Čo všetko môže požadovať zamestnanec alebo človek, ktorý vám poskytol osobné údaje? GDPR im dáva 3 základné práva. Zistite, ktoré to sú, a buďte na nároky zamestnancov včas pripravení.
1. Právo na prístup k osobným údajom
Človeka, ktorý poskytuje svoje súkromné dáta, nazýva GDPR „dotknutou osobou“. Tá má právo vedieť, čo o nej prevádzkovateľ eviduje.
V článku 15 druhého oddielu nariadenia sa dočítate, ktoré informácie musí na vyžiadanie vydať prevádzkovateľ údajov každej dotknutej osobe. Takýto súpis informácií od prevádzkovateľa údajov získajú zamestnanci zadarmo. Môže obsahovať napríklad:
- účely spracovania údajov,
- zoznam osobných údajov,
- upresnenie, kto má k údajom prístup.
Právo na prístup k údajom je zatiaľ možné interpretovať veľmi zo široka – zamestnanci by mohli požadovať napríklad aj záznamy z firemnej kroniky alebo fotky z teambuildingu.
2. Právo na prenositeľnosť údajov
Osobné údaje ako balíček, ktorý si človek môže vziať kamkoľvek so sebou. Tak bez preháňania vyzerá právo na prenositeľnosť údajov. Každý zamestnanec môže požiadať svojho zamestnávateľa, aby mu dal v strojovo čitateľnej podobe všetky evidované údaje.
Rovnako tak si o výpis môže požiadať človek, ktorý udelil súhlas so spracovaním údajov. (Ale tento variant sa užívateľov softwaru Vema netýka.)
Z GDPR samozrejme nevyplýva, v akom formáte by dáta presne mali byť. Údaje v podobe dátovej správy je možné odniesť si napríklad na:
- CD
- alebo flash disku.
Právo na prenositeľnosť údajov dáva zamestnancom možnosť odovzdať údaje inému prevádzkovateľovi – napríklad novému zamestnávateľovi.
3. Právo na výmaz
Právo na výmaz alebo tiež právo byť zabudnutý popisuje nariadenie v článku 17 tretieho oddielu na strane 43 a 44. Znamená to, že zamestnávateľ musí zmazať všetky údaje o svojom zamestnancovi či zákazníkovi, u ktorého pominul právny dôvod alebo oprávnený záujem k ich uchovávaniu. To sa stane napríklad v okamihu, kedy:
- osobné údaje už nie sú potrebné
- alebo zákazník odvolá súhlas ku spracovaniu osobných údajov.
Pozrime sa na príklad zamestnanca Petra. Rozviazal pracovný pomer vo firme v Liberci, presťahoval sa do Jičína a podpísal novú pracovnú zmluvu. Ale pôvodný zamestnávateľ má stále právny dôvod niektoré dáta o Petrovi uchovávať.
Ako sme totiž popisovali v minulom diely seriálu o GDPR, rozviazanie pracovnej zmluvy neznamená, že zamestnávateľ z Liberca ihneď bezhlavo zmaže všetky údaje o Petrovi.
Údaje maže zamestnávateľ postupne podľa toho, kedy uplynú právne dôvody či oprávnený záujem. Petr pritom nemusí zamestnávateľovi pripomínať, aby údaje zmazal. Má na to automatické právo.
Všetko zmazať sa ľahko povie, ale horšie vykoná. Z interpretácie GDPR zatiaľ môžeme odvodiť, že splnenie práv a povinností musí byť technicky uskutočniteľné. A to bez veľkej finančnej záťaže.
Českí poslanci majú možnosť v budúcnosti do GDPR zasiahnuť. Môžu odhlasovať nový český zákon, ktorý Nariadenie EU číslo 2016/679 upraví. So žiadnymi veľkými zmenami ale nepočítajte – GDPR môžu poslanci iba upresniť alebo dokonca sprísniť, bohužiaľ nie zmierniť.
Vo Veme už pracujeme na tom, aby ste vo svojich softwaroch všetky požiadavky európskej legislatívy zvládli splniť.
To nie je o GDPR všetko. Prečítajte si i 1. diel a 2. diel nášho seriálu a sledujte nás na Facebooku alebo Twitteri, kde vám dáme vedieť nielen o GDPR novinkách.