Nové evropské nařízení o ochraně osobních údajů, které začne platit 25. května, nutí firmy myslet jinak. U každého osobního údaje by měly například pečlivě zvážit, zda ho pro svou práci vůbec potřebují, a upravit své interní postupy tak, aby to se sběrem dat, která filozofie nového nařízení povyšuje na platidlo srovnatelné s penězi, nepřeháněly.
Podle advokátky bpv Braun Partners Gabriely Jirákové bývají pro většinu společností bolavým místem databáze neúspěšných uchazečů o zaměstnání. Po skončení výběrového řízení by totiž podle nových pravidel měli personalisté údaje neúspěšných kandidátů smazat.
V praxi si to ale nedokážou představit. "Od klientů slýcháme, že potřebují například životopisy neúspěšných kandidátů schraňovat pro případ, že by jim vybraný uchazeč dal výpověď ve zkušební době," popsala na workshopu organizovaném vydavatelstvím Economia Jiráková.
28. 3. – Co čekat od Úřadu pro ochranu osobních údajů?
4. 4. – Mýty o GDPR
11. 4. – Za co (ne)utrácet
K tomu, aby byla práce personalistů v souladu s novými pravidly, přitom stačí málo. "Diskusí se dopracováváte k tomu, že zdaleka nepotřebují uchovávat životopisy všech neúspěšných uchazečů. Stačí jim ti, kteří se ve výběrovém řízení umístili na druhém a třetím místě," dodává Jiráková. V takovém počtu už pak nebude pro personalisty náročné neúspěšné uchazeče oslovit a požádat o souhlas s uchováním jejich osobních údajů pro další možnou pracovní nabídku v budoucnu.
Právě tak mohou vypadat drobné změny v zaběhlých postupech, které mohou zaměstnavatelům přípravu na nové nařízení o ochraně osobních údajů usnadnit. A podobně jednoduché to může být i v jiných oblastech, které nová pravidla mění, ačkoliv se na první pohled mohou zdát novinky složité. Týká se to třeba i omezení doby uložení osobních údajů. Osobní data zákazníků, zaměstnanců nebo obchodních partnerů totiž podle nařízení nesmí v databázi správce dat zůstat na věky věků, ale jen po přesně vymezenou dobu. Po jejím uplynutí se musí z databáze smazat.
Přesná doba, po kterou může firma osobní údaje uchovávat, by měla vyplynout z konkrétního účelu, pro nějž data schraňuje. Ten si musí každý správce dat před zahájením zpracování podle nového nařízení jasně definovat. Typickým příkladem účelu může být například plnění objednávky. Obchodník uzavře smlouvu se zákazníkem, dodá mu zboží a zákazník zaplatí kupní cenu. Tím končí hlavní účel vztahu.
Navazovat na něj pak může další důvod, který opravňuje obchodníka dál data klienta držet. "Je to doba, po kterou některá ze stran může uplatnit další nároky − třeba nároky z odpovědnosti za vady. Jde o tzv. kompatibilní účel, na který se váže zákonem stanovená promlčecí doba tři roky nebo až 10 let, podle toho, co si správce obhájí," vysvětluje Jiráková.
Udělat si pořádek v účelech zpracování a lhůtách může firmám pomoci jednoduchá excelová tabulka. "Bude vám sloužit i do budoucna − budete vědět, kde hledat informace ke konkrétním procesům," radila právnička účastníkům semináře.
Důležité je ale také to, aby informace o novinkách v rámci GDPR nezůstaly ve firmách, kterých se týkají, jen na papíře nebo v excelovém souboru. Dostat se musí ke každému zaměstnanci, který za firmu vstupuje do kontaktů s veřejností nebo komunikuje se zákazníky. Jen tak se totiž nová pravidla odrazí v každodenním fungování podniku.