Jak implementovat GDPR nejen v HR procesech

Ačkoliv v České republice platí zákon 101/2000 Sb. o ochraně osobních údajů už 17 let, teprve nová norma GDPR (neboli Nařízení Evropského parlamentu a Rady EU 2016/679) platná od 25. května 2018 budí notný rozruch a zájem o implementaci pravidel, která chrání firmy a především občany před zneužitím osobních dat ze strany šedé a hlavně černé zóny ekonomiky.

Proč a čeho se obávat? Na co se při implementaci primárně zaměřit? Je naše firma na GDPR připravena?

Právě na tyto otázky hledali odpovědi účastníci dalšího běhu kurzu Ochrana dat dle nařízení EU 2016/679 (GDPR), který se uskutečnil v první polovině října 2017 pod taktovkou společnosti ICT Pro. Kurz probíhá opakovaně v Praze a Brně (nadcházející termíny) nebo na míru a orientuje se primárně na odborníky řešící oblast ochrany dat a budoucí DPOs‘ (Data Protection Officers).

Dvoudenní setkání se vedle vlastního výkladu terminologie nového legislativního rámce soustředí také na dílčí obecnější ukázky implementace normy do podnikových procesů. Je tak užitečné především těm, kteří chtějí získat ucelenou představu o vzájemných souvislostech mezi systémovými i IT požadavky, aby byli schopni začlenit legislativní nařízení na ochranu dat do unikátního prostředí své vlastní firmy.

Zaměřme se však nyní na zodpovězení první z úvodem položených otázek.

Proč a čeho se obávat?

Hlavním strašákem GDPR je zejména výše nově hrozících sankcí. „Kde sankce ze zákona 101/2000 končí, tam sankce za nedodržování GDPR začínají a končí na částkách z pohledu firem v ČR astronomických a především likvidačních,“ uvedl Vilém Umlauf, BPM Consultant, certifikovaný DPO, který je také lektorem kurzu. Konkrétně hovoříme o pokutách do výše 4 % obratu firmy nebo až půl miliardy korun, které oprávněně budí ve firmách paniku. Problém je ale komplexnější…

Firmy jsou dnes svazovány celým spektrem norem, které musí splňovat. Příkladem jsou ISO 9001 či ISO 14001 a další standardy pro řízení jakosti, ITIL, COBIT, zákon o kybernetické bezpečnosti… A tím zdaleka nekončíme.

Tyto normy se pak prolínají řadou podnikových procesů, které je třeba řídit, a do toho všeho nyní přichází nový standard GDPR, který je v porovnání s ostatními z pohledu své implementace jedním z nejkomplexnějších. Požadavky GDPR totiž nutně vyžadují orientovat se na profesionální úrovni hned v několika oblastech:

  • Právní aspekty – znalost GDPR problematiky a navazujících právních předpisů (zákonů, vyhlášek a jiných souvisejících legislativních dokumentů) na národní úrovni i v rámci EU; dále znalost implementace legislativního rámce dovnitř společnosti a v neposlední řadě i schopnost komunikace na nejvyšší úrovni s ÚOOÚ velmi důležitá z pohledu potenciálních rizik.
  • Procesní aspekty – věcná znalost procesů týkajících se projektu a schopnost provedení komplexní analýzy, definování rizik a jejich dopadů, nastavení interních procesů se zahrnutím požadavků GDPR a navíc plná implementace zcela nových procesů, které je nutné vytvořit.
  • Bezpečnostní aspekty – znalost implementace všech typů bezpečnosti přímo souvisejících s implementací GDPR; př.: fyzická bezpečnost (security), informační bezpečnost (IT security) a další.
  • Informační aspekty – znalost souvislostí požadavků GDPR a informační bezpečnosti ve vztahu k potencionálním úpravám informačních systémů.

Komplexnost celé problematiky GDPR stejně jako důsledky plynoucí z nedodržení legislativy jsou tedy jasné. Známe již „proč“ i „čeho se obávat“ ze strany GDPR. Nyní se podíváme na praktický příklad implementace GDPR v konkrétní oblasti.

Implementace GDPR v HR procesech

Řízení lidských zdrojů je jedním z mnoha procesů, jichž se nařízení GDPR významně dotkne. Není proto divu, že někteří účastníci kurzu byli specialisty právě na problematiku HR. Bližší objasnění některých klíčových otázek, které personalisty obecně zajímají, poskytl Vilém Umlauf, lektor kurzu Ochrana dat dle nařízení EU 2016/679 (GDPR) od společnosti ICT Pro, v krátkém rozhovoru.

1. Jaké jsou první kroky v implementaci GDPR do HR procesů?

Prvním krokem bude muset vždy být aktualizace strategie firmy. Je třeba ji doplnit o další cíle v rámci implementace GDPR, stanovit aktiva, rizika apod.

Dalším krokem je popsat procesy. Příklad struktury procesů HR naleznete v grafu (rozklikněte obrázek pro větší náhled).

Po vytvoření této vrcholové struktury procesů HR je navazujícím krokem jejich detailní popis. Jde o celkový pohled na proces tzv. end-to-end, ze kterého lze vyčíst:

  • návaznosti (rozhraní) na procesy předcházející či navazující;
  • sled činností včetně tzv. událostí, jejichž prostřednictvím vlastník procesu zdůvodňuje potřebu vést proces několika větvemi;
  • vstupní a výstupní dokumenty;
  • role, které činnosti provádějí, podporují a další podle skutečné míry participace a odpovědnosti;
  • aplikační podporu do úrovně transakcí;
  • datovou podporu (Databáze, Clustery).

Na dalším obrázku (rozklikněte pro větší náhled) je uvedena ukázka fragmentu procesu - činnosti s vazbami na vstupy a výstupy. Konkrétně jde o proces Nástup zaměstnance, v rámci kterého je nezbytně nutné založit osobní dokumentaci zaměstnance. Netřeba zdůrazňovat, že se jedná o jeden z nejrizikovějších zdrojů osobních údajů.

Co lze z obrázku vyčíst? Kromě specifikované činnosti získáme také následující informace:

  • typ a obsah vstupního dokumentu (důležité z pohledu GDPR);
  • role zaměstnance, a to jak z pohledu odborného (HR), tak i z pohledu speciální role pro GDPR;
  • typ aplikační podpory, potřebná transakce, potřeba datové podpory, struktura datové podpory, oprávnění přístupu do systému prostřednictvím rolí…;
  • podklady pro výstupy typu „Popis funkčního místa“, „Popis pracovní role“, nastavení přístupů do IS a mnoho dalších.

2. Jak by dle GDPR měl normativně správně probíhat proces sběru osobních údajů během náborového procesu?

Není prakticky možné vytvořit jeden standard na jakýkoliv proces. GDPR nedává taxativní požadavky pro jednotlivé oblasti procesů či dokonce činnosti. K tomu správnému postupu (zdůrazňuji: „správnému“ z pohledu konkrétní firmy) si musí management dojít sám prostřednictvím důkladné a důsledné analýzy. Vždy je potřeba zvážit, co firma dělá, jaké zaměstnance potřebuje, jaké smlouvy dává atd.

Další obrázek ukazuje proces Vyhledání zaměstnance. Je patrné, že není rozhodně triviální, a tak je přiložený náhled spíše jeho pouhou ilustrací. Jedinou a správnou variantou je tudíž důkladná analýza procesu, všech vstupů a výstupů z jednotlivých činností a další atributů. Analýzou a optimalizací procesu lze následně vyhovět požadavkům na GDPR.

3. Dle nařízení mají kandidáti právo získat přístup ke svým údajům a také požádat o jejich výmaz. Jaká úskalí v tomto směru vznikají a jak jim předejít?

Odpověď lze nalézt přímo v citaci ze zákona: „V rámci GDPR je třeba stanovit postupy, které by usnadnily výkon práv subjektů údajů podle tohoto nařízení, včetně mechanismů pro podávání žádostí a případně bezplatného obdržení přístupu k osobním údajům a opravy nebo výmazu osobních údajů a pro uplatnění práva vznést námitku.

Správce - firma by měl rovněž zajistit podmínky pro to, aby žádosti mohly být podávány elektronicky, zejména v případě zpracování osobních údajů elektronickými prostředky.

Správci by měla být uložena povinnost reagovat na žádosti subjektu údajů bez zbytečného odkladu a nejpozději do jednoho měsíce a uvést důvody v případě, že nemá v úmyslu těmto žádostem vyhovět.“

K čemu vede? K uvědomění si, že GDPR je o procesech popsaných a provázaných tak, aby se firma dokázala tzv. "vyvinit" z případného incidentu nebo pokusu o něj.

4. Firmy budují svou značku, aby přilákaly nové uchazeče. Využívají k tomu mimo jiné fotografie či videa se zaměstnanci. V jakých případech je nutné si vyžádat jejich souhlas?

Fotografie zaměstnanců je typický osobní údaj. Interně ve firmě lze definovat jako oprávněný zájem, ale i tak bych si jako firma raději obstaral souhlas zaměstnance. Nikdy nevíte, co se stane, když se s nějakým člověkem ve firmě rozloučíte. Pro externí potřebu jednoznačně se souhlasem subjektu – tedy zaměstnance.

5. Jaké formální náležitosti by měl souhlas splňovat?

Záleží opět na typu a povaze firmy. Obecně řečeno vše, co potřebujete k vlastní obhajobě v případě incidentu a následujícího sporu. Přeci jen jde v případě sankcí o velké peníze…

Je vaše firma na GDPR připravena?

Poslední otázku si musíte zodpovědět sami, anebo své dotazy rovnou přijďte zkonzultovat s odborníkem do kurzu ICT pro. Jeho lektor, Vilém Umlauf, je profesionálem s živou praxí a v průběhu setkání prokládá problematiku konkrétními příklady a podněcuje k otevřené diskuzi, na jejímž základě si účastníci mohou vyvodit konkrétní důsledky, které GDPR vnáší do jejich podnikání.

Navštivte některý z plánovaných termínů kurzu Ochrana dat dle nařízení EU 2016/679 (GDPR) od společnosti ICT Pro, které se konají v Praze a Brně nebo si nechte ušít kurz na míru přímo dle požadavků vaší společnosti.