Zákaznícky web

Vema sa pripravuje na GDPR

Viac
GDPR
18.10.2017

Na seminári vysvetlila 7 princípov a predstavila nový produkt

Ako to bude s mazaním osobných údajov podľa GDPR a majú zákazníci sami riešiť dodatky zmluvy s Vemou? Nielen to sa dozvedeli zástupcovia škôl, nemocníc, úradov aj komerčných firiem v stredu 18. septembra na špeciálnom seminári Vemy v Brne.

od mája 2018 musí aj vo vašej organizácii alebo firme fungovať správa osobných údajov podľa európskeho nariadenia ako „po masle“. A pretože je dôležité GDPR riešiť z hľadiska práva a z hľadiska informačných systémov, mal seminár dve časti:

Najprv sa predstavil právnik Jan Tomíšek mladší, ktorý sa v advokátskej kancelárii ROWAN LEGAL venuje právu informačných technológií. Rozobral GDPR po právnej stránke a vysvetlil, ako nariadenie ovplyvňuje správu údajov v HR.

Potom vystúpil riaditeľ Vemy Peter Vilem. Ten vysvetlil, aké zmeny v systémoch pripravujú a ako Vema svojim klientom s GDPR pomôže.

 

Anonymizácia? Môže byť veľmi zložitá

 

„Už ste počuli niečo o GDPR?” zahájil svoju prednášku Jan Tomíšek mladší – a zdvihli sa ruky. Ale na nasledujúcu otázku, aká je definícia osobného údaju, sa prihlásilo o poznanie menej ľudí. Preto Jan Tomíšek začal vysvetlením dôležitých termínov ako:

  • osobné údaje a ich spracovanie,
  • prevádzkovateľ, sprostredkovateľ a dotknutá osoba,
  • zvláštna kategória údajov,
  • anonymizácia údajov
  • alebo čo všetko sú osobné údaje a čo patrí medzi citlivé údaje.

 

 

„Predstavte si svoj informačný systém vo veľmi zjednodušenej podobe. Na riadku sú všetky údaje o zamestnancovi. Vy odstránite meno a rodné číslo, lenže ani vďaka tomu nebudú dáta anonymné. Keď pripnete v práci na nástenku papier s pracovnou pozíciou, predchádzajúcimi skúsenosťami, vekom a platom, všetci zamestnanci budú hneď vedieť, o koho ide,” vysvetlil Jan Tomíšek, čo všetko je možné považovať za osobné údaje.

Svoju prezentáciu odštartoval Jan Tomíšek výkladom dôležitých termínov. Postupne sa prepracoval k detailom, ktoré sa týkajú GDPR v HR.
Svoju prezentáciu odštartoval Jan Tomíšek výkladom dôležitých termínov.
Postupne sa prepracoval k detailom, ktoré sa týkajú GDPR v HR.

 

7 princípov GDPR

 

GDPR je nariadenie Európskeho parlamentu. „Znamená to, že nepotrebujeme českú legislatívu, aby pre nás GDPR od 25. mája platilo. Českí zákonodárcovia samozrejme pripravujú Zákon o spracovaní osobných údajov, ktorý upraví dopady GDPR do českého právneho poriadku. Ale aj keď tento zákon včas neschvália, na GDPR to nič nemení. Termín je záväzný,” povedal Jan Tomíšek, aby upozornil na to, že prijatie českého zákona zrejme oddialili voľby.

Pochopiť základnú myšlienku GDPR preto musí každý zamestnávateľ. Takýchto princípov je hneď sedem, ale pozor – iba ten siedmy je skutočná novinka. Všetky ostatné princípy sú už teraz súčasťou doterajšej českej legislatívy

  1. Každé spracovanie osobných údajov musí mať právny základ, ktorý označuje oprávnenosť legislatívneho postupu. Tým je napríklad súhlas, právna povinnosť (do tej spadá napríklad podanie daňového priznania za zamestnanca) alebo oprávnený záujem.
  2. Údaje môžete spracovávať len pre určitý účel, ktorý vyplýva z právneho základu.
  3. Môžete zhromažďovať len údaje, ktoré potrebujete pre svoj účel spracovania údajov, a uchovávať ich len po nevyhnutne dlhú dobu.
  4. Údaje, ktoré spracovávate, musia byť presné.
  5. Pri spracovaní údajov musíte byť transparentní – aby o ňom váš zamestnanec vedel a mohol ho kontrolovať.
  6. Spracovávané osobné údaje musíte zabezpečiť – napríklad pred stratou alebo neoprávnenou manipuláciou s nimi.
  7. Máte povinnosť zaistiť súlad s nariadením a vedieť tento súlad aktívne preukázať.

 

GDPR v HR systémoch

 

GDPR je podľa Jana Tomíška mladšieho problémom pre zamestnávateľov, ktorí nefungujú ani v súlade so súčasnou slovenskou legislatívou o ochrane osobných údajov. „Pre tieto firmy a organizácie bude GDPR naozajstnou revolúciou. GDPR významne nemení princípy ochrany osobných údajov – predovšetkým narastajú sankcie za nedodržanie,” upozornil právnik.

Z hľadiska HR by sa mali firmy a organizácie riešiť napríklad na:

  • Správny spôsob skladovania vyžiadaných a nevyžiadaných životopisov.
  • Vyhľadávanie informácií o uchádzačoch na sociálnych sieťach – možné je prejsť profesijnú sieť LinkedIn, za nevhodné sa považuje kontrolovať Facebook.
  • Vyžadovanie len tých informácií o budúcom zamestnancovi, ktoré sú pre zamestnávateľa skutočne relevantné.
  • Riadne informovanie zamestnancov a uchádzačov o spracovanie ich údajov.

 

 

„Témou z každodenného života je napríklad monitoring zamestnancov. Je to sledovanie, či v e-

mailoch nie sú vírusy, nahrávanie hovorov na call centre či kamerový systém v sklade. GDPR to nezakazuje, ale hovorí, že zamestnávateľ musí monitorovanie minimalizovať, zdôvodniť jeho nevyhnutnosť a mať k nemu právny základ,” vysvetlil Jan Tomíšek ešte pred prestávkou ďalších z tém, ktoré sú pre zamestnávateľa kľúčové.

Po prestávke Jan Tomíšek mladší svoju prednášku dokončil. Podrobnejšie rozobral napríklad anonymizáciu. Pokiaľ skončí účel spracovania dát alebo človek odvolá svoj súhlas so spracovaním dát, musíte údaje zlikvidovať:

  • zmazaním
  • alebo anonymizáciou.

To sa našťastie netýka dát, ktorá majú organizácie ako zálohu. Lenže v situácii, kedy je potrebné sa k zálohe vrátiť, ju musíte uviesť do súladu so súčasnou databázou údajov a údaje prečistiť, aby spĺňali požiadavky GDPR. 

 

GDPR: niektoré potrebné funkcie sú vo Veme už teraz

 

Po svojom synovi prevzal mikrofón Jan Tomíšek starší, riaditeľ spoločnosti Vema. Vo svojej prednáške vysvetlil ďalší postup:

 

  • Vema sa aktuálne zaoberá technickým riešením GDPR, ale organizačné opatrenia si musí urobiť každá firma či inštitúcia na mieru.

 

  • Zmluvné vzťahy budú upravené novými zmluvami, ktoré Vema včas predloží svojim klientom.

 

 

 „Mnoho funkcií potrebných kvôli GDPR vo Veme nájdete už teraz. Pre väčšie organizácie je dôležité obmedzenie osôb, ktoré majú prístup k vybraným dátam. Vďaka logovaniu a auditovaniu monitorujete prevádzku informačného systému. A hlavne je vyriešený problém, ktorý trápi mnoho ľudí – ako ukladať takzvané neštrukturované dáta. Pomôže vám s tým aplikácia Personalistika, kde môžete už teraz izolovať a ukladať dáta do centrálnej databázy,” vysvetlil poslucháčom Peter Vilem starší.

Vema síce chystá kvôli GDPR nový produkt, ale niektoré povinnosti v systéme zariadite už teraz.   Peter Vilem v sále hotela Nivy vysvetlil, ako na to.
Vema síce chystá kvôli GDPR nový produkt, ale niektoré povinnosti v systéme zariadite už teraz.  
Peter Vilem v sále hotela Nivy vysvetlil, ako na to.

 

S novým produktom zvládnete naplniť práva zamestnancov

 

S ostatnými procesmi, ktoré vyžaduje GDPR, pomôže nový produkt. Ten bude včas k dispozícii a vyrieši napríklad splnenie práv zamestnancov:

  • Systém Vema umožní zamestnancom jednoducho priamo v Portálu zistiť, ktoré údaje o nich organizácia zhromažďuje. Pre každého človeka bude možné vytlačiť súhrn dát tiež v PDF.
  • Systém Vema umožní vyexportovať dáta do strojovo čitateľného formátu XML, aby si ich mohol zamestnanec odniesť.
  • Pri každej položky v databáze bude pripojená informácia o jej životnosti. Vďaka tomu môžete dáta po expirácii selektívne mazať.

 

 

„Nariadenie GDPR je možné aplikovať iba v rámci technických a finančných možností. Preto nebudeme selektívne zabúdanie údajov implementovať do starších verzií aplikácií Vema alebo do archívov. Predstavte si, ako by ste mazali vybrané položky napríklad na páske, ktorú máte uloženú v archíve,” vysvetlil na príklade Peter Vilem.

V druhej časti svojej prednášky spomenul Peter Vilem starší ďalšiu dôležitú tému – zmluvné vzťahy Vemy a ich klientov, ktorí využívajú V4 Cloud alebo outsourcing miezd. Kvôli GDPR bude potrebné zmeniť znenie zmluvy. „Návrhy dodatkov k zmluvám pripravíme pravdepodobne v marci. Chceme, aby boli čo najkvalitnejšie. Zatiaľ stále sledujeme výklady legislatívy a všetkým klientom zabezpečíme dodatok v súlade s GDPR,” povedal Peter Vilem.

Copyright 2019 Vema.sk