Nariadenia GDPR:
Právo dotknutej osoby na informovanosť – úplná informácia o údajoch evidovaných o dotknutej osobe, PDF výstup, voliteľne aj portálový dokument.
Prenositeľnosť údajov – požadovaný strojovo čitateľný formát, Nariadenie nijak bližšie nešpecifikuje, neexistuje uznávaný štandard pre HR, bude zaistené jednoduchým exportom do XML.
Selektívne zabúdanie údajov – vždy keď pominie právna povinnosť, oprávnený záujem alebo skončí súhlas. Pre túto funkcionalitu sa nastavuje kategorizácia údajov vzhľadom k expirácii dát. Funkciu je možné spustiť aj na nečisto. Všetko je dokumentované podrobným protokolom mazania.
Šifrovanie dát – nie je explicitne Nariadením vyžadované, prínos je silno relatívny, prevádzkovo je veľmi nebezpečné. Voliteľne je ale použiteľné.
Metodika zaistenia súladu personálnych procesov s GDPR – dokument vo formáte PDF priamo generovaný z aplikácie GDPR. Je to predvolený návrh, ktorý je možné užívateľsky upraviť. Súčasťou dokumentu je aj príloha s pravidlami mazania osobných údajov.
Obsah metodiky – vodítko pre štruktúru internej smernice: definícia, náborový proces, nástup zamestnanca, evidencia údajov o zamestnancovi, údaje o zdravotnom stave, monitoring zamestnancov, žiadosti zamestnancov a ďalších dotknutých osôb na uplatnenie práv, sprístupnenie údajov o zamestnancoch, zabezpečenie osobných údajov (bezpečnostný model).
Auditovanie a logovanie – rieši čiastkovú požiadavku na preukazovanie prevádzky v súlade s GDPR. Je vylepšená evidencia: kto čo menil, ako menil, kto čo exportoval, kto sa na čo pozeral, kto čo spúšťal. Kladie to ale vysoké nároky na systémové prostriedky. Analyzátor logov sa spustí nad všetkými logmi dohromady. Obsahuje podrobné štatistiky, pomôže pri odhaľovaní anomálií, poslúži k spätnej analýze bezpečnostného incidentu: kto neoprávnene pristupoval k údajom, ktoré údaje presne videl, ako a kedy incident prebiehal.
Pseudonymizácia – jedná sa o oddelenie identifikačných údajov od zbytku dát a Nariadenie o GDPR ich nevyžaduje, takže v našom software riešiť nebudeme a jednoznačne neodporúčame. Je určené pre iný typ informačného systému než pre personálny.
O seminár bol veľký záujem, pohľad do sály
Úpravy zmluvných vzťahov medzi Vemou a zákazníkmi
Týka sa len zmluvných vzťahov, v ktorých Vema vystupuje ako sprostredkovateľ, teda v prípadoch využívania cloudu a u outsourcingu miezd. Pri cloude sa jedná o dáta iba v rámci ČR, nie mimo EÚ.
Ďalšie technické prostriedky (produkty), ktoré pre plnenie povinností podľa Nariadenia odporúčame využívať:
- Personalistika
- Výberové konanie
- V4 Cloud
- Výplatný lístok na mobil
Záver seminára bol venovaný odpovediam na otázky.