Nařízení GDPR aktualizuje způsob nakládání s osobními údaji a to nejen z pohledu marketingu, ale právě i z pohledu zaměstnanců a zaměstnavatelů. To, že zaměstnavatelé nemají neomezené postavení v oblasti shromažďování a uchovávání osobních údajů minulých i současných zaměstnanců, které není opodstatněné legislativou, platilo i před GDPR, ale s nařízením přichází nezanedbatelné riziko sankcí. Odborníci se tak shodují, že se GDPR může stát nástrojem v konkurenčním boji nebo v pracovněprávních sporech. Proto není dobré požadavky nařízení podceňovat.
V některých evropských zemích bylo využito možnosti zjemnit dopady nařízení GDPR na pracovněprávní oblast pomocí prováděcích předpisů, český zaměstnavatel v přípravném období tuto výhodu zatím nemá. Proto je výklad obecných pravidel pro oblast HR prováděn s ohledem na požadavky dalších právních norem (např. zákoník práce, sociální a zdravotní pojištění atd.).
GDPR a HR systémy
Pro společnost OKsystem, která působí nejen na poli HR systémů, ale vytváří i další systémy pracující s citlivými údaji, je implementace GDPR požadavků velkou výzvou. Úpravy našeho personálního a mzdového systému OKbase vedly k tomu, abychom byli schopni identifikovat všechny osobní údaje, klasifikovat jejich citlivost a auditovat nejen jejich změny, ale i zobrazení. Bylo důležité rozhodnout, které informace jsou zpracovávány ze zákonného důvodu a u kterých bude do budoucna vyžadován souhlas subjektu (uchazeče, zaměstnance) s jejich zpracováním. Proto jsme náš HR systém rozšířili například o evidenci souhlasů. Nově OKbase také podporuje možnost reagovat na požadavky zaměstnanců, kteří budou uplatňovat svá práva subjektu (jedná se o práva na informace, přístup, opravu, výmaz). Vše jsme otestovali sami na sobě, např. autor tohoto článku nastřádal za 5 let fungování ve firmě 29 929 řádků osobních údajů, které jsou o něm spravovány v personálním informačním systému OKbase.
A co dál?
Personální, docházkové a mzdové systémy v sobě obsahují řadu osobních údajů. Dodavatelé těchto systémů by měli být schopni nabídnout zaměstnavatelům takové nástroje, které jim zajistí bezpečí ve vztahu k GDPR. GDPR tak může vést ke kultivaci a konsolidaci trhu s těmito firemními systémy. Ptejte se proto svých dodavatelů, jakým způsobem vám zajistí bezpečné a legislativně správné nakládání s osobními údaji. Pokud neumí nabídnout dostatečné řešení, je na čase zvážit změnu těchto systémů. Pokuty hrozící z nedodržení GDPR mohou být podstatně vyšší než investice do nového software.