Firmy jsou dnes svazovány celým spektrem norem, které musí splňovat. Příkladem jsou ISO 9001 či ISO 14001 a další standardy pro řízení jakosti, ITIL, COBIT, zákon o kybernetické bezpečnosti… A tím zdaleka nekončíme.
Tyto normy se pak prolínají řadou podnikových procesů, které je třeba řídit, a do toho všeho nyní přichází nový standard GDPR, který je v porovnání s ostatními z pohledu své implementace jedním z nejkomplexnějších. Požadavky GDPR totiž nutně vyžadují orientovat se na profesionální úrovni hned v několika oblastech:
Komplexnost celé problematiky GDPR stejně jako důsledky plynoucí z nedodržení legislativy jsou tedy jasné. Známe již „proč“ i „čeho se obávat“ ze strany GDPR. Nyní se podíváme na praktický příklad implementace GDPR v konkrétní oblasti.
Řízení lidských zdrojů je jedním z mnoha procesů, jichž se nařízení GDPR významně dotkne. Není proto divu, že někteří účastníci kurzu byli specialisty právě na problematiku HR. Bližší objasnění některých klíčových otázek, které personalisty obecně zajímají, poskytl Vilém Umlauf, lektor kurzu Ochrana dat dle nařízení EU 2016/679 (GDPR) od společnosti ICT Pro, v krátkém rozhovoru.
1. Jaké jsou první kroky v implementaci GDPR do HR procesů?
Prvním krokem bude muset vždy být aktualizace strategie firmy. Je třeba ji doplnit o další cíle v rámci implementace GDPR, stanovit aktiva, rizika apod.
Dalším krokem je popsat procesy. Příklad struktury procesů HR naleznete v grafu (rozklikněte obrázek pro větší náhled).
Po vytvoření této vrcholové struktury procesů HR je navazujícím krokem jejich detailní popis. Jde o celkový pohled na proces tzv. end-to-end, ze kterého lze vyčíst:
Na dalším obrázku (rozklikněte pro větší náhled) je uvedena ukázka fragmentu procesu - činnosti s vazbami na vstupy a výstupy. Konkrétně jde o proces Nástup zaměstnance, v rámci kterého je nezbytně nutné založit osobní dokumentaci zaměstnance. Netřeba zdůrazňovat, že se jedná o jeden z nejrizikovějších zdrojů osobních údajů.
Co lze z obrázku vyčíst? Kromě specifikované činnosti získáme také následující informace:
2. Jak by dle GDPR měl normativně správně probíhat proces sběru osobních údajů během náborového procesu?
Není prakticky možné vytvořit jeden standard na jakýkoliv proces. GDPR nedává taxativní požadavky pro jednotlivé oblasti procesů či dokonce činnosti. K tomu správnému postupu (zdůrazňuji: „správnému“ z pohledu konkrétní firmy) si musí management dojít sám prostřednictvím důkladné a důsledné analýzy. Vždy je potřeba zvážit, co firma dělá, jaké zaměstnance potřebuje, jaké smlouvy dává atd.
Další obrázek ukazuje proces Vyhledání zaměstnance. Je patrné, že není rozhodně triviální, a tak je přiložený náhled spíše jeho pouhou ilustrací. Jedinou a správnou variantou je tudíž důkladná analýza procesu, všech vstupů a výstupů z jednotlivých činností a další atributů. Analýzou a optimalizací procesu lze následně vyhovět požadavkům na GDPR.
3. Dle nařízení mají kandidáti právo získat přístup ke svým údajům a také požádat o jejich výmaz. Jaká úskalí v tomto směru vznikají a jak jim předejít?
Odpověď lze nalézt přímo v citaci ze zákona: „V rámci GDPR je třeba stanovit postupy, které by usnadnily výkon práv subjektů údajů podle tohoto nařízení, včetně mechanismů pro podávání žádostí a případně bezplatného obdržení přístupu k osobním údajům a opravy nebo výmazu osobních údajů a pro uplatnění práva vznést námitku.
Správce - firma by měl rovněž zajistit podmínky pro to, aby žádosti mohly být podávány elektronicky, zejména v případě zpracování osobních údajů elektronickými prostředky.
Správci by měla být uložena povinnost reagovat na žádosti subjektu údajů bez zbytečného odkladu a nejpozději do jednoho měsíce a uvést důvody v případě, že nemá v úmyslu těmto žádostem vyhovět.“
K čemu vede? K uvědomění si, že GDPR je o procesech popsaných a provázaných tak, aby se firma dokázala tzv. "vyvinit" z případného incidentu nebo pokusu o něj.
4. Firmy budují svou značku, aby přilákaly nové uchazeče. Využívají k tomu mimo jiné fotografie či videa se zaměstnanci. V jakých případech je nutné si vyžádat jejich souhlas?
Fotografie zaměstnanců je typický osobní údaj. Interně ve firmě lze definovat jako oprávněný zájem, ale i tak bych si jako firma raději obstaral souhlas zaměstnance. Nikdy nevíte, co se stane, když se s nějakým člověkem ve firmě rozloučíte. Pro externí potřebu jednoznačně se souhlasem subjektu – tedy zaměstnance.
5. Jaké formální náležitosti by měl souhlas splňovat?
Záleží opět na typu a povaze firmy. Obecně řečeno vše, co potřebujete k vlastní obhajobě v případě incidentu a následujícího sporu. Přeci jen jde v případě sankcí o velké peníze…
Poslední otázku si musíte zodpovědět sami, anebo své dotazy rovnou přijďte zkonzultovat s odborníkem do kurzu ICT pro. Jeho lektor, Vilém Umlauf, je profesionálem s živou praxí a v průběhu setkání prokládá problematiku konkrétními příklady a podněcuje k otevřené diskuzi, na jejímž základě si účastníci mohou vyvodit konkrétní důsledky, které GDPR vnáší do jejich podnikání.
Navštivte některý z plánovaných termínů kurzu Ochrana dat dle nařízení EU 2016/679 (GDPR) od společnosti ICT Pro, které se konají v Praze a Brně nebo si nechte ušít kurz na míru přímo dle požadavků vaší společnosti.