Zpátky na seznam článků GDPR z pohledu zaměstnavatele při práci s údaji o zaměstnancích 18.05.2018 GDPR se týká každého, kdo zpracovává osobní údaje, a tedy i všech zaměstnavatelů. Jaké údaje můžete o svých zaměstnancích ukládat, jak dlouho a jaká nastavit preventivní opatření? Nové nařízení ohledně GDPR bude mít dopad na každého, kdo shromažďuje nebo zpracovává osobní údaje Evropanů vč. společností a institucí mimo EU, působící na evropském trhu. Dotkne se všech těch, kdo pracuje s osobními údaji zaměstnanců, zákazníků, klientů či dodavatelů, a to napříč všemi sektory a odvětvími. Jak správně zpracovávat údaje o zaměstnancích? Udělejte si přehled o tom, s jakými údaji a kdy pracujete, k čemu je potřebujete a co vás opravňuje k tomu s nimi manipulovat (např. nábor, nástup zaměstnance, hodnocení atd.).Pokud nemáte, zpracujte si pro svou firmu spisový a skartační řád.Vypracujte si analýzu osobních údajů – jaké informace o zaměstnancích uchováváte? Proč? Na jak dlouho a jak dlouho je budete archivovat? Jak zajistíte jejich likvidaci?Vytvořte si směrnici na ochranu osobních údajů a nastavte proces proškolení všech zaměstnanců. Směrnicí s jasně definovanými zodpovědnostmi přenesete selhání společnosti na selhání zaměstnance.S každým zpracovatelem externích služeb (účetní, správce PC sítě) uzavřete zpracovatelskou smlouvu splňující požadavky GDPR.Zjistěte si, jestli neschraňujete dokumenty, k nimž nemáte oprávnění (např. kopie dokladů, občanského průkazu apod.). Pokud je uchováváte, musíte definovat dobu trvání zpracování těchto údajů (po dobu trvání pracovního poměru, po dobu trvání benefitního programu).Nastavte si proces aktualizace a pravidelného školení zaměstnanců. Nastavte pseudonymizaci osobních údajů – označení zaměstnance osobním číslem. Musíte však mít nastaveno, kdo má přístup k převodníkům mezi osobními čísly a jmény.Ověřte si, zda je u vás nutné vyžadovat výpis z rejstříku trestů – ukládá vám to zákon? Pokud ne, musí s poskytnutím výpisu z rejstříku zaměstnanec souhlasit. Zaměstnanec má právo být písemně informován o tom, které osobní údaje o něm zaměstnavatel eviduje a jak s nimi nakládá. Jeho požadavek musí být vyřešen do 1 měsíce (v odůvodněných případech je možné lhůtu o 2 měsíce prodloužit). Nejde přitom jen o základní osobní údaje, ale také například výpisy z GPS, docházka, evidence školení apod.