Pokud jako živnostník (OSVČ) nebo firma (právnická osoba) zpracováváte osobní údaje fyzických osob, měli byste se nechat proškolit, jak s těmito daty zacházet. Porušování nařízení GDPR může vést k pokutám až do výše 20 milionů EUR nebo 4 % z celkového obratu. Proto je pro vaše podnikání zásadní znát alespoň základní informace o GDPR, zvláště pokud pracujete s osobními a citlivými údaji klientů.

Uspořádejte pro vaše zaměstnance školení, které jim přiblíží jejich povinnosti při zpracování osobních údajů. Připravili jsme pro vás obecný návod, co vše by mělo takové školení obsahovat. Berte ale prosím v potaz, že se jedná pouze o základní obecné informace.

Každý dokumentovaný systém musí splňovat PDCA cyklus a manuál nakládání s osobními údaji musí být dostupný všem zaměstnancům. Nezapomeňte také na řízení přístupu. Organizace je povinna dokumentaci průběžně aktualizovat, takže musí rovněž nastavit proces, jak bude tuto aktualizaci provádět a kdo za ni bude odpovědný.

Co by mělo obsahovat školení GDPR pro zaměstnance?

Školení by mělo zahrnovat následující klíčové oblasti:

1. Úvod do GDPR

Každý zaměstnanec, který přijde do styku s osobními údaji a týká se ho GDPR, by měl mít základní povědomí o tom, co toto nařízení vlastně znamená, koho se týká a jaký je jeho cíl. GDPR je zkratka z anglického General Data Protection Regulation, česky Obecné nařízení o ochraně osobních údajů. Tato legislativa nabyla účinnosti 25. 5. 2018 a týká se úplně všech oblastí činnosti, ve kterých dochází ke zpracování osobních údajů fyzických osob. Cílem GDPR je zajistit lepší jednotnost pravidel ochrany osobních údajů ve státech EU, Islandu, Norsku a Lichtenštejnska.

2. Rozdíl mezi osobními a citlivými údaji

Každý, kdo přijde do styku s osobními údaji a citlivými osobními údaji, musí bezpodmínečně vědět, jaký je mezi nimi rozdíl. Citlivé osobní údaje totiž podléhají při jejich zpracování mnohem přísnějšímu režimu, než obecné osobní údaje. Osobní údaje jsou všechny informace, které se vztahují k identifikované či identifikovatelné fyzické osobě. Citlivé osobní údaje jsou druhou zvláštní kategorií osobních údajů.

3. Subjekt, správce a zpracovatel osobních údajů

Rozdíl mezi subjektem, správcem a zpracovatelem osobních údajů je základním předpokladem k rozklíčování toho, kdo má v GDPR jakou úlohu a povinnosti. Subjekt osobních údajů je fyzická osoba, které se osobní údaje týkají. Zpracovatel osobních údajů je fyzická nebo právnická osoba, například účetní, právní kancelář, externí IT správce, cloudový systém apod., kterého si najímá správce osobních údajů, aby pro něj realizoval zpracovatelské operace (ukládání, zaznamenávání, vyhledávání, třídění, likvidaci apod.).

Klíčové role v GDPR:

• Subjekt údajů: Fyzická osoba, které se osobní údaje týkají.
• Správce údajů: Určuje účely a prostředky zpracování osobních údajů.
• Zpracovatel údajů: Zpracovává osobní údaje pro správce.

4. Základní kameny GDPR

Nařízení GDPR má šest základních kamenů, na kterých je postaveno.

5. Právní důvody pro zpracování osobních údajů

Každý, kdo zpracovává osobní údaje fyzických osob, k tomu musí mít právní důvody. Je to zcela nezbytný předpoklad k tomu, aby správce osobních údajů mohl provádět zpracování zcela legálně a v souladu s nařízením GDPR.

6. Práva subjektů údajů

Každý subjekt osobních údajů má svá práva týkající se zpracování jeho osobních dat. Ty musí každý správce dodržovat. Právo být informován o zpracování osobních údajů je právem každého subjektu, tedy fyzické osoby, jejíž osobní údaje jsou zpracovávány. Právo na přístup k osobním údajům představuje právo subjektu na to získat potvrzení od správce, zde nějaké údaje zpracovává. Právo na opravu nebo doplnění osobních údajů má každý subjekt, o kterém správce data zpracovává. Právo na vymazání osobních údajů je dalším velmi důležitým právem každého subjektu.

Přehled práv subjektů údajů:

• Právo na informace
• Právo na přístup k údajům
• Právo na opravu
• Právo na výmaz ("právo být zapomenut")
• Právo na omezení zpracování
• Právo na přenositelnost údajů
• Právo vznést námitku

Vzor souhlasu zaměstnance se zpracováním osobních údajů podle GDPR

Společnost XY se jako zaměstnavatel rozhodla z pozice správce ve smyslu zákona č. 110/2019 Sb., o ochraně osobních údajů (dále jen "ZOOÚ") zpracovávat osobní údaje svých zaměstnanců v rozsahu širším, než vyžaduje zákon, a to především za účelem zvýšení efektivity řízení podniku a zvýšení konkurenceschopnosti společnosti.

Rozsah zpracování osobních údajů:

Osobní údaje zaměstnanců společnosti XY, které budou shromažďovány a dále zpracovávány, zahrnují: jméno a příjmení, tituly; datum a místo narození, rodné číslo a státní příslušnost; bydliště; pasová fotografie; údaje a doklady o dosaženém vzdělání, předchozí praxi a jazykových znalostech; výši a strukturu mzdy; přehled půjček poskytnutých zaměstnanci ze strany společnosti; rodinný stav, údaje o rodinných příslušnících (děti, manželé), a to konkrétně jméno a příjmení, datum narození a státní příslušnost; (další osobní údaje dle potřeby zaměstnavatele).

Účel zpracování:

Osobní údaje zaměstnanců společnosti XY budou v různých časových rozmezích zpracovávány za účelem vytváření, hodnocení a přizpůsobování personálních a odměňovacích systémů, pro zpracovávání modelů podílové účasti zaměstnanců ve společnosti a pro řízení dalších strategických postupů.

Způsob zpracování:

Osobní údaje zaměstnanců společnosti XY budou zpracovávány manuálně i automatizovaně. K osobním údajům budou mít přístup pověření pracovníci zaměstnavatele na pozici mzdový účetní, personalista a správce IT.

Platnost souhlasu:

Poskytnutí osobních údajů společnosti XY v rozsahu nad rámec stanovený zákonem je dobrovolné. Informaci o tom, které osobní údaje jsou od konkrétního zaměstnance zpracovávány nad rámec zákona, poskytne obratem na ústní či písemné vyžádání personalista společnosti. Souhlas zaměstnance je udělován na období trvání pracovního poměru, nejdéle však na dobu dvaceti let. Souhlas s poskytnutím osobních údajů nad rámec osobních údajů, které musí správce zpracovat na základě jiných právních titulů než je souhlas zaměstnance, lze kdykoliv odvolat.

Poučení:

Zaměstnanec společnosti XY má právo na přístup k osobním údajům a právo na opravu osobních údajů. Zjistí-li nebo domnívá-li se zaměstnanec společnosti XY, že společnost provádí zpracování jeho osobních údajů, které je v rozporu s ochranou jeho soukromého a osobního života nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může požádat společnost XY o vysvětlení či požadovat, aby byl odstraněn takto vzniklý stav. Zejména může žádat blokování, provedení opravy, doplnění nebo likvidaci osobních údajů.

Zaměstnanec má právo obrátit se na Úřad pro ochranu osobních údajů se sídlem v Praze 7, Pplk. Sochora 27, a to zejména v případě, kdy společnost XY nevyhoví jeho žádosti o vysvětlení či odstranění stavu vzniklého zpracováním jeho osobních údajů, které je v rozporu s ochranou jeho soukromého a osobního života nebo v rozporu se zákonem.

Souhlas:

Uděluji tímto souhlas se zpracováním mých osobních údajů v rozsahu a pro účely, které jsou uvedeny v tomto oznámení o zpracování údajů, a to na dobu trvání mého pracovního poměru u společnosti Alfa s.r.o., nejdéle však na dobu dvaceti let.

V ................. dne ....................

.........................................

podpis zaměstnance

Směrnice o ochraně osobních údajů

Účel:

Účelem této směrnice je aktualizace opatření v oblasti zpracování osobních údajů prováděného správcem v souvislosti se vstupem nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) v platnost.

Osobní působnost:

Všichni zaměstnanci správce a osoby v jiném obdobném smluvním vztahu ke správci.

Základní zásady zpracování osobních údajů:

• Zákonnost, transparentnost a korektnost.
• Přesnost a minimalizace OÚ.
• Omezení doby zpracování.
• Integrita a důvěrnost.

Ohlašování případů porušení zabezpečení osobních údajů

Jakékoli porušení zabezpečení OÚ musí být bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy bylo zjištěno, ohlášeno Úřadu. To neplatí, pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.

tags: #školení #zaměstnanců #GDPR #vzor #zdarma

Oblíbené příspěvky:

• Výhody aplikace pro zaměstnance
• Recenze práce v Tesco Písek
• Argumenty pro navýšení platů v sociální sféře
• Průvodce výpovědí internetu v ČR.
• Podmínky okamžité výpovědi