V souladu se všemi požadavky GDPR jsme pro Vás připravili vzorové Zásady zpracování osobních údajů zaměstnanců, které můžete volně využít pro své potřeby. Aby odpovídaly Vašemu podnikání či činnosti, bude to z Vaší strany vyžadovat pár úprav podle následujících instrukcí. Veškeré části, které je třeba individualizovat, jsou ve vzorovém dokumentu označeny žlutě.

První krok je jednoduchý, do prvního odstavce doplňte Vaše identifikační údaje, tj. jméno a příjmení či název, IČO a sídlo. V bodě 1d je třeba doplnit označení rejstříku, ve kterém jste ze zákona evidován, spolu s orgánem vedoucím daný rejstřík a spisovou značku zápisu či jiným evidenčním údajem. Následně doplňte do bodů 2a až 2c kontaktní údaje, na které se mohou Vaši zaměstnanci obrátit v případě dotazů či žádostí souvisejících s GDPR. Jestliže máte odpovědného pracovníka pro oblast GDPR, je vhodné zde uvést jeho jméno.

Nyní se dostáváme se k části, kde jsou rozlišovány účely zpracování osobních údajů Vašich zaměstnanců a jako první je uvedeno zpracování osobních údajů vyplývající z plnění zákonných povinností. V horním odstavci jsou uvedeny účely, pro které zpracovává osobní údaje každý zaměstnavatel, tedy mzdové účely, účetní účely apod., a tedy není třeba nic měnit či doplňovat. V případě, že Vám však ze zákona vyplývá povinnost vést nebo zpracovávat osobní údaje nad rámec běžného zaměstnání s ohledem na specifický druh práce (zaměstnanec v potravinovém průmyslu, zaměstnanec ve zdravotnictví apod.), doplňte do žluté části 3a specifickou oblast, v níž podnikáte a do části 3b jaké další osobní údaje vám zákon ukládá zpracovávat. V případě, že zákon Vám neukládá žádná specifika, můžete tento odstavec smazat.

Dále máme před sebou část věnující se účelu plnění ze smlouvy. Máte se zaměstnanci sjednáno, že jim budete poskytovat zaměstnanecké benefity nad rámec stanovených zákonem? Vysíláte je na služební cesty? Podporujete je v dalším vzdělávání? Pak budete jistě za tímto účelem speciálně zpracovávat alespoň některou část jejich osobních údajů.

Do bodu 4a přijde úplně stejný údaj jako do bodu 3a, do bodu 4b pak doplňte všechny služby, které svým zaměstnancům poskytujete a máte za to, že jsou nadstandardní (např. jazykové kurzy, multisport karta, sick days, slevy na zboží pro zaměstnance, atd.).Na řadě je oprávněný zájem zaměstnavatele. Bod 5a je jednoduchý, doplní se tam stejný údaj jako do bodu 3a či 4a. Využívají Vaši zaměstnanci k práci pomůcky, o kterých vedete evidenci? Jsou prostory, ve kterých sídlíte, monitorovány bezpečnostními kamerami? Využíváte k řízení a organizaci práce či k interní komunikaci aplikace a softwary? To vše by pak mělo přijít do bodu 5b.

Nyní se dostáváme k délce doby, po kterou  osobní údaje Vašich zaměstnanců zpracováváte. Pokud nemáte Archivační a skartační řád či obdobný vnitřní předpis, nemusíte v bodech 6a až 6d nic měnit. Pokud však Vaše vnitřní předpisy tuto problematiku upravují, bude potřeba tyto body patřičně upravit.

Jak je to s předáváním osobních údajů Vašich zaměstnanců? Do bodu 7a bude třeba doplnit výčet těch nejpodstatnějších poskytovatelů služeb, kterým jsou předávány osobní údaje Vašich zaměstnanců. Typicky se bude jednat o poskytovatele účetních a daňových služeb, poskytovatele cloudového úložiště, správy IT systémů, telefonních služeb apod. Tyto poskytovatele služeb je třeba přesně identifikovat včetně IČO a sídla.

Bod 7b závisí na tom, co jste vyplnili v předchozím bodě. Podle toho, kde sídlí tito poskytovatelé zapsaní do bodu 7a vyberte, prosím, jednu z nabízených variant. Bod 7c můžete vymazat, pokud jste v bodě 7b vybrali variantu “nedochází”. V případě, že jste v 7b vybrali variantu “dochází” či “může docházet”, bod 7c nevymazávejte, ověřte si však, že teze v tomto bodě uvedená skutečně platí.A nyní se dostáváme se na samý závěr.

V bodě 8a si vyberte jednu z nabízených variant, podle toho, zda při zpracování osobních údajů Vašich zaměstnanců dochází k automatizovanému rozhodování včetně profilování. Co si pod tím máte představit? Na to není až tak jednoznačná odpověď. Konkrétní definici či vysvětlení bohužel GDPR v tomto ohledu neposkytuje a řada otázek zatím zůstává nedořešená. Je tak vždy potřeba vše posuzovat individuálně. O automatizované rozhodování včetně profilování se však bude jednat například v případě, že využíváte automatický docházkový systém, který Vám hlídá pozdní příchody zaměstnanců a hlásí Vám případné překročení určité tolerované hranice. Pokud využíváte automatický systém, který je schopen monitorovat a sám vyhodnocovat výkonnost Vašich zaměstnanců v závislosti na jejich činnosti na počítačích, rovněž dochází k automatizovanému rozhodování včetně profilování při zpracování osobních údajů Vašich zaměstnanců.

Do bodu 8b doplňte případné další způsoby zabezpečení, které užíváte za účelem ochrany osobních údajů, popř. odkažte na příslušný interní dokument, který u Vás zabezpečení osobních údajů řeší podrobněji.

Pokud si stále nevíte rady, zda jste svou informační povinnost jakožto zaměstnavatelé splnili správně či máte další nejasnosti, neváhejte nás kontaktovat.