Fingera je jedinečný dochádzkový, prístupový a stravovací systém, ktorý pomáha už viac ako 1200 firmám v Česku a na Slovensku. Spoločne tvoríme biometriu s najvyššou presnosťou a dlhoročnou tradíciou.
Nové pravidlá o regulácii osobných údajov, tzv. GDPR, sú momentálne horúcou témou. Odborníkom z advokátskej kancelárie BUŽEK & TEREM advokáti, s.r.o. sme položili niekoľko otázok, ktoré sa týkajú nových povinností súvisiacich so spracovaním a ochranou osobných dát zamestnancov.
Ktoré informácie o mojich zamestnancoch sú podľa GDPR považované za osobné údaje? Pribudli na zoznam nové údaje, ku ktorým treba od mája pristupovať ako k osobným?
Osobné údaje vníma GDPR veľmi široko. Rozsah osobných údajov, ktoré konkrétny zamestnávateľ spracováva, stanovuje sám zamestnávateľ podľa toho, na aký účel ich potrebuje.
Všeobecne sú osobnými údajmi základné identifikačné údaje zamestnanca, údaje súvisiace s jeho zamestnaním, dochádzkou, o odmeňovaní, pracovnej pozícii, výkonnosti, hodnotení a plnení jeho pracovných úloh, údaje súvisiace s pracovným úrazom, údaje uvedené v životopise, fotografia, kamerový záznam a pod.
Uvedomili ste si niekedy, že do tejto skupiny patrí aj napríklad geolokačný údaj (napr. GPS zariadenia vo vozidlách)? Ako aj údaj o aktivitách zamestnanca v systémoch zamestnávateľa (typicky napr. logy vedené na ochranu elektronických systémov), údaj o vzdialenom prístupe do systémov (IP adresa, z ktorej sa prihlásil), jeho prihlasovacie údaje do systémov zamestnávateľa vrátane hesla, výpis telefonických hovorov či sledovanie internetu (ak je v organizácii zavedené).
GDPR rieši aj žiadosti o prístup k osobným údajom. Znamená to, že môj zamestnanec alebo klient si môže hocikedy vypýtať prístup k svojim údajom? Môže tiež sledovať, ako je s nimi nakladané a v prípade nespokojnosti zamietnuť moje práva k nakladaniu s nimi?
Dotknutá osoba má vždy právo na prístup k svojim údajom. To znamená, že osoba, ktorej údaje spracovávate, má právo od vás získať potvrdenie nielen o tom, či sa spracúvajú jej osobné údaje, ale aj o aké údaje ide, odkiaľ ich prevádzkovateľ má, komu ich poskytuje, ako dlho ich uchováva, či ich prenáša mimo EÚ.
Dotknutá osoba má tiež právo získať kópiu všetkých osobných údajov, ktoré sa o nej spracúvajú alebo spracovávali. Ako spracovávatelia musíte byť pripravení. To znamená, že musíte mať neustále prehľad, kde a aké údaje o konkrétnej osobe spracovávate.
Ak má dotknutá osoba podozrenie na nezákonné spracovávanie údajov, môže vás ako prevádzkovateľa požiadať o obmedzenie spracovávania údajov. Treba byť obozretní, pretože sa dotknutá osoba môže priamo obrátiť na Úrad na ochranu osobných údajov či žiadať o súdnu ochranu podaním žaloby. Čo sa týka samotného vymazania údajov, dotknutá osoba má toto právo iba v obmedzených prípadoch uvedených v článku 17 GDPR.
Inak je to však v oblasti direct marketingu. V prípade, že dotknutá osoba namieta proti používaniu osobných údajov, musí dôjsť k ich okamžitému vymazaniu.
Od mája sa musia interné firemné regulácie na ochranu osobných údajov zhodovať s GDPR. Na ktoré najdôležitejšie pravidlá netreba zabudnúť pri vytváraní vnútornej smernice?
Situácia i pracovné prostredie sa líši od organizácie k organizácii, preto je táto otázka veľmi široká a odpovedať na ňu je náročné. Vnútorná smernica jednej organizácie sa vôbec nemusí hodiť pre potreby inej.
Zásadnou zmenou, ktorú prináša GDPR, je, aby organizácie prijali opatrenia s ohľadom na riziká, ktoré pri spracovávaní hrozia pre práva a slobody fyzických osôb. Vy ako firma sa teda musíte zamyslieť nad tým, aká ujma môže v prípade bezpečnostného incidentu nastať pre dotknuté osoby, nie pre vás.
Napríklad pre direct marketingovú agentúru predstavuje strata databázy e-mailových kontaktov veľkú škodu, k ujme na právach dotknutých osôb však nemusí vôbec dôjsť. Opatrenia je teda nutné zvoliť s ohľadom na riziká pre dotknuté osoby a pravdepodobnosť ich materializácie.
Opatrenia by mali byť preventívne (zamerané na predchádzanie incidentov) i reaktívne (čo urobíme, keď už k incidentu dôjde). Využívať by sa mali podľa možností nové technológie. Netreba sa tiež zabudnúť zamyslieť nad tým, či nie je možné spracovávané dáta minimalizovať, kde je možné zaviesť pseudonymizáciu a ktoré údaje je potrebné šifrovať.
Je potrebné zaviesť opatrenia nielen čo sa týka bezpečnosti, ale je nevyhnutné upraviť tiež procesy, ktoré vám umožnia efektívne reagovať na žiadosti dotknutých osôb – napr. žiadosť osoby o prístup k údajom, o prenosnosť údajov, o zabudnutie – a tiež včas splniť oznamovacie povinnosti voči Úradu a dotknutým osobám v prípade závažného bezpečnostného incidentu. Spoločnosť si tiež musí uvedomiť, akým spôsobom je schopná prísť na to, že sa stal bezpečnostný incident.
Akými zmenami musia prejsť dochádzkové systémy pre zamestnancov? Je nutné vykonať úpravy v súlade s GDPR?
Je potrebné zdôrazniť, že za používanie zvolenej technológie vždy zodpovedáte vy ako zamestnávatelia, a teda aj prevádzkovatelia a vlastníci osobných údajov. Ste najmä povinní určiť účel spracovávania, rozsah spracovávaných údajov, právny základ a potrebnú dobu spracovávania.
Treba tiež zohľadniť typ využitej technológie a posúdiť, či je potrebné splniť ďalšie špecifické povinnosti podľa GDPR (napr. vykonať posúdenie vplyvu podľa čl. 35 a pod.) alebo dokonca získať súhlas dotknutých osôb.
Biometrické dochádzkové systémy budú napríklad vyžadovať súhlas zamestnanca, ktorý by mal byť slobodný, informovaný a preukázateľný. Budete musieť zamestnanca riadne informovať podľa GDPR, dať mu možnosť odmietnuť súhlas udeliť (a pre tento prípad mať nastavenú okamžitú rovnocennú alternatívu – napríklad kartu) a jeho súhlas zdokumentovať.
Dodávateľ technológie zvyčajne nemá možnosť spomínané povinnosti za prevádzkovateľa splniť, môže mu však k ich splneniu čiastočne pomôcť.
Dochádzkové systémy by mali byť nadizajnované tak, aby mali z technickej stránky nastavené dostatočné bezpečnostné opatrenia (napríklad odolnosť proti vonkajším hrozbám) a tiež aby umožnili prevádzkovateľom využitie nových bezpečnostných opatrení zavedených GDPR, najmä pseudonymizáciu a tiež šifrovanie údajov. Šifrovanie by malo byť nastavené podľa najnovších bezpečnostných štandardov. Chránený (napr. zaheslovaný) prístup do systému patrí k základným opatreniam.
Samozrejmosťou by mala byť schopnosť prehľadného uloženia a vyhľadávania dát, aby prevádzkovateľ vedel rýchlo reagovať, napríklad na žiadosti dotknutých osôb o prístup k údajom či o ich opravu, dôležitá je aj možnosť vymazania dát.
Systém by mal uľahčiť vám ako zamestnávateľom riadenie prístupu k údajom. Mali by ste mať kontrolu nad obsahom dát v systéme, ako aj nad vstupom do systému, mali by ste mať možnosť udeľovať prístup a rozsah oprávnení pre prístup k dátam pre svojich interných používateľov systému.
V prípade biometrických systémov je podstatnou časťou aj presnosť technológie, ktorá minimalizuje riziko nesprávneho vyhodnotenia zhody pri prístupe k terminálu. Výhodou je tiež technická možnosť použitia rovnakého zariadenia aj pre zamestnancov, ktorí súhlas so spracovávaním svojich biometrických údajov odmietli udeliť.
Ak moja firma spolupracuje so spoločnosťami a zákazníkmi z krajín mimo Európskej únie, musím regulovať aj údaje, ktoré súvisia s takýmto typom spolupráce?
GDPR sa vzťahuje na spracúvanie osobných údajov v rámci činnosti prevádzky prevádzkovateľa alebo sprostredkovateľa v rámci Európskej únie, a to bez ohľadu na to, či sa spracúvanie vykonáva v Únii, alebo nie. GDPR nevylučuje z ochrany osobné údaje príslušníkov krajín mimo Únie. Ak teda vykonávate činnosť na území Únie, GDPR sa na vás vzťahuje.
Čo znamená pre moju firmu tzv. princíp zaistenia a preukazovania súladu s GDPR?
Princíp zaistenia a preukazovania súladu s GDPR (tzv. accountability) je jedným zo základných princípov GDPR. To znamená, že každý prevádzkovateľ by mal vedieť Úradu preukázať, že postupuje v súlade s GDPR. Firmy by teda mali písomne vypracovať pravidlá pre plnenie GDPR. To však nestačí, nastavené opatrenia treba neustále kontrolovať a aktualizovať. Malo by sa zároveň dokumentovať všetko, čo sa deje s osobnými údajmi, vykonávať záznamy, logy a viesť príslušnú dokumentáciu. Treba pamätať na to, že formálne vypracovanie i tej najpresnejšej smernice nezabezpečí súlad s GDPR. Kľúčové sú samotné procesy vo vašej organizácii.
Aká je minimálna a maximálna výška pokuty, ktorá hrozí mojej firme pri porušení GDPR?
Za porušenie GDPR môžete dostať pokutu až do výšky 20 000 000 eur alebo v prípade podniku až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok. Rozhoduje to, ktorá suma je vyššia.
Za odpovede ďakujeme advokátskej kancelárii BUŽEK & TEREM advokáti, s.r.o. Treba si uvedomiť, že článok má iba informatívny charakter a nepredstavuje právne posúdenie ani právnu radu. Pri riešení konkrétneho prípadu je potrebné kontaktovať odborníka na tému ochrany osobných údajov alebo právneho poradcu.