Zpět

Ochrana osobních údajů při jejich zpracování v elektronické podobě

22.05.2018 Autor: Ing. Miroslav Bulla Kategorie: Ochrana osobních údajů (GDPR)

Obecné nařízení o ochraně osobních údajů známé pod zkratkou GDPR je reakce na tlak na ochranu osobních údajů v dnešním digitálním světě. V současnosti je poměrně málo pravděpodobné, že někdo odcizí kartotéku se složkami zaměstnanců v papírové podobě, ale daleko větší riziko je, že někdo odcizí digitální záznamy s osobními údaji zaměstnanců či klientů, a to třeba i v několikanásobném rozsahu oproti „papírové“ krádeži. Rovněž se nyní klade větší důraz na právo fyzických osob vědět, jaké o nich jejich zaměstnavatel či jakákoliv jiná společnost eviduje osobní údaje a jak s těmito daty nakládá. Právě vedení osobních údajů v elektronické podobě vedlo k přijetí zmíněného obecného nařízení EU.


Vedení personální a mzdové agendy je založeno na informacích o zaměstnanci, které musí personalista či mzdový účetní shromáždit, ověřit, zpracovávat, aktualizovat a archivovat. Jedná se o základní osobní údaje zaměstnance (bývalého zaměstnance), příp. i jeho rodinných příslušníků, informace o vzdělání, praxi, pracovním poměru a další. Většina z těchto informací se sleduje kromě písemné formy i pomocí výpočetní techniky, tj. ukládají se do informačního systému zaměstnavatele (personální systém, účetní SW s modulem mezd, mzdový SW), kde jsou rovněž průběžně aktualizovány a archivovány. Elektronická evidence osobních údajů totiž významně usnadňuje jejich sběr, třídění i zpracování.

Obecné nařízení EU se přitom vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází v papírové podobě, či automatizovaně pomocí výpočetní techniky (tj. v digitální, resp. elektronické podobě). V souladu s článkem 32 obecného nařízení EU - Zabezpečení zpracování musí správce a zpracovatel osobních údajů provést s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

  1. pseudonymizace (zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, které jsou uchovávány odděleně) a šifrování osobních údajů,
  2. schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování,
  3. schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů,
  4. procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

V souladu s článkem 25 obecného nařízení EU - Záměrná a standardní ochrana osobních údajů zavede správce s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování vhodná technická a organizační opatření, jejichž účelem je provádět zásady ochrany údajů, jako jsou:

  • pseudonymizace,
  • minimalizace údajů,
  • začlenění do zpracování osobních údajů nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů,
  • zpracovávání pouze osobních údajů, jež jsou pro každý konkrétní účel daného zpracování nezbytné (týká se množství shromážděných údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti), tj. osobní údaje nesmí být standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

Již podle § 13 odst. 1 a 2 dosavadního zákona č. 101/2000 Sb., o ochraně osobních údajů, který platí v ČR od roku 2000, jsou správce a zpracovatel povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. Podle § 13 odst. 4 tohoto zákona je správce nebo zpracovatel při automatizovaném zpracování osobních údajů povinen:

  1. zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby (tj. co nejmenší počet zaměstnanců, kteří tyto údaje potřebují k plnění povinností připadajících na zaměstnavatele),
  2. zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby (tj. detailně definovaná přístupová práva),
  3. pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány (tj. všechna zpracování osobních údajů včetně nahlížení „logovat“),
  4. zabránit neoprávněnému přístupu k datovým nosičům (tj. chránit počítače, servery a záložní média s daty o zaměstnancích).

Zdroj: Práce a mzda 2018/5

Jednotlivé díly seriálu Osobní údaje v elektronické podobě a GDPR

   

Související kurzy

Školení Před a po GDPR - rozdíly mezi stávající a novou právní úpravou 675 Kč / os

Ochranu osobních údajů v současné době upravuje zákon o ochraně osobních údajů (dále jen „ZOOÚ“). V souvislosti s hojně diskutovanou změnou právní úpravy na poli osobních údajů na evropské úrovni dochází také ke změně tuzemského zákona. Poté, co nabude účinnosti obecné nařízení o ochraně osobních údajů (dále jen „GDPR“), bude rovněž český ZOOÚ zrušen a evropská úprava bude promítnuta do nového zákona o zpracování osobních údajů (dále jen „ZOZOÚ“), na jehož účinnost ještě čekáme. Zásadní změny, které se dotknou české právní úpravy, a rozdíly mezi stávající praxí a praxí po účinnosti GDPR budou obsahem tohoto školení.

Další články z kategorie
Ochrana osobních údajů (GDPR)

Compliance a ochrana osobních údajů

19.01.2018 Autor: Mgr. Alice Kubíčková, LL. M.

Zpracování osobních údajů uchazečů o zaměstnání

26.01.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková

Zpracovávání osobních údajů během pracovního poměru

31.01.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková

Ochrana osobních údajů a sledování zaměstnanců pomocí kamer a GPS ve služební...

14.02.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková

Ochrana osobních údajů a monitoring aktivit zaměstnanců na internetu

23.02.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková