HR oddelenia, mzdári, personalisti a účtovníci majú vo firmách často v kompetencii riešenie celej GDPR agendy, aj napriek tomu, že sa v rámci GDPR riešia právne otázky a otázky týkajúce sa bezpečnosti – organizačnej aj technickej.
S takýmto prístupom firiem k GDPR sa bežne v praxi stretávame. Pôvod zaradenia GDPR pod kompetencie HR možno pripísať povahe agendy. Vo väčších firmách s vyšším počtom zamestnancov prechádza cez HR veľká časť agendy ochrany osobných údajov – najmä pri riešení pracovnoprávnych vzťahov.
V menších firmách môže byť toto nastavenie spôsobené faktom, že mzdár, personalista alebo účtovník je ten, ktorý má na starosti všetky „papiere“, nevynímajúc GDPR.
Je toto podriadenie komplexnej GDPR agendy pod „human resources“ a účtovníkov správne? Ako sa s ochranou osobných údajov vysporiadať?
Prečo potrebuje HR pomoc odborníkov
Odpoveď sme načrtli už na začiatku. V rámci ochrany osobných údajov sa riešia najmä:
- právne otázky – stanovovanie právnych základov (čl. 6 a nasl. Nariadenia GDPR), uzatváranie zmlúv o poverení so spracúvaním osobných údajov (čl. 28 a nasl. Nariadenia GDPR,
- otázky na úrovni bezpečnostných opatrení – organizačných a technických (čl. 32 a nasl. Nariadenia GDPR),
- otázky na úrovni stanovenia ďalších postupov (okrem bezpečnostných opatrení) – stanovenie postupov pre vybavovanie žiadostí dotknutých osôb (čl. 13 Nariadenia GDPR), oznamovanie bezpečnostných incidentov (čl. 33 a čl. 34 Nariadenia GDPR).
Uvedené príklady nie sú jediné a mohli by sme pokračovať vo „výpočte“ odborných povinností spadajúcich pod oblasť GDPR. Z príkladov je zrejmé, že podriadenie správy GDPR vo firme pod HR oddelenie, mzdárov, personalistov a účtovníkov, bez pomoci špecialistov v tejto oblasti, nie je podľa nášho názoru správne.
Povinnosti na úseku mzdy a personalistiky
Personalisti a účtovníci musia riešiť široké spektrum činností. Len samotná GDPR agenda (jedna časť zo všetkých povinností) si z ich strany vyžaduje pri nástupe pracovníkov:
- oboznamovanie dotknutých osôb,
- udeľovanie pokynov oprávneným osobám k spracúvaniu osobných údajov,
- oboznamovanie dotknutých a oprávnených osôb s internými predpismi (najmä) v oblasti ochrany osobných údajov a bezpečnosti,
- vedenie celej agendy „správnym“ spôsobom – hlavne pri uchovávaní, spracúvaní a vymazaní osobných údajov,
- zabezpečenie aktualizácie dokumentácie a školení,
- „zazmluvnenie“ dodávateľov, ktorý sú pre HR sprostredkovateľmi.
Pri komplexnej správe GDPR, najmä vo väčších firmách, je potrebné aj spomínané definovanie spracovateľských operácií a právnych základov, uzatváranie zmlúv so všetkými sprostredkovateľmi (externé softvéry, aplikácie, dodávatelia služieb), určenie organizačných opatrení (riadenie prístupov) a technických opatrení (správa zariadení, sietí), pravidelné školenia a pod.
Pointou je, že k tomu, aby boli vypracované dokumenty k ochrane osobných údajov správne aplikované v praxi (od prijímania životopisov, riešenia osobných dotazníkov a pracovných zmlúv, „privacy policy“, poverení a poučení oprávnených osôb, nastavení interných postupov pre spracúvanie osobných údajov vo firme, až po bezpečnostné opatrenia) samotné HR oddelenie nestačí.
HR, mzdár, personalista a účtovník jednoducho k správnemu riešeniu GDPR agendy potrebujú odborné poradenstvo.
Pozrite si videoškolenie securion. o GDPR v HR prostredí, ktoré Vám pomôže riešiť otázky týkajúce sa prijímania zamestnancov, vedenia osobných spisov, spracúvania fotografií, ako aj ďalšie zaujímavé otázky. Článok pokračuje pod videom.
.
