I když je toto nařízení, které je nejčastěji známé pod zkratkou GDPR (General Data Protection Regulation), platné od 27. dubna 2016 a nahradí zákon č. 101/2000 Sb. o ochraně osobních údajů, dlouho se nic nedělo. Přípravě na GDPR doposud věnovaly pozornost jen velké organizace zpracovávající osobní data značného množství fyzických osob (jiných než vlastních zaměstnanců) jako banky, pojišťovny, nemocnice atd.
Na podzim letošního roku se situace změnila. K problematice GDPR začala vycházet celá řada článků a informací. Firmám a organizacím nyní přichází spousta nabídek - od pozvánek na školení, semináře, konference až po zavedení a implementaci GDPR. Společným motivem je obvykle poukázání na výši pokut, které mohou být uplatněny v případě, že správce údajů poruší nějakou povinnost z GDPR vyplývající.
Téměř každý správce osobních údajů v nějaké podobě využívá některý mzdový a personální informační systém a je logické, že zejména subjekty, které zpracovávají osobní údaje pouze svých zaměstnanců, považují za zásadní, jak tento informační systém požadavkům GDPR vyhovuje. Při tom je třeba vzít v úvahu:
- dnes neexistuje žádná certifikační autorita (opravdu žádná), která by provedla certifikaci softwaru a osvědčila, že posuzované řešení splňuje požadavky GDPR;
- společnost, která dodává a implementuje příslušný mzdový a personální informační systém není ve vztahu ke správci osobních údajů zpracovatelem osobních údajů;
- dobrý mzdový a personální informační systém může nabídnout správci osobních údajů řadu možností, jak zabezpečit zpracování osobních údajů, ale další nutné činnosti pro zajištění GDPR za něj neudělá.
Možností, jak přistoupit k řešení požadavků GDPR v informačních systémech, je jistě celá řada. Značnou výhodu mají zejména větší vývojové firmy, které dnes nezbytné požadavky splňovaly již v době, kdy o žádném GDPR ještě neslyšely, a nyní mají možnost vytváření speciálních GDPR modulů, které mohou nabídnout svým zákazníkům.
Lze říci, že by mzdový a personální informační systém měl svým uživatelům umožnit zejména:
- získat informace o tom, který uživatel, v jaký čas a na jakém počítači byl přihlášen do systému;
- získat informace o tom, který uživatel, v jaký čas a ze kterého počítače procházel klíčovými uzly systému;
- evidenci výstupů ze systémů, tedy, který uživatel a v jakém čase připravil některou sestavu nebo soubor;
- evidenci změn (kdo a kdy povedl změnu osobního údaje, hodnota před změnou a hodnota po změně);
- provedení výpisu osobních údajů ve formě a na nosičích vhodných k předání subjektu údajů;
- provedení výmazu, případně pseudonymizace osobních údajů;
- a samozřejmě některé další funkce.
Tak, jak se bude blížit termín účinnosti GDPR, budou se zcela jistě stupňovat požadavky uživatelů na další funkce mzdových a personálních informačních systémů a bude třeba rozlišit požadavky oprávněné od těch těžko realizovatelných. V úvahu vždy bude třeba vzít i skutečnost, že jedním z principů GDPR je úměrnost vynaložených nákladů a míry zabezpečení osobních údajů a určitě nelze nutit malé subjekty k nákupu drahých softwarových řešení, kdy by tento princip byl porušen.
Dalším důležitým momentem potom bude udělení oprávnění některým společnostem k certifikaci informačních systémů (tj. že systém splňuje požadavky GDPR). Po získání takového certifikátu od oprávněné certifikační autority budou mít vývojové firmy jasné potvrzení toho, že jejich software (na rozdíl od některých jiných) GDPR splňuje, a to jsou schopni doložit svým klientům.
V současné době by tedy pozice správců osobních údajů ve vztahu k dodavatelům mzdových a personálních informačních systémů měla být asi taková:
Chceme, aby nám váš mzdový a personální informační systém umožnil uživatelsky jednoduchým a přívětivým způsobem zpracování osobních údajů dle zásad GDPR. Víme ovšem, že veškerou práci při zavádění GDPR v naší společnosti za nás neudělá a odpovědnosti nás nezbaví.