8. decembra 2017

Sú vaše kontakty z Profesie v súlade s GDPR?

Top témou prvej polovice roku 2018 bude ochrana osobných údajov. Môže za to nariadenie Európskej únie GDPR (General Data Protection Regulation), ktoré vstúpi do platnosti v máji a nový zákon o spracovávaní osobných údajov, ktorý bol nedávno schválený v parlamente. Aké zmeny GDPR prinesie a aký vplyv má na osobné údaje uchádzačov, ktoré ste získali z Profesie?

Aké zmeny prináša GDPR?

Nové nariadenie prinesie na jednej strane jednoduchší prístup k informáciám, väčšiu transparentnosť a posilnenie práv dotknutých osôb, na strane druhej vyššiu administratívnu náročnosť pre prevádzkovateľov a sprostredkovateľov informačných systémov, v ktorých spracovávajú informácie o svojich používateľoch. Ktoré dôležité oblasti rieši nariadenie GDPR?

Zásady spracúvania osobných údajov (právny základ)

Nariadenie GDPR definuje niekoľko situácií, kedy ste oprávnení spracovávať osobné údaje. Ide najmä o nasledovné:

  • Dotknutá osoba vám dá súhlas
    Vyjadriť ho môže ústne, písomne alebo aj označením políčka na webstránke, dôležité je, aby bol vyjadrený slobodne, konkrétne a jednoznačne. Tzn. v prípade webstránky nesmie byť políčko vopred označené. Súhlas dáva na všetky spracovateľské činnosti (netreba si pýtať na každú zvlášť), avšak len na jeden konkrétny účel. Prevádzkovateľ musí vedieť dokázať, že mu dotknutá osoba súhlas udelila. Tento súhlas môže dotknutá osoba kedykoľvek odvolať.
  • Osobné údaje sú nevyhnutné na plnenie zmluvy
    Ak je zmluvnou stranou dotknutá osoba, môžete jej údaje spracovávať pri výkone opatrení pred uzatvorením zmluvy.
  • Ak vám tak ukladá zákon
    Osobné údaje môžete spracovávať ako prevádzkovateľ ak vám to vyplýva zo zákonnej povinnosti.
  • Máte oprávnený záujem spracovávať osobné údaje
    Pokiaľ ako prevádzkovateľ alebo tretia strana sledujete určité záujmy a zber osobných údajov je nevyhnutný, môžete za týmto účelom osobné údaje spracovávať. Nesmú byť však v rozpore so základnými právami a slobodami dotknutej osoby.
  • Ak je dotknutá osoba váš zamestnanec a vyžadujú to jej pracovné, služobné alebo funkčné povinnosti
    Môžete sprístupniť, poskytovať alebo zverejniť osobné údaje svojich zamestnancov v určitom rozsahu , ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie, poskytnutie alebo zverejnenie osobných údajov však nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.

Ako správne definovať účel spracúvania?

Účel musí z pohľadu zákona o ochrane osobných údajov spĺňať 2 kritériá. Musí:

  • mať vopred jednoznačne vymedzený alebo ustanovený zámer
  • sa viazať na určitú činnosť

Zároveň, podľa nového nariadenia musí byť jasne oddelený od iných skutočností, ktoré sa netýkajú spracovania osobných údajov. To znamená napríklad to, že dotknutá osoba nemôže jedným políčkom zároveň súhlasiť so spracovaním osobných údajov a všeobecnými obchodnými podmienkami alebo zásadami používania webovej stránky.

Čo všetko je osobný údaj?

Osobným údajom sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby – napr. na základe identifikátora. Za identifikátor sa považujú nielen meno alebo lokalizačné údaje, ale aj online identifikátor (napr. cookie), ktorý obsahuje informácie o fyzickej, fyziologickej, genetickej, mentálnej, ekonomickej, kultúrnej alebo sociálnej identite konkrétnej fyzickej osoby.

Nariadenie definuje nový výraz – pseudonymizáciu – teda spracovanie osobných údajov takým spôsobom, aby sa nedali priradiť identifikovanej alebo identifikovateľnej fyzickej osobe bez použitia dodatočných informácií. Ak sú tieto dodatočné informácie uchovávané oddelene a vzťahujú sa na ne technické a organizačné opatrenia, netýkajú sa nariadenia ochrany osobných údajov.

Aké práva má dotknutá osoba?

Podľa nového nariadenia budú mať dotknuté osoby jednoduchší a transparentnejší prístup k tomu, ako a kde sa spracovávajú osobné údaje o ich osobe. Dotknutá osoba bude mať predovšetkým nasledovné práva:

  • Právo na opravu – dotknutá osoba môže požiadať prevádzkovateľa o opravu nesprávnych alebo doplnenie chýbajúcich osobných údajov, prevádzkovateľ jej musí vyhovieť bez zbytočného odkladu
  • Právo na výmaz (zabudnutie) – za určitých podmienok je prevádzkovateľ povinný bez zbytočného odkladu vymazať osobné údaje (nesmie však existovať iný právny základ pre spracúvanie)
  • Právo na obmedzenie spracovania – za určitých podmienok sa s výnimkou uchovávania sa osobné údaje spracovávajú len so súhlasom dotknutej osoby, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov
  • Právo na prenosnosť údajov – dotknutá osoba môže získať osobné údaje, ktoré sa jej týkajú a poskytla ich prevádzkovateľovi v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi
  • Právo na namietanie a automatizované individuálne rozhodovanie – dotknutá osoba môže namietať proti spracovávaniu osobných údajov, vrátane profilovania. Prevádzkovateľ nemôže ďalej tieto údaje spracovávať pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie.

Ako pracuje s osobnými údajmi Profesia?

Ako právny základ na spracovávanie osobných údajov používateľov využívame v Profesii najmä súhlas dotknutých osôb (uchádzačov)oprávnený záujem. Údaje vašich zamestnancov (personalistov), ktoré sú uvedené na stránke Profesia.sk ako kontaktné osoby, sú spracovávané podľa iného právneho základu a nepotrebujete na ne ich súhlas.

Súhlasy zbierame na jednej strane preto, aby sme s našimi používateľmi mohli komunikovať ako firma Profesia (napríklad pri žiadosti o zasielanie ponúk e-mailom, odporúčaní pracovných ponúk, žiadosťami o referenciu a pod.). Okrem toho ako prevádzkovateľ zbierame súhlasy spolu s našimi klientmi – firmami, ktoré hľadajú zamestnancov. Tento súhlas získavame v nasledovných situáciách:

  • Pred odoslaním reakcie na ponuku cez formulár na stránke Profesia.sk – súhlas dáva používateľ konkrétnej spoločnosti, na ktorej ponuku reaguje a to na všetky údaje vyplnené v reakčnom formulári ako aj na priložené dokumenty.Upozornenie: V prípade, že firma používa v pracovnej ponuke reakčné tlačidlo, ktoré smeruje do formulárov mimo stránku Profesia.sk alebo do systémov na správu uchádzačov, musíte si súhlas uchádzača na spracovanie osobných údajov vyžiadať samostatne.
  • Pred vytvorením životopisu v databáze Profesia – súhlas je platný pre všetky registrované firmy na stránke Profesia.sk.

Tento súhlas nám dávajú používatelia za konkrétnym účelom a na určitý čas:

  • V databáze životopisov: Za účelom poskytnutia pomoci pri vyhľadávaní vhodného pracovného miesta na dobu 3 mesiacov od zverejnenia/aktualizácie životopisu v našej databáze. Staršie životopisy sa automaticky deaktivujú a klienti k nim nemajú prístup. Po uplynutí 3 ročnej lehoty v Profesii osobné údaje uchádzačov v databáze životopisov úplne anonymizujeme a ďalej ich používame len na štatistické účely (prognózy trhu, štatistiky pre klientov).
  • Pri reagovaní na pracovné ponuky: Za účelom nájdenia vhodného zamestnanca a za účelom budovania databázy uchádzačov o zamestnanie na obdobie 3 rokov
Disclaimer: Uvedené informácie majú výhradne informatívny charakter a nie je možné ich považovať za právne poradenstvo. Profesia, spol. s r.o. nepreberá žiadnu zodpovednosť za straty spôsobené konaním osôb využívajúcich informácie obsiahnuté v článku.