Lze vycházet ze skutečnosti, že většina společností má již poměrně konkrétní povědomí o tom, co to nařízení GDPR je a jaké povinnosti z něj pro správce či zpracovatele osobních údajů vyplývají. Příprava plánu implementace však v jednotlivých projektových manažerech vyvolává řadu otázek, na které si bez odborné pomoci mnohdy nedokážou odpovědět. V rámci interaktivního workshopu proto Gabriela Jiráková účastníkům představila nejdůležitější instituty GDPR, popsala základní metodiku, podle které lze implementovat GDPR do systémů společností, a hlavně upozornila účastníky na časté chyby, kterých je třeba se ve vlastním zájmu vyvarovat.

GDPR nepodceňujte, ale ani nepřeceňujte

Aby se dalo GDPR efektivně implementovat, bylo nezbytné pochopit základní pojmy GDPR včetně základních zásad, na kterých je postaveno. Advokátka Jiráková uvedla několik příkladů z praxe, v rámci nichž špatná informovanost managementu vedla k bagatelizování implementace GDPR, v důsledku čehož se zprvu mnoho společností rozhodlo implementaci vůbec neprovádět či ji provedlo nedostatečně a nyní toho firmy litují a nestíhají. Snad ani není třeba dodávat, že možné následky tohoto počínání jsou zbytečné. To však neznamená jen riziko sankcí, ale také riziko následného mnohem většího zásahu do provozu společnosti, když se GDPR bude implementovat jaksi "zrychlenou" cestou. Tedy hlavní poučení pro účastníky - zjistit si fakta.

Během workshopu byla velmi konkrétně rozebrána nejdiskutovanější témata GDPR, mezi která patří posouzení vlivu, záznamy zpracování, plnění informační povinnosti vůči subjektům údajů, postup při provozování kamerových systémů, smlouvy o zpracování osobních údajů a v neposlední řadě také ohlašování případů porušení zabezpečení. Zejména smlouvy o zpracování osobních údajů byly předmětem rozsáhlé diskuse - především s ohledem na to, že povinnost jejich sepsání se týkala prakticky každého z účastníků (např. těch, kteří spolupracují s externí mzdovou účetní). U ohlašování případů porušení zabezpečení pak byla účastníkům na jedné straně zdůrazněna naléhavost této povinnosti, kterou podporuje velmi krátký časový limit pro ohlášení - bez zbytečného odkladu a pokud možno do 72 hodin, nicméně vodítka pracovní skupiny WP29 jsou ve svém výkladu bezpečnostního incidentu poněkud shovívavější, a ne každý bezpečnostní incident musí tedy být nutně incidentem majícím riziko pro práva a svobody fyzických osob.

Metodika implementace

Po vystavění znalostní platformy se přistoupilo k popisu metodiky implementace GDPR. Praktické zkušenosti Gabrielu Jirákovou přiměly věnovat se nejprve často opomíjeným obecným pravidlům při tvorbě jakéhokoli plánu, mezi které patřily stanovení cílů, jasný časový plán a alokace lidských a finančních (a případně dalších) zdrojů. Je třeba do čela projektového týmu postavit schopného člověka, který se dokáže úkolu implementace zhostit zodpovědně a především efektivně a racionálně.

Metodika je dále rozdělena na fázi mapování a fázi implementace. V rámci fáze mapování se zjišťuje současný stav zpracování osobních údajů ve společnosti. Při této fázi bylo všem doporučeno klást důraz na součinnost ve společnostech, jinak může implementace GDPR trvat měsíce, ne-li roky. Po zmapování procesů a dokumentace je na řadě fáze implementace, tedy realizace změn, která pro projektového manažera není vůbec snadná. Je třeba se vzepřít stávajícím procesům a nebát se mnoho věcí přenastavit, což se nesetkává s kladnou odezvou především ze strany zaměstnanců. Proto je důležité věnovat čas a prostor školením zaměstnanců, neboť nastavená opatření budou realizovat právě oni. Opomenout by se neměl ani důsledný kontrolní mechanismus, který je třeba nastavit souběžně se zavedením nových procesů, jinak nebude mít implementace smysl.

Garbriela Jiráková působí jako advokátka specializující se na procesní právo, farmaceutické právo, obchodní právo, rodinné právo a ochranu osobních údajů.

Garbriela Jiráková působí jako advokátka specializující se na procesní právo, farmaceutické právo, obchodní právo, rodinné právo a ochranu osobních údajů.
Foto: Libor Fojtík

Dnes již je víceméně jasné, že GDPR se nevyplatí podceňovat, ale ani příliš přeceňovat. Základní úpravy jednotlivých procesů a navazující dokumentace za účelem souladu s GDPR však běžně bývají v časových, finančních i provozních možnostech společností.

GDPR v pracovněprávních souvislostech

Pravidla GDPR se vztahují i na zaměstnavatele. Zaměstnavatel musí zpracovávat osobní údaje svých zaměstnanců, aby dostál svým povinnostem, které mu vyplývají ze zákonů České republiky. Mají to však o to těžší, že si nevystačí jen s výkladem samotného GDPR, ale další důležitá pravidla musí hledat i v zákonech České republiky upravujících pracovněprávní problematiku. Nejdůležitějším z nich je zákoník práce. Nalezneme v něm třeba pravidla pro vedení osobního spisu o každém zaměstnanci. Už mnoho let platí a budou platit i po nabytí účinnosti GDPR mantinely pro zaměstnavatele, jaké údaje smějí a jaké naopak nesmějí zpracovávat o uchazečích o zaměstnání a o svých zaměstnancích.

Lucie Kalašová účastníkům workshopu připomněla, že zaměstnavatel smí vyžadovat v souvislosti s jednáním před vznikem pracovního poměru od uchazeče o zaměstnání nebo od jiných osob jen údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy.

Zaměstnavatel naopak nesmí vyžadovat od zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a s pracovním poměrem nebo s uzavřenou dohodou mimo pracovní poměr. Mezi takové patří informace o sexuální orientaci, původu, členství v odborové organizaci, členství v politických stranách nebo hnutích, příslušnosti k církvi nebo náboženské společnosti. Údaje o těhotenství, rodinných a majetkových poměrech a trestněprávní bezúhonnosti může zpracovávat, pokud je k tomu dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, nebo v případech, kdy to stanoví zákon. Zakázané informace nesmí zaměstnavatel získávat ani od třetích osob. V případě, že zaměstnavatel zákaz poruší, může být pokutován ze strany inspekce práce.

Nešvary z praxe

Lucie Kalašová se snažila předat účastníkům workshopu co nejvíc praktických poznatků, které mohou uplatnit ve vlastní praxi. Zdůraznila, že se v praxi opakovaně setkává v pracovních smlouvách se souhlasy se zpracováním osobních údajů, které jsou vyžadovány zaměstnavatelem od všech zaměstnanců bez rozdílu za účelem realizace pracovního poměru. Takový postup je jednoznačně chybný již podle stávajícího zákona na ochranu osobních údajů. Naplňuje dokonce skutkovou podstatu správního deliktu chybného plnění informační povinnosti správce.

Pověřenec pro ochranu osobních údajů

Samotné zpracování osobních údajů pro realizaci pracovněprávního vztahu nezakládá povinnost jmenovat pověřence pro ochranu osobních údajů. Pověřenec je ale horké téma, které mnoho lidí zajímá. Důvodem může být, že je tato pozice v českém právním řádu zcela nová. Dalším důvodem je i ryze praktický fakt, že veřejnost většinou nemá povědomí, kdo pověřenec vlastně je, co má dělat a zda jsou povinni pověřence jmenovat. V případě, že nejsou povinni pověřence jmenovat, zda by měli o jeho jmenování uvažovat a jmenovat jej dobrovolně nebo jaké jiné alternativy mají. Velké výkladové problémy činí definice obsažené v GDPR, kdy jsou správce, ale i zpracovatel povinni pověřence jmenovat. Lucie Kalašová věnovala této novince značnou část workshopu, aby účastníkům pomohla získat alespoň základní orientaci.

Doporučila, že pokud už se správce nebo zpracovatel rozhodnou pověřence jmenovat, měli by věnovat zvýšenou pozornost smluvnímu nastavení spolupráce a náležitému zapojení pověřence do běžného chodu podniku. To platí nejen v případě, že pověřenec bude externista, ale nepochybně i tehdy, bude-li pověřence vykonávat zaměstnanec.

Mnoho společností řeší problém, že se domnívají, že pověřence nevytíží na plný úvazek. Z různých důvodů částečný úvazek pro ně není řešení. Lucie Kalašová upozornila, že funkce pověřence nemusí být jedinou činností, kterou konkrétní osoba pro společnost vykonává. Důležité je ale pamatovat na fakt, že pověřenec se nesmí dostat do střetu zájmů. Některé souběžné činnosti jsou tak pro pověřence přímo vyloučeny. Patří mezi ně funkce s rozhodovací pravomocí o zpracování osobních údajů, ale třeba i interní auditor.

 

Článek byl publikován v měsíčníku Právní rádce.