V současné době se jedná o nejprobíranější téma mezi podnikateli a zaměstnavateli. Všichni se pídí po podrobnostech, které nemají a nejsou k sehnání, všichni se hrozí pokut a vynaložených peněz na splnění podmínek uvedených v zákoně. Všechny obavy jsou zbytečné. Tak jako obvykle podléháme strašákům a mediím. Je nutno zachovat chladnou hlavu a zamyslet se. Copak se vám už někdy stalo, že Vám státní správa druhý den po platnosti zákona udělila pokutu? A hned maximální. Zamyslete se, kdo straší a komu se takový strašák hodí. Většinou se jedná o firmy, co pořádají školení na toto téma a větří přísun peněz od vystrašených podnikatelů.
Nebudu vás zdržovat odkazy na hlavní zákon a povídání co to vlastně GDPR je. Je nutné si uvědomit, že předpis se dotýká převážně velkých podniků a že více než polovinu požadavků splňujete nebo máte splňovat podle zákona o ochraně osobních údajů, který platí již 18 let ( Zákon č.101/2000Sb., o ochraně osobních údajů a změně některých zákonů). GDPR se týká převážně zajištění a zneužívání dat v našem moderním světě. Bohužel státní správa opět neplní své povinnosti a do dnešního dne nevydala prováděcí vyhlášku, která by celou napjatou situaci zjednodušila.(A z posledních tiskových zpráv vyplývá, že Vyhláška do termínu platnosti nevyjde.) Z této situace také plynou veškeré fámy a znepokojení z vysokých pokut. Dále je nutné si uvědomit, že zneužívání dat přibývá, a je nutno se veškerých citlivých dat po stránce jejich zabezpečení zabývat. Je nutné si uvědomit, že GDPR není jediným předpisem, který musí být ve vašem podniku zaveden. Hlavním cílem celého projektu EU je dát do souladu ve firmách tyto legislativní předpisy.
- Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů. Dále ZKB
- Nařízení EU č. 679/2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES – tzv. GDPR
- Nařízení EU č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES –tzv. eIDAS
Tyto uvedené oblasti musí být řešeny současně, neboť se navzájem prolínají. Nařízení EU uvedené v bodě 3. se malých podniků nebude zřejmě dotýkat, protože se týká převážně státní správy.
Veškerá další použitá legislativa je uvedena na konci článku.
Co je nutno pro zavedení GDPR udělat.
Především se zamyslete nad vlastním způsobem evidence a archivace veškerých dat a citlivých údajů, včetně podkladů s jednání se zaměstnanci. Je nutné vypracovat si vlastní analýzu. tzn. zodpovědět si otázky: – Jaké osobní údaje shromažďuji? – Kdo k nim má přístup? – Jak kontroluji oprávnění? – Jak likviduji – skartuji osobní údaje, pro jejichž shromažďování již nemám žádný účel? – Je bezpečnost na takové úrovni, aby byly osobní údaje a datové systémy dostatečně chráněny proti zneužití?
Konkrétně pro naše obory by analýza měla být zaměřena na :
- Základní informace o firmě a jejich vztah k ochraně osobních údajů.
V oborech praní a chemické čištění se jedná o zpracování osobních údajů v oblasti personalistiky a v oblasti obchodních smluv.
Zaměstnavatelem jsou evidovány zákonem vyžadované údaje. Jsou to: Jméno, příjmení, rodné příjmení, akademický titul, datum narození, státní občanství, bydliště, den vzniku pracovního poměru, dosažená kvalifikace, průběh praxe, u důchodců se jedná zda pobírá důchod, druh důchodu, číslo rozhodnutí o přiznání důchodu, informace o zdravotní pojišťovně, osobní údaje o manželce a vyživovaných dětech, pro potřeby daňového přiznání, údaje o exekucích, číslo účtu kam zasílat mzdu na základě souhlasu zaměstnance, rodné číslo, předávání údajů správě sociálního a zdravotního pojištění.
Pokud zaměstnancům zajištujete pracovní oblečení evidujete i velikost oblečení a obuvi. U řidičů je uváděno jakou kategorii řidičského oprávnění disponují. Jsou evidovány i údaje o topičských a elektrikářských zkouškách. Jsou evidovány i údaje uvedené v zápisech o úrazech.
V oblasti obchodních smluv jsou evidovány údaje o fyzických osobách a to jméno, bydliště, telefon. (kontakty).
Je nutno posoudit, kdo má k těmto osobním údajům přístup a jaká mají nastaven oprávnění k přístupům k těmto údajům.
Dále je nutno posoudit komu jsou tato data zpřístupňována. Jedná se především o údaje poskytované v rámci mzdové a daňové agendy, jako je Česká správa sociálního zabezpečení, zdravotní pojišťovny, exekutoři a soudní úředníci, závodní lékaři, externí subdodavatelé (oblast BOZ, PO, právní kanceláře).
Pokud prádelna používá systém HELIOS, je nutno určit kdo osobní údaje v něm uvedené zpracovává a je nutné o jeho využívání mít sepsanou smlouvu o zpracování osobních údajů. Pokud používá i LIN je nutno posoudit kdo používá a využívá údaje v něm uvedené.
V oblasti přijímání zaměstnanců je nutno posoudit jaké údaje od uchazečů jsou evidovány. Převážně se jedná o běžné údaje uvedené v dokladech,(životopis, dotazník, kopie osvědčení či vysvědčení, popřípadě výpis z trestního rejstříku. Dále se jedná o kopie řidičských průkazů, svářečských průkazů apod. Sběr údajů by měl korespondovat s údaji uvedených v dokumentu „Pracovní náplň“. Pokud dochází ve firmě k manipulaci s penězi, je vhodné mít sepsaný dokument ve kterém jsou požadavky a údaje uvedeny.
Pokud zaměstnanec není přijat, musí být údaje o žadateli zlikvidovány, včetně E-mailů.
Pokud je přijat předkládá zápočtový list a je vyžadována vstupní lékařská prohlídka.
Po jeho nástupu by měl zaměstnanec projít základním školením, kde jsou mu poskytnuta veškeré informace o skutečnostech souvisejících s ochranou jeho osobních údajů.
V jeho osobním spise by měly být uchovávány dokumenty či kopie údajů, které již nejsou aktuální. Je nutné posoudit, jak je nakládáno s dokumenty při skončení pracovního poměru.
Veškeré kopie by měly být pořizovány s písemným souhlasem zaměstnance.
- Monitoring prostor firmy, soukromí na pracovišti.
Je nutné posoudit, zda zaměstnavatel udělil souhlas k využívání pracovních prostředků zaměstnavatele pro jejich osobní potřebu. Jedná se na příklad o vyprání vlastního prádla, žehlení, i používání chemických prostředků k osobnímu využití. Také se týká i využívání IT technologií (počítače, tiskárny, telefony). Pokud ano je nutné o využívání sepsat záznam.
Kamery na pracovišti: je nutno analyzovat kam jsou kamery namířeny, co a koho snímají a zda jsou při práci identifikovatelní pracovníci. O využívání kamer na pracovišti musí být sepsána směrnice. Je nutno posoudit co se děje s údaji získaných kamerovým systémem a jak jsou tyto údaje zabezpečeny. Kdo má k těmto údajům přístup a zda je přístup zabezpečený heslem.
Vozidla: Jsou vozidla vybavena GPS, a kdo a jak je systém využíván, jak jsou data zabezpečena.
- Styk s veřejností
V této části posuzujeme, komu poskytujeme údaje o zaměstnancích. Jedná se například, zda jsou fotografie zaměstnanců uvedeny na webových stránkách, či komu dáváme osobní údaje o sobě ( navštívenky a pod. ). Dále posuzujeme kdo zpracovává osobní údaje o zaměstnancích a jak jsou tyto údaje zabezpečeny. Posuzujeme i údaje uvedené v šanonech (písemně), jak jsou přístupná a kdo k nim má přístup. Pokud jsou uložena ve skříni, je nutno zajistit uzamykatelnost skříně.
Je nutné posoudit výši rizika pro právo a svobodu fyzických osob zpracováním osobních údajů.
Je také nutné určit, komu budeme poskytovat údaje o případném porušení zabezpečení osobních údajů.
- Informační technologie a komunikační prostředky
V této části posuzujeme úroveň zabezpečení výpočetní techniky, jak ji používáme a využíváme. Posuzujeme i kdo se na tuto sít může připojit (externě.)
Posuzujeme zejména tyto komunikační prostředky:
E-mailový server, Pevné telefonní sítě, Fax, Mobilní telefony, Papírová komunikace, Osobní komunikace, Vzdálený přístup.
Popíšeme, jaké dokumenty používáme v papírové podobě, jaké v elektronické podobě, kam ukládáte data, úložiště, sdílená úložiště apod. V popisu jmenujeme i konkrétní osoby, které s daty pracují.
Důležitý je i popis vzdáleného přístupu a údaj o datové schránce.
Popíšete i jakým způsobem se přihlašujete do systému i jakým způsobem se řídí přístupová práva i jaké má firma certifikáty (Jedná se o elektronické certifikáty, elektronické podpisy a pod. )
Je nutné také určit, zda provádíte převod dokumentů z digitální podoby do analogové a naopak podle par. 69a zákona č. 499/2004 Sb. o archivnictví a spisové službě.
- Archivace dokumentů
Jak je řešena archivace vašich dokumentů a skartace. Máte vypracovaný archivační a spisový řád? Nutno popsat.
- Základní pravidla a procesy
Zde by mělo být posuzováno, zda je vypracována interní směrnice pro oblast dokumentace dat, zda máte vlastní IT oddělení a kdo IT využívá. U větších firem v oboru prádelenství je nutno do tohoto procesu zapojit i využívání jak účetních programů tak i řídicích programů (např. Helios, LIN). Je nutné určit kdo má k těmto programům přístup a definovat praxi používání.
Po stručném vypracování analýzy podniku dle výše uvedené metodiky musíme vypracovat návrh řešení (lze nazvat implementací, pokyny, doporučení) pro dosažení cílového stavu.
Návrh řešení pro dosažení cílového stavu.
Základním řešením je vytvoření stručných jednoduchých směrnic, které budou zpracovány pro dříve uvedené oblasti. V těchto směrnicích budeme definovat pravidla, která řeší uvedenou problematiku. Ve směrnících musí být uveden i způsob schvalování směrnic.
Doporučené směrnice:
Používání výpočetní techniky – pravidla pro správu IT a dohled na ní, tvorba hesel a jaká hesla vytváříme
Bezpečnostní politika – způsob zajištění bezpečnosti informací
Spisový a skartační řád – pravidla pro skartaci a archivaci listinných a elektronických dokumentů
Obchodní politika – pravidla pro vyřizování obchodních příležitostí a objednávek zákazníků, veřejné zakázky, styk se zákazníkem
Logistika – pravidla pro distribuci zakázek, řízení vozového parku,
Další dle vlastního uvážení,
Předpokladem je, že jsou již zpracovány základní dokumenty o řízení firmy.
Směrnice by měly mít jednotnou firemní formu. Měly by být stručné a přehledné
Řešení pro zpracování směrnice v oblasti ochrany osobních údajů
Směrnice by měla obsahovat informace o zpracování osobních informací členěné podle jednotlivých účelů zpracování. Musí informovat zaměstnance (subjekt údajů) o jeho právu požádat zaměstnavatele (správce) o vysvětlení, pokud se subjekt údajů domnívá, že jeho údaje jsou zpracovány v rozporu s ochranou jeho soukromého a osobního života. Je nutno informovat subjekt o jeho právu požádat odstranění vzniklého závadného stavu, pokud takový byl zjištěn. Ve směrnici musí být informace o právu subjektu obrátit se na Úřad pro ochranu osobních údajů se žádostí o nápravu stavu.
Směrnice musí být veřejně přístupná a měla by být předložena zaměstnanci při nástupu do pracovního poměru. Zaměstnanec potvrdí, že byl s jejím obsahem seznámen. Budou mu poskytnuty informace v jakém rozsahu a pro jaký účel jsou jeho osobní údaje zpracovány., kdo a jakým způsobem je zpracovává, informovat ho o jeho právu přístupu k osobním údajům a právu na jejich ochranu. Musí být informován o zákonných povinnostech zaměstnavatele ke zpracování konkrétních kategorií osobních údajů. Dále mu bude poskytnuta informace o příjemcích, jimž budou tyto osobní údaje zpřístupněny. Je také nutno písemně upravit pravidla pro uchování dokumentace – viz Zákon o organizaci a provádění sociálního zabezpečení, par. 35a,odstavec 4 písm. d)
Při pořizování kopií osobních dokladů je nutné vyžádat si písemný souhlas zaměstnance s pořízením kopie a náležitě informovat zaměstnance za jakým účelem je kopie pořizována.
Pověřenec pro ochranu osobních údajů
Vzhledem k velikostem firem a k rozsahu poskytovaných služeb, tj. praní a chemické čištění pro zákazníky včetně půjčování prádla, nedochází k rozsáhlému pravidelnému monitorování subjektu údajů, není dána potřeba jmenování pověřence pro ochranu osobních údajů.
Závěr
Z výše uvedeného je zřejmé, že se jedná o logické uspořádání firemní dokumentace a zajištění bezpečnosti osobních údajů. Nejedná se o nic mimořádného náročného na mozkovou činnost, je nutno si pouze veškeré údaje uspořádat.
O co se hlavně jedná a čeho máme málo je čas. Zpracování dokumentace je časově náročné a určitě ho nezvládnete do termínu zákona. Domnívám se však, že pokud budete mít hotovou alespoň analýzu, bude dikce zákona splněna a pokuta nehrozí. Je ale nutné na dokumentech pracovat a dát vše v nějakém přijatelném termínu dohromady. Převážná většina požadavků GDPR by měla být ve vaší firmě již splněna dle zákona o ochraně osobních údajů. Takže kdo byl pilný má polovinu práce již hotovou.
Jestliže se domníváte, že práce na zabezpečení veškerých osobních údajů tímto končí, jste na velkém omylu. Hackeři nespí a vymýšlejí neustále nové programy, jak se k vašim datům dostat. Je proto logické, že požadavky na zabezpečení budou neustále vzrůstat.
Vím, že tento text není úplný, ale snad pomůže v orientaci celé problematiky. Pokud budete požadovat doplňující informace, jsem ochoten vám je poskytnout.
Pište na E-mail: vasicek@raving.cz
Ing. Radek Vašíček
Použitá legislativa:
○ Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů. Dále ZKB
○ Nařízení EU č. 679/2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES – tzv. GDPR
○ Nařízení EU č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES –tzv. eIDAS
○ Zákon č.101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů
○ Zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů
○ Zákon č. 499/2004 Sb., o archivnictví a spisové službě, a o změně některých zákonů
○ Zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů
○ Zákon č.48/1997 Sb., o veřejném zdravotním pojištění, ve znění pozdějších předpisů
○ Zákon č. 251/2005 Sb., o inspekci práce, ve znění pozdějších předpisů
○ Zákon č. 328/1999 Sb., o občanských průkazech, ve znění pozdějších předpisů
○ Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů
○ Zákon č. 111/2009 Sb., o základních registrech
○ Zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce
○ Zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů
○ Zákon č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů
○ Zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů
○ Zákon č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů
○ Zákon č. 418(2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim, ve znění pozdějších předpisů
Autor příspěvku upozorňuje, že tento text ani jeho části nelze v žádném případě považovat za výklad zákonů, ale jde pouze, o určitý komentář a návod k dalšímu postupu. K výkladu jsou v ČR kompetentní pouze soudy všech stupňů.