Zpět

Personální a mzdové systémy a GDPR

07.06.2018 Autor: Ing. Miroslav Bulla Kategorie: Ochrana osobních údajů (GDPR) , Pracovní právo

Dopady obecného nařízení EU v oblasti personalistiky a mezd jsou specifické tím, že prakticky veškeré zpracovávané informace mají charakter osobních údajů, přičemž účel jejich zpracování je převážně dán plněním zákonných povinností. To situaci zjednodušuje například tím, že pro zpracování těchto údajů není zpravidla nutný souhlas subjektů (zaměstnanců). Dále jsou v této oblasti definovány lhůty pro uchovávání vybraných okruhů údajů.


Je třeba zdůraznit, že většina personálních a mzdových systémů má již z dob dřívějších integrované funkcionality směřující k naplnění mnoha dílčích požadavků obecného nařízení EU (jsou tedy tzv. GDPR ready). Zmíněné funkcionality je však třeba v následujícím období přizpůsobovat nejnovějšímu výkladu GDPR a nadále je rozvíjet.

Klíčovou náležitostí připravenosti systémů na obecné nařízení EU je i nastavení příslušného systému, používané výpočetní techniky atd. Jinými slovy řečeno, i když bude používaný systém plně odpovídat požadavkům obecného nařízení EU, neznamená to, že procesy u příslušného zaměstnavatele budou plně v souladu s obecným nařízením EU, je třeba provést správné nastavení celého procesu zpracování osobních údajů.

Tvůrci těchto systémů se snaží v posledních měsících přizpůsobit své produkty požadavkům obecného nařízení EU především v těchto oblastech:

  • Možnost nastavení, jak silná hesla si musí uživatelé pro přístup do systému nastavit (malá a velká písmena, číslice, další znaky), možnost vynucení pravidelné změny hesla apod.
  • Zavádění nástrojů pro sběr a ukládání informací o provozu systémů, tzv. logů. Mzdový a personální informační systém by měl umožnit získat informace o tom, který uživatel, v jaký čas a na jakém počítači:
    • byl přihlášen do systému,
    • procházel klíčovými uzly systému,
    • připravil některou sestavu nebo soubor (evidence výstupů ze systémů).

Tyto informace o spuštění a přihlašování do jednotlivých úloh a o práci v nich se automaticky zapisují do logového souboru. Správci systému by to mělo umožnit včas řešit rizikové události. Toto je důležité především u velkých podniků, které zpracovávají osobní údaje stovek či tisícovek zaměstnanců. Zde je třeba mít zaznamenáno, kdo ze zaměstnanců s přístupem do systému do nich nahlížel, editoval je atd. U malého zaměstnavatele s jedním účetním samozřejmě není třeba tímto způsobem zjišťovat, kdo s daty pracoval.

  • V návaznosti na výše uvedené lze sledovat i historii změn osobních údajů v databázi, tj. kdo a kdy záznam vytvořil, provedl změnu osobního údaje, příp. i hodnotu před změnou a hodnotu po změně. Mělo by pak být možné zaznamenat jakoukoliv manipulaci s osobními údaji, vyhodnocovat rizika (hromadné změny, nestandardní změny) atd.
  • Zajištění možnosti provedení výpisu osobních údajů ve formě a na nosičích vhodných k předání subjektu (zaměstnanci). Zaměstnanec má totiž právo být písemně informován o tom, jaké všechny osobní údaje o něm zaměstnavatel eviduje, jak je zpracovává, kdo s nimi nakládá (základní osobní údaje, údaje z docházkového systému, výpisy z GPS, evidence školení atd.).
  • Provádění výmazu a pseudonymizace (viz výše) osobních údajů. Informace je samozřejmě třeba archivovat s ohledem na archivační lhůty, teprve po uplynutí těchto lhůt je nutné údaje mazat. Používaný personální či mzdový systém by měl umět vytvořit alespoň základní nástroje pro upozornění na uplynutí těchto lhůt.
  • Řízení přístupů k údajům v čase. Některá data je třeba archivovat po dobu stanovenou zákony (mzdové listy, ELDP atd.), tato data by mělo být možné archivovat mimo hlavní databázi v archivech, ke kterým bude pouze velmi omezený přístup stanovený interní směrnicí.
  • V některých případech může být vhodné zamezit ukládání osobních údajů mimo definovaná úložiště. Tj. zakázat ukládání mimo stanovenou složku, aby se minimalizovalo možné zneužití osobních údajů (například, aby si je někdo kopíroval pro osobní účely).

Je ovšem nutné brát v potaz skutečnost, že software, ve kterém je vedena personální a mzdová evidence, je pouze nástroj, který zpracování dat umožňuje, přičemž obecné nařízení EU je především o procesech a nastavení nakládání s osobními údaji v rámci vaší firmy. Ani sebelepší software proto nevyřeší veškeré povinnosti, které obecné nařízení EU ukládá. Soulad s obecným nařízením EU nezajistí žádný mzdový a personální systém sám o sobě a vždy je nutno posuzovat konkrétní podmínky zpracování a nastavení procesů u konkrétního zaměstnavatele.

Způsob nastavení závisí mimo jiné na počtu zaměstnanců, počtu uživatelů systému (počet mzdových účetních, personalistů), množství a charakteru evidovaných osobních údajů atd. Nicméně informační systém by měl pro splnění požadavků obecného nařízení EU samozřejmě poskytovat efektivní podporu.

Zdroj: Práce a mzda 2018/5

   

Související kurzy

Školení Před a po GDPR - rozdíly mezi stávající a novou právní úpravou 675 Kč / os

Ochranu osobních údajů v současné době upravuje zákon o ochraně osobních údajů (dále jen „ZOOÚ“). V souvislosti s hojně diskutovanou změnou právní úpravy na poli osobních údajů na evropské úrovni dochází také ke změně tuzemského zákona. Poté, co nabude účinnosti obecné nařízení o ochraně osobních údajů (dále jen „GDPR“), bude rovněž český ZOOÚ zrušen a evropská úprava bude promítnuta do nového zákona o zpracování osobních údajů (dále jen „ZOZOÚ“), na jehož účinnost ještě čekáme. Zásadní změny, které se dotknou české právní úpravy, a rozdíly mezi stávající praxí a praxí po účinnosti GDPR budou obsahem tohoto školení.

Další články z kategorie
Ochrana osobních údajů (GDPR)

Compliance a ochrana osobních údajů

19.01.2018 Autor: Mgr. Alice Kubíčková, LL. M.

Zpracování osobních údajů uchazečů o zaměstnání

26.01.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková

Zpracovávání osobních údajů během pracovního poměru

31.01.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková

Ochrana osobních údajů a sledování zaměstnanců pomocí kamer a GPS ve služební...

14.02.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková

Ochrana osobních údajů a monitoring aktivit zaměstnanců na internetu

23.02.2018 Autor: Mgr. Alice Kubíčková, LL. M.; Mgr. Veronika Patáková