Osobní údaje v elektronické podobě a GDPR

Vydáno: 19 minut čtení

Obecné nařízení o ochraně osobních údajů známé pod zkratkou GDPR je reakce na tlak na ochranu osobních údajů v dnešním digitálním světě. V současnosti je poměrně málo pravděpodobné, že někdo odcizí kartotéku se složkami zaměstnanců v papírové podobě, ale daleko větší riziko je, že někdo odcizí digitální záznamy s osobními údaji zaměstnanců či klientů, a to třeba i v několikanásobném rozsahu oproti „papírové“ krádeži. Rovněž se nyní klade větší důraz na právo fyzických osob vědět, jaké o nich jejich zaměstnavatel či jakákoliv jiná společnost eviduje osobní údaje a jak s těmito daty nakládá. Právě vedení osobních údajů v elektronické podobě vedlo k přijetí zmíněného obecného nařízení EU.

Tento příspěvek navazuje na článek ing. Aleny Chládkové Osobní údaje v pracovněprávních vztazích. Zaměřím se v něm na vliv Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) na ochranu osobních údajů, které zpracovává zaměstnavatel o svých zaměstnancích v elektronické podobě. O tomto Nařízení se budu dále zmiňovat jako o „obecném nařízení EU“ příp. jako o „GDPR“ (General Data Protection Regulation), jak se dnes o něm nejčastěji hovoří.

Ochrana osobních údajů při jejich zpracování v elektronické podobě

Vedení personální a mzdové agendy je založeno na informacích o zaměstnanci, které musí personalista či mzdový účetní shromáždit, ověřit, zpracovávat, aktualizovat a archivovat. Jedná se o základní osobní údaje zaměstnance (bývalého zaměstnance), příp. i jeho rodinných příslušníků, informace o vzdělání, praxi, pracovním poměru a další. Většina z těchto informací se sleduje kromě písemné formy i pomocí výpočetní techniky, tj. ukládají se do informačního systému zaměstnavatele (personální systém, účetní SW s modulem mezd, mzdový SW), kde jsou rovněž průběžně aktualizovány a archivovány. Elektronická evidence osobních údajů totiž významně usnadňuje jejich sběr, třídění i zpracování.

Obecné nařízení EU se přitom vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází v papírové podobě, či automatizovaně pomocí výpočetní techniky (tj. v digitální, resp. elektronické podobě). V souladu s článkem 32 obecného nařízení EU - Zabezpečení zpracování musí správce a zpracovatel osobních údajů provést s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:

  1. pseudonymizace (zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, které jsou uchovávány odděleně) a šifrování osobních údajů,
  2. schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování,
  3. schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů,
  4. procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

V souladu s článkem 25 obecného nařízení EU - Záměrná a standardní ochrana osobních údajů zavede správce s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování vhodná technická a organizační opatření, jejichž účelem je provádět zásady ochrany údajů, jako jsou:

  • pseudonymizace,
  • minimalizace údajů,
  • začlenění do zpracování osobních údajů nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů,
  • zpracovávání pouze osobních údajů, jež jsou pro každý konkrétní účel daného zpracování nezbytné (týká se množství shromážděných údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti), tj. osobní údaje nesmí být standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

Již podle § 13 odst. 1 a 2 dosavadního zákona č. 101/2000 Sb., o ochraně osobních údajů, který platí v ČR od roku 2000, jsou správce a zpracovatel povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. Podle § 13 odst. 4 tohoto zákona je správce nebo zpracovatel při automatizovaném zpracování osobních údajů povinen:

  1. zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby (tj. co nejmenší počet zaměstnanců, kteří tyto údaje potřebují k plnění povinností připadajících na zaměstnavatele),
  2. zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby (tj. detailně definovaná přístupová práva),
  3. pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány (tj. všechna zpracování osobních údajů včetně nahlížení „logovat“),
  4. zabránit neoprávněnému přístupu k datovým nosičům (tj. chránit počítače, servery a záložní média s daty o zaměstnancích).

Obecné principy zabezpečení osobních údajů v elektronické podobě

Jak již bylo zmíněno, velmi důležitým faktorem při vedení osobních údajů v elektronické podobě je zajištění bezpečnosti při evidenci osobních údajů a při přenosu osobních údajů prostřednictvím elektronické komunikace k příslušným institucím (hlášení zdravotním pojišťovnám, e-Podání do ČSSZ). Je třeba zajistit, aby tyto údaje nemohly být zneužity neoprávněnou osobou.

Existuje řada nástrojů k zajištění bezpečnosti osobních údajů v elektronické podobě, které zajišťují naplnění příslušných ustanovení dosavadních i nových předpisů o ochraně osobních údajů:

  • Základem je tzv. autentizace, tj. ověření identity (totožnosti) uživatele při přihlašování do personálního a mzdového systému, ve kterém jsou osobní údaje evidovány. To se provádí především prostřednictvím přístupových hesel, různých certifikátů, čipů atd. Správce systému pak dále stanoví přístupová práva pro jednotlivé uživatele systému.
  • Především při přenosu dat (elektronickém podání) je bezpečnost (integrita zprávy, utajení údajů) z počítače uživatele na příslušný server (OSSZ, ZP apod.) zajišťována šifrováním, data jsou také zpravidla opatřena elektronickým podpisem. Jde o to, aby data během přenosu nemohl nikdo nepovolaný přečíst. Elektronické podání se zpravidla u podávajícího automaticky šifruje pomocí šifrovacího certifikátu a dalšími bezpečnostními prvky, aby byla zajištěna co nejvyšší úroveň zabezpečení. Dešifrovat (přečíst) data může pouze příjemce zprávy (ČSSZ, zdravotní pojišťovny).
  • Data personálního a mzdového systému je třeba mít na datovém serveru v počítačové síti umístěna tak, aby nebyla čitelná za pomoci jiných aplikací. Je třeba také zajistit, aby byl znemožněn převod databází do jiné instalace stejného personálního a mzdového systému neoprávněným uživatelem (např. zaheslováním). Dále, aby zde nebyly volně přístupné různé bez problémů čitelné soubory v XML či PDF tvaru. Databáze tedy musí být maximálně zabezpečena proti případnému zcizení či zneužití (šifrována, zaheslována apod.).
  • Je vhodné šifrovat či zaheslovat i zálohy dat z personálního a mzdového systému, aby tyto zálohy nemohly být obnoveny u neoprávněného uživatele (např. v jeho instalaci personálního či mzdového systému).
  • Podobně je vhodné ochraňovat heslem i výstupní PDF dokumenty obsahující osobní údaje zaměstnanců, např. při jejich zasílání e-mailem atd. (výplatní pásky, ELDP).
  • Samozřejmostí je dodržování všeobecných bezpečnostních zásad, jako je pracovat na důvěryhodném PC, ke kterému nemají přístup jiní uživatelé, používat kvalitní a pravidelně aktualizovaný antivirový program, provádět aktualizace operačního systému a internetového prohlížeče a dodržovat další obecná pravidla pro práci s PC. Tj. nikomu neprozrazovat své přístupové kódy, pokud možno, nikam si přístupové kódy nezaznamenávat, a když už, tak odděleně uživatelské jméno a heslo.

Tyto jednotlivé nástroje k zajištění bezpečnosti osobních údajů je přitom nutné vhodně kombinovat, resp. používat většinu z těchto nástrojů či jejich obdobu. Uživatel musí být dostatečně opatrný a dodržovat základní bezpečnostní pravidla pro práci s PC a s internetem. Pokud v praxi někdy dojde k zneužití dat neoprávněnou osobou či úniku dat, bývá to většinou způsobeno právě porušením základních bezpečnostních pravidel na straně uživatele.

Příklady možných rizik při elektronické evidenci a elektronickém přenosu osobních údajů:

  • Špatné nastavení uživatelských práv (oprávnění) v účetním SW s modulem mezd, resp. mzdového SW, např. finanční účetní se pak dostane i k osobním údajům ostatních zaměstnanců (personalistika a mzdy).
  • V praxi jsou často uživatelské přístupy (přihlašovací jméno + heslo) do systému jednoho zaměstnance z důvodu zajištění zastupitelnosti známy i dalším uživatelům (příležitostným uživatelům) systému. Rovněž jsou v praxi mnohdy používána příliš slabá a snadno prolomitelná hesla typu „1234“, „heslo“, jména apod.
  • Ukládání různých sestav v čitelném tvaru (např. v PDF) na veřejná místa v síti (na serveru), tj. přístupná i osobám, které přitom nemají oprávnění k nahlížení do osobních údajů.
  • Ne zcela zabezpečená jsou rovněž podání zasílaná e-mailem přílohou v PDF tvaru bez zaheslování a zašifrování (výplatní pásky, e-Podání ELDP - Evidenční list důchodového pojištění, ONZ - Oznámení o nástupu do zaměstnání, PVPOJ - Přehled o výši pojistného aj.).
  • Velkým rizikem je samozřejmě porušování pravidla mlčenlivosti ze strany uživatelů přicházejících do styku s osobními údaji.
  • Vědomé stažení osobních údajů zaměstnanců za účelem jejich zneužití některým z uživatelů systému.

Postupy, jak tato i další rizika co nejvíce minimalizovat, resp. jim předcházet, jsou naznačeny v dalších částech tohoto textu.

Personální a mzdové systémy a GDPR

Dopady obecného nařízení EU v oblasti personalistiky a mezd jsou specifické tím, že prakticky veškeré zpracovávané informace mají charakter osobních údajů, přičemž účel jejich zpracování je převážně dán plněním zákonných povinností. To situaci zjednodušuje například tím, že pro zpracování těchto údajů není zpravidla nutný souhlas subjektů (zaměstnanců). Dále jsou v této oblasti definovány lhůty pro uchovávání vybraných okruhů údajů.

Je třeba zdůraznit, že většina personálních a mzdových systémů má již z dob dřívějších integrované funkcionality směřující k naplnění mnoha dílčích požadavků obecného nařízení EU (jsou tedy tzv. GDPR ready). Zmíněné funkcionality je však třeba v následujícím období přizpůsobovat nejnovějšímu výkladu GDPR a nadále je rozvíjet.

Klíčovou náležitostí připravenosti systémů na obecné nařízení EU je i nastavení příslušného systému, používané výpočetní techniky atd. Jinými slovy řečeno, i když bude používaný systém plně odpovídat požadavkům obecného nařízení EU, neznamená to, že procesy u příslušného zaměstnavatele budou plně v souladu s obecným nařízením EU, je třeba provést správné nastavení celého procesu zpracování osobních údajů.

Tvůrci těchto systémů se snaží v posledních měsících přizpůsobit své produkty požadavkům obecného nařízení EU především v těchto oblastech:

  • Možnost nastavení, jak silná hesla si musí uživatelé pro přístup do systému nastavit (malá a velká písmena, číslice, další znaky), možnost vynucení pravidelné změny hesla apod.
  • Zavádění nástrojů pro sběr a ukládání informací o provozu systémů, tzv. logů. Mzdový a personální informační systém by měl umožnit získat informace o tom, který uživatel, v jaký čas a na jakém počítači: byl přihlášen do systému, procházel klíčovými uzly systému, připravil některou sestavu nebo soubor (evidence výstupů ze systémů).

Tyto informace o spuštění a přihlašování do jednotlivých úloh a o práci v nich se automaticky zapisují do logového souboru. Správci systému by to mělo umožnit včas řešit rizikové události. Toto je důležité především u velkých podniků, které zpracovávají osobní údaje stovek či tisícovek zaměstnanců. Zde je třeba mít zaznamenáno, kdo ze zaměstnanců s přístupem do systému do nich nahlížel, editoval je atd. U malého zaměstnavatele s jedním účetním samozřejmě není třeba tímto způsobem zjišťovat, kdo s daty pracoval.

  • V návaznosti na výše uvedené lze sledovat i historii změn osobních údajů v databázi, tj. kdo a kdy záznam vytvořil, provedl změnu osobního údaje, příp. i hodnotu před změnou a hodnotu po změně. Mělo by pak být možné zaznamenat jakoukoliv manipulaci s osobními údaji, vyhodnocovat rizika (hromadné změny, nestandardní změny) atd.
  • Zajištění možnosti provedení výpisu osobních údajů ve formě a na nosičích vhodných k předání subjektu (zaměstnanci). Zaměstnanec má totiž právo být písemně informován o tom, jaké všechny osobní údaje o něm zaměstnavatel eviduje, jak je zpracovává, kdo s nimi nakládá (základní osobní údaje, údaje z docházkového systému, výpisy z GPS, evidence školení atd.).
  • Provádění výmazu a pseudonymizace (viz výše) osobních údajů. Informace je samozřejmě třeba archivovat s ohledem na archivační lhůty, teprve po uplynutí těchto lhůt je nutné údaje mazat. Používaný personální či mzdový systém by měl umět vytvořit alespoň základní nástroje pro upozornění na uplynutí těchto lhůt.
  • Řízení přístupů k údajům v čase. Některá data je třeba archivovat po dobu stanovenou zákony (mzdové listy, ELDP atd.), tato data by mělo být možné archivovat mimo hlavní databázi v archivech, ke kterým bude pouze velmi omezený přístup stanovený interní směrnicí.
  • V některých případech může být vhodné zamezit ukládání osobních údajů mimo definovaná úložiště. Tj. zakázat ukládání mimo stanovenou složku, aby se minimalizovalo možné zneužití osobních údajů (například, aby si je někdo kopíroval pro osobní účely).

Je ovšem nutné brát v potaz skutečnost, že software, ve kterém je vedena personální a mzdová evidence, je pouze nástroj, který zpracování dat umožňuje, přičemž obecné nařízení EU je především o procesech a nastavení nakládání s osobními údaji v rámci vaší firmy. Ani sebelepší software proto nevyřeší veškeré povinnosti, které obecné nařízení EU ukládá. Soulad s obecným nařízením EU nezajistí žádný mzdový a personální systém sám o sobě a vždy je nutno posuzovat konkrétní podmínky zpracování a nastavení procesů u konkrétního zaměstnavatele.

Způsob nastavení závisí mimo jiné na počtu zaměstnanců, počtu uživatelů systému (počet mzdových účetních, personalistů), množství a charakteru evidovaných osobních údajů atd. Nicméně informační systém by měl pro splnění požadavků obecného nařízení EU samozřejmě poskytovat efektivní podporu.

Doporučené postupy v souvislosti s GDPR

V návaznosti na výše zmíněné obecné principy zabezpečení osobních údajů je při práci s personálními a mzdovými systémy v souvislosti s obecným nařízením EU vhodné postupovat následujícím způsobem:

  • Snažit se o jednoduchou správu osobních údajů, jejich vkládaní a následné zpracování. Tj. minimalizovat rozsah používání údajů (evidovat jen skutečně nezbytné údaje).
  • Je vhodné mít pro práci s osobními údaji zaměstnanců propracovaný systém přístupových oprávnění, tj. nastavit pravidla, kdo je může vidět, kdo je může zpracovávat, jak a za jakých podmínek se k těmto údajům dostat. Jednotlivým uživatelům je třeba přidělit přístupová práva k jednotlivým agendám a stanovit, jaké operace bude smět se záznamy provádět (pouze nahlížení či zápis, mazání, editace, exporty, tisky atd.). Snažit se, aby k osobním údajům měl přístup co nejmenší počet osob (personalisté, mzdové účetní).
  • U výstupů z používaného personálního a mzdového systému (PDF dokumenty atd.) nastavit i připojení elektronického podpisu jeho tvůrce a časového razítka.
  • Mít stanovený systém mazání osobních údajů v závislosti na tom, do jaké „zaměstnanec“ spadá kategorie (uchazeč o zaměstnání, neúspěšný uchazeč o zaměstnání, zaměstnanec, bývalý zaměstnanec atd.).
  • Zaměstnavatel by měl mít vypracovaný vnitřní předpis (interní směrnici) o ochraně osobních údajů při zpracovávání osobních údajů v „papírové“ podobě i v elektronické podobě (zpracování pomocí výpočetní techniky). Tj. pro oba tyto typy zpracování osobních údajů stanovit přesná pravidla a postupy. Tento vnitřní předpis by pak měl být dodržován v běžném chodu společnosti a minimalizovat riziko úniku jakýchkoliv dat z personálního informačního systému a zajistit ostatní povinnosti vyplývající z obecného nařízení EU.

Klíčové přitom bude zmapovat, jaké údaje společnost jakožto zaměstnavatel uchovává, jakým způsobem, kde všude se pracuje s osobními údaji (v jakém SW jsou uvedeny, jaké jsou vytvářeny tabulky s osobními údaji, kde jsou uloženy papírové dokumenty atd.), kdo všechno k nim má přístup. Vnitřní předpis je třeba pravidelně aktualizovat, a to zvláště v počátcích jeho existence. Nepostačí pouze odkazovat na obecné nařízení EU jako na směrnici o ochraně osobních údajů, je třeba mít směrnici vytvořenou „na míru“.

  • V rámci ochrany osobních údajů je velmi důležité pravidlo mlčenlivosti. Je tedy třeba zaměstnance s přístupem k osobním údajům smluvně k mlčenlivosti zavázat.

V úvahu je třeba vzít i skutečnost, že jedním z principů obecného nařízení EU je úměrnost vynaložených nákladů a míry zabezpečení osobních údajů a určitě nelze nutit malé zaměstnavatele (OSVČ, malé firmy) k nákupu drahých softwarových řešení, kdy by princip úměrnosti vynaložených nákladů byl porušen. Obecné nařízení EU obecně požaduje zavést vhodná organizační a technická opatření k ochraně osobních údajů. Záleží pak na množství a charakteru osobních údajů, zda přikročit i u údajů v digitální podobě k jednoduchému „zámku“, „trezoru“ či ještě silnější ochraně.

Zabezpečení, transparentnost a minimalistické zpracování

Na obecné nařízení EU nelze nahlížet jako na revoluční a přelomový právní předpis. Byl přijat za určitým účelem a je namířen především vůči určitému okruhu obchodníků, především marketingovým společnostem. Obyčejného podnikatele, resp. běžného zaměstnavatele by nemělo obecné nařízení EU ve větší míře zasáhnout. To samozřejmě za předpokladu, že zaměstnavatel nyní dodržuje platný zákon o ochraně osobních údajů účinný již od 1. 6. 2000. Obecné nařízení EU podnikatelům dává především povinnost být opatrný (náležitě zabezpečit osobní údaje), transparentní (jasným a srozumitelným způsobem zpracovávat osobní údaje) a minimalistický (evidence v nezbytném rozsahu).

Lze tvrdit, že prvních několik měsíců, kdy bude obecné nařízení EU implementováno do praxe, bude nejtěžších, a budou se muset tzv. vychytat mouchy, tj. stanovit výklad neurčitých ustanovení a zavést právní praxi. Po překonání tohoto překlenovacího období snad budeme moci zhodnotit, že obecné nařízení EU je prospěšným předpisem, který reguloval trh s osobními údaji správným směrem, aniž by obchodní subjekty zatížil natolik, aby situace byla nezvladatelná.

Právní předpisy citované v článku (předpisy jsou vždy citovány ve znění pozdějších předpisů, pokud není výslovně uvedeno jinak)

  • zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů

Související dokumenty

Související pracovní situace

Doprovod do zdravotnického zařízení
Pohřeb spoluzaměstnance
Úmrtí blízké osoby
Vyhledání nového zaměstnání
Trest vyhoštění cizince
Určení daňové rezidence
Zrušení povolení k pobytu cizince
Povolení k zaměstnání, zaměstnanecká karta, modrá karta
Určení daňové rezidence dle zákona o daních z příjmů – rezident
Určení daňové rezidence dle zákona o daních z příjmů – nerezident
Dovolená za kalendářní rok
Poměrná část dovolené
Dovolená za odpracované dny
Výměra dovolené
Výkon práce pro účely dovolené
Dovolená při nerovnoměrném rozvržení pracovní doby
Dovolená při změně rozvržení pracovní doby
Čerpání dovolené
Rozvrh čerpání dovolené
Určení doby čerpání dovolené zaměstnavatelem

Související články

Ochrana majetkových zájmů zaměstnavatele, ochrana osobních práv zaměstnance a inspekce práce
Osobní údaje zpracovávané zaměstnavatelem a GDPR
Povinnosti zaměstnavatele při ochraně osobních údajů zaměstnanců dle GDPR
Daňové aktuality
GDPR - nové nařízení EU o ochraně osobních údajů
Pre-employment background screening
Sledování zaměstnanců a právo na ochranu soukromí
Zpracování fotografií zaměstnanců v souladu s GDPR
Nařízené testování zaměstnanců z pohledu GDPR
Pověřenec pro ochranu osobních údajů
Soulad s GDPR při zajišťování BOZP a PO
Ochrana osobních údajů zaměstnanců od A (přes GDPR) do Z
Přeshraniční předávání osobních údajů zaměstnanců
Klíč pro úspěšnou implementaci personálního informačního systému
Jak lépe nakládat s časem organizace
Šikana a obtěžování zaměstnanců na pracovišti
Informování a projednání u zaměstnavatelů
Audit personálních a manažerských rizik organizace
Diskriminace v pracovněprávních vztazích
Co znamená řídit výkon zaměstnanců

Související otázky a odpovědi

GDPR
Uchování kopií dokladů
Uchovávání dokumentů - archivační lhůty
Archivace HR dokladů
Kamerový systém na pracovišti a GDPR
Poskytování osobních údajů zaměstnanců zákazníkům
Skartace a archivace z hlediska GDPR
Potvrzení o zdanitelných příjmech - elektronicky
Archivace docházky
Archivace pracovních smluv
Součinnost zaměstnavatele s insolvenčním správcem
Mzdové dokumenty - kopie nebo posílání emailem
Kamery na pracovišti
Rodné listy dětí
Povinnosti odborové organizace vůči zaměstnavateli
Mimořádná odměna k dohodě o provedení činnosti
Výběrové řízení kvůli zaměstnání zaměstnankyně na mateřské dovolené
Práce na dohodu o provedení práce a zaměstnanecké benefity
Zaměstnanecký benefit - rybářský lístek
Externí vedoucí pracovník

Související předpisy

101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů