Začali ste už prispôsobovať procesy novej regulácii GDPR? Nie? Možno vám pomôžu skúsenosti, ktoré nazbieral Martin Pösinger zo spoločnosti Success Solutions. S akými otázkami od firemných HR manažérov sa najčastejšie stretáva počas školení, rozhovorov či konzultácií na tému GDPR?

Aký má GDPR dopad na HR?

GDPR dáva práva všetkým živým fyzickým osobám a tieto práva platia i v HR. Z hľadiska HR je potrebné pozerať napr. na nábor zamestnancov ako na poskytovanie služby, pri ktorej pracujeme s osobnými údajmi.

Aká je v súvislosti s GDPR zmena v porovnaní so súčasným stavom?

Oproti súčasnému stavu nie sú veľké zmeny. Je to skôr evolúcia ako revolúcia. V skratke, ak ste dnes plnili všetky normy na ochranu osobných údajov, budete ich plniť i naďalej.

Čo môžeme očakávať po zavedení GDPR?

Že sa niektorí bývalí zamestnanci spýtajú, aké osobné údaje o nich uchovávate a prečo.

Ako pracovať so súhlasmi?

Súhlas je až posledný dôvod, kvôli ktorému HR osobné údaje spracováva. Pred ním sú dôvody ako splnenie zmluvných záväzkov a právnych povinností a oprávnené záujmy správcu. Zjednodušene povedané, súhlas potrebujete vtedy, ak budujete databázu potenciálnych zamestnancov. Pre všetko ostatné v HR sa obídete bez súhlasu.

Ako ovplyvňuje GDPR lehoty?

Právne lehoty sú nadradené GDPR. Tie definujú, koľko si musíte uchovávať konkrétne druhy právnych dokumentov.

Čo s fyzickými archívmi dokumentov?

Ideálny stav, ktorý by si úrady predstavovali, je likvidácia dokumentov i v archívoch. Ale toto je vo veľkých firmách ťažko uskutočniteľné. Odporúčam popísať prípad a vami navrhované riešenie (napr. obmedzenie prístupu k týmto dokumentom) a spýtať sa Úradu na ochranu osobných údajov na stanovisko.

Kto nastaví HR systémy do súladu s GDPR?

SAP SuccessFactors (a iné HR systémy) si môžu firmy nastaviť buď vo vlastnej réžii, alebo prostredníctvom externých konzultantov. Zodpovednosť za rozhodnutie, aké pravidlá a nastavenia sa do systémov dostanú, však zostáva na firmách.

Prečo podľa vás ide práve o tieto otázky?

Našimi klientmi sú primárne veľké firmy, ktoré sa väčšinou na GDPR dobre pripravujú. Majú projekty, ktoré HR zahrňujú, ale nevenujú sa priamo HR. Preto dostávame otázky, ktoré stavajú do súvislosti HR a GDPR.

Na mnohé z otázok si firmy môžu vyhľadať odpovede priamo v samotnom znení smernice GDPR TU, veľa informácií je na webe www.gdpr.cz/, ale aj na SAP stránkach TU 

Ako ušetriť na zavádzaní GDPR sa dozviete TU

Ak niekto začína s prípravou len niekoľko týždňov pre účinnosťou smernice 25. mája 2018, mal by urobiť tri základné kroky, ktoré mu umožnia splniť tie najdôležitejšie požiadavky GDPR – a to z technologického hľadiska:

  1. Urobte analýzu dát, ktoré zbierate a teda máte o zamestnancoch a kandidátoch. Zvážte, ktoré z nich potrebuje a na čo a ktoré nie. Tie, čo nepotrebujete pre žiadne zákonné povinnosti ani pre seba, zlikvidujte.
  2. Revidujte súhlasy – pozrite sa, na čo v súčasnosti požadujete súhlas a či ho skutočne potrebujete aj v rámci povinností uložených GDPR. Ak nie, nemá od 25. mája v systéme čo robiť.
  3. Spravte report o osobných údajoch, ktoré o zamestnancoch a kandidátoch máte – pripravte si spôsob, akým si u vás zamestnanci a kandidáti môžu stiahnuť svoje osobné údaje, ktoré v systémoch máte, a účely, pre ktoré ich spracovávate. Ideálne to môže byť jedno kliknutie v systéme.

Platí jedna všeobecná rada: urobte aspoň niečo. Ak príde kontrola, uvidí, že ste v procese. Ani obrovské firmy nebudú mať k 25. 5. hotovo, ale budú mať veľa materiálov, ktoré môžu inšpektorovi ukázať.

A aký je ideálny postup?

  1. Analýza osobných údajov
  2. Odstránenie nadbytočných dát
  3. Príprava smerníc a ďalšej dokumentácie
  4. Úprava zmlúv so zamestnancami, ktorí pracujú s (citlivými) osobnými údajmi
  5. Preškolenie zamestnancov
  6. Nastavenie záznamov o činnostiach spracovávania
  7. Rozhodnutie o technických zmenách HR systémov
  8. Revízia zmlúv s poskytovateľmi HR systémov a ďalších HR služieb
  9. Samotné technické a organizačné opatrenia

red, 19.4.2018