1. Zásada spracúvania osobných údajov
Základným princípom GDPR je, že osobné údaje musia byť spracúvané zákonným a transparentným spôsobom. To znamená, že organizácie musia mať právny základ na spracúvanie údajov, a to buď na základe súhlasu jednotlivca, plnenia zmluvy, dodržiavania právnych povinností, ochrany dôležitých záujmov alebo na základe oprávnených záujmov organizácie. Tento princíp sa týka aj pracovných procesov, pretože organizácie spracúvajú osobné údaje svojich zamestnancov.
2. Spracúvanie osobných údajov zamestnancov
Organizácie spracúvajú množstvo osobných údajov svojich zamestnancov, vrátane informácií o zamestnaneckých zmluvách, platbách, daňových údajoch, zdravotných informáciách a iných. GDPR vyžaduje, aby takéto údaje boli spracúvané s maximálnou starostlivosťou a zabezpečené tak, aby sa predišlo neoprávnenému prístupu alebo úniku údajov.
3. Súhlas a práva zamestnancov
Jednotlivci majú podľa GDPR určité práva týkajúce sa svojich osobných údajov, vrátane práva na prístup k svojim údajom, ich opravu, vymazanie a obmedzenie spracúvania. Tieto práva sa vzťahujú aj na zamestnancov vo vzťahu k ich zamestnávateľovi. Zamestnanci musia byť informovaní o tom, ako sa ich údaje spracúvajú, a majú právo súhlasiť s týmto spracúvaním alebo ho odvolať.
4. Hodnotenie dopadu na ochranu údajov (DPIA)
GDPR vyžaduje, aby organizácie vykonávali hodnotenie dopadu na ochranu údajov (DPIA) v prípade, že spracúvajú osobné údaje, ktoré môžu mať významný vplyv na práva a slobody jednotlivcov. To môže zahŕňať aj pracovné procesy, kde sú zamestnanci vystavení zvýšenému riziku alebo kde sa spracúvajú citlivé údaje, ako sú zdravotné informácie.
5. Bezpečnosť údajov
Organizácie musia zabezpečiť, aby osobné údaje ich zamestnancov boli riadne chránené pred neoprávneným prístupom, únikom alebo zneužitím. To zahŕňa zavedenie technických a organizačných opatrení na zabezpečenie údajov, pravidelné audity a kontrolu bezpečnosti.
6. Pravidelné kontroly a revízie
Podľa GDPR by organizácie mali pravidelne kontrolovať a revízovať svoje pracovné procesy, aby sa uistili, že dodržiavajú pravidlá nariadenia. To zahŕňa aj skúmanie, aké osobné údaje sú spracúvané a načo sú využívané.
7. Hlásenie porušenia bezpečnosti
Ak organizácia zistí porušenie bezpečnosti, ako je únik osobných údajov zamestnancov, je povinná o tom informovať príslušný dozorný orgán a prípadne aj postihnuté osoby. Rýchle a transparentné hlásenie je kľúčom k minimalizácii dôsledkov takéhoto incidentu.
8. Vzdelávanie zamestnancov
Organizácie by mali venovať pozornosť vzdelávaniu svojich zamestnancov týkajúcemu sa GDPR a ochrany osobných údajov. Zamestnanci musia byť informovaní o tom, ako sa majú zachovať v súlade s GDPR, a aké sú ich povinnosti v oblasti ochrany údajov.
9. Zmluvy so spracovateľmi údajov
Ak organizácia spolupracuje so spracovateľmi údajov, ako sú poskytovatelia cloudových služieb alebo ďalšie firmy, musia byť uzatvorené zmluvy, ktoré zabezpečia, že tieto spoločnosti budú dodržiavať pravidlá GDPR pri spracúvaní údajov zamestnancov.
10. Pokuty za nedodržiavanie GDPR
GDPR ukladá prísne pokuty za nedodržiavanie pravidiel. Organizácie môžu byť pokutované sumami, ktoré môžu dosiahnuť až 20 miliónov eur alebo 4 % celkového svetového obratu spoločnosti, v závislosti od vážnosti porušenia.
Zhrnutím môžeme povedať, že GDPR má zásadný vplyv na pracovné procesy v organizáciách. Organizácie musia venovať pozornosť dodržiavaniu pravidiel týkajúcich sa osobných údajov svojich zamestnancov a zabezpečiť, že pracovné procesy sú v súlade s týmto nariadením. To zahŕňa zabezpečenie bezpečnosti údajov, správne dokumentovanie spracúvania údajov a dodržiavanie práv jednotlivcov. Pre organizácie je dôležité byť informovanými o týchto požiadavkách a prijať opatrenia na ich dodržiavanie, aby sa minimalizovalo riziko pokút a zabezpečila sa ochrana osobných údajov zamestnancov.