GDPR

Čo je GDPR (General Data Protection Regulation)?

GDPR (General Data Protection Regulation) je všeobecné nariadenie Európskej únie č. 2016/679 o ochrane osobných údajov, účinné od 25. mája 2018. Upravuje, ako môžu organizácie zhromažďovať, používať, uchovávať a zdieľať osobné údaje fyzických osôb. V HR praxi stanovuje pravidlá pre spracúvanie údajov uchádzačov o prácu, zamestnancov a bývalých zamestnancov.

GDPR skratka označuje jednotné pravidlá platné vo všetkých členských štátoch EÚ. V slovenskej legislatíve sa uplatňuje aj zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý dopĺňa a vykonáva GDPR. Pojem GDPR zákon sa v praxi používa neformálne, právne však ide o nariadenie priamo účinné vo všetkých krajinách EÚ.

GDPR v HR praxi: povinnosti a príklady

V personalistike sa spracúvajú najmä údaje z náboru (životopisy, motivačné listy, záznamy z pohovorov), pracovnoprávne údaje (zmluvy, mzdy, dochádzka) a niekedy aj osobitné kategórie údajov, napríklad zdravotné údaje (čl. 9). Spracúvanie musí mať zákonný základ (čl. 6): plnenie zmluvy, splnenie právnej povinnosti, oprávnený záujem alebo súhlas – ten sa používa uvážene, najmä pri rozšírenom uchovávaní životopisov pre budúce výberové konania.

GDPR dokumentácia v HR typicky obsahuje:

• záznamy o spracovateľských činnostiach (čl. 30),
• informačné doložky pre uchádzačov a zamestnancov (čl. 13 – 14),
• zmluvy so spracovateľmi, napríklad s poskytovateľom mzdového alebo náborového systému (čl. 28),
• zásady uchovávania a výmazu údajov podľa princípu minimalizácie a obmedzenia doby uchovávania (čl. 5),
• postup pri porušení ochrany údajov vrátane oznamovania úradu do 72 hodín (čl. 33).

Dotknuté osoby (uchádzači, zamestnanci) majú práva na prístup, opravu, vymazanie, obmedzenie, prenosnosť a namietanie (čl. 15 – 21). Organizácia musí vedieť tieto práva prakticky obslúžiť, napríklad aj v náborovom systéme, a mať definované lehoty a procesy výmazu po ukončení náboru.

[tip praktickytip=true]Odporúča sa oddeliť účely: nábor (výber konkrétneho kandidáta) a talent pool (uchovanie životopisu na budúce pozície). Lehoty uchovávania je vhodné jasne popísať v informačných doložkách a nastaviť automatické pripomienky na výmaz. Pri využívaní externého ATS (Applicant Tracking System) je dôležitá zmluva so spracovateľom a kontrola umiestnenia dát. Incident manažment má mať jasné roly a kontakty, aby bolo oznámenie do 72 hodín reálne zvládnuteľné.[/tip]GDPR v IT a náborových systémoch

V IT a nábore sa často používajú cloudové nástroje, ktoré vystupujú ako „spracovatelia“ údajov. Zmluva so spracovateľom musí upravovať bezpečnostné opatrenia, subdodávateľov a testovanie obnovy dát (čl. 28, 32). Prenosy do tretích krajín mimo EÚ/EHP vyžadujú právny mechanizmus, napríklad štandardné zmluvné doložky (čl. 44 – 49).

Bezpečnosť spracúvania (čl. 32) zahŕňa primerané technické a organizačné opatrenia, ako je šifrovanie, pseudonymizácia, riadenie prístupov, logovanie a pravidelné audity. Pri profilovaní alebo automatizovanom rozhodovaní v predvýbere kandidátov platí povinnosť transparentne informovať a ponúknuť možnosť ľudského zásahu (čl. 22). Kariérne weby a testovacie platformy by mali mať správne nastavené cookies a analytiku v súlade s právnymi predpismi o elektronických komunikáciách.

Právny rámec a dohľad podľa GDPR

Nariadenie (EÚ) 2016/679 je priamo účinné; úplné GDPR znenie je publikované v Úradnom vestníku EÚ v slovenskom jazyku. V praxi sa používa aj slovné spojenie nariadenie GDPR na zdôraznenie, že nejde o smernicu. Pojem smernica GDPR sa niekedy objavuje v bežnej reči, avšak právne nepresne. Dohľad vykonáva Úrad na ochranu osobných údajov SR. V určitých prípadoch sa vyžaduje menovanie zodpovednej osoby za ochranu údajov (Data Protection Officer) – najmä pri rozsiahlej pravidelnej monitorovacej činnosti alebo pri spracúvaní osobitných kategórií údajov vo veľkom rozsahu (čl. 37 – 39).