GDPR - nové nařízení EU o ochraně osobních údajů

Vydáno: 20 minut čtení

Již za necelý rok bude účinné obecné nařízení EU č. 2016/679 o ochraně osobních údajů (GDPR - General Data Protection Regulation), které zavede pravidla přímo použitelná na celém území Evropské unie.1) Jaké novinky nařízení přinese, jak se změní povinnosti správců a zpracovatelů údajů a jaké sankce jim budou hrozit v případě porušení nařízení?

Sjednocená pravidla v rámci EU

Jedním z hlavních cílů GDPR je sjednotit právní regulace ochrany osobních údajů a tím usnadnit volný pohyb osobních údajů v rámci jednotného digitálního trhu EU. Za účelem dosažení tohoto cíle Evropská unie zvolila právě formu nařízení, které má na rozdíl od směrnice přímou účinnost ve všech členských státech EU. Dosavadní směrnice EU2) a vnitrostátní předpisy upravující ochranu osobních údajů budou zrušeny nebo zásadně novelizovány a členským státům EU zůstane pouze velmi omezený prostor pro vlastní národní úpravu této oblasti. V České republice se připravuje novela současného zákona č. 101/2000 Sb., o ochraně osobních údajů, která má být předložena vládě na konci srpna 2017. V návaznosti na přijetí GDPR se nyní rovněž projednává návrh nařízení o soukromí a elektronických komunikacích, které pravděpodobně nahradí stávající směrnici EU o soukromí a elektronických komunikacích3) a český zákon o elektronických komunikacích.4)

GDPR se netýká pouze online businessu a velkých společností, jak se někdy mylně uvádí, ale dopadne na všechny společnosti a veřejné instituce bez ohledu na segment podnikání nebo předmět činnosti a bez ohledu na jejich velikost a počet zaměstnanců. Legální definice osobního údaje je již nyní poměrně široká a nařízení EU ji ještě rozšíří. Podle GDPR se za osobní údaj považuje jakýkoli údaj, který umožňuje identifikovat konkrétní fyzickou osobu, včetně například adresy bydliště, telefonního čísla, e-mailové adresy, IP adresy, lokačních údajů, podobizny na fotografii nebo kamerovém záznamu. Každá společnost či veřejná instituce tedy nepochybně s osobními údaji pracuje (ať už se jedná o údaje zaměstnanců, obchodních partnerů, nebo zákazníků), proto by se měly zajímat o to, jaké povinnosti pro ně z GDPR vyplývají.

Nařízení se bude vztahovat nejen na správce a zpracovatele údajů usazené na území EU, ale částečně také na společnosti sídlící mimo EU. Místní působnost nařízení je totiž rozšířena na zpracování údajů, které provádí správci a zpracovatelé se sídlem v třetích zemích, pokud zpracování údajů souvisí s nabídkou zboží nebo služeb osobám s bydlištěm v EU nebo s monitorováním jejich chování v rámci EU. Při kontrole v třetích zemích však EU bude nepochybně narážet na limity svých pravomocí, neboť ty jsou ve vztahu k třetím zemím velmi omezené.

Nové povinnosti pro správce a zpracovatele údajů

GDPR má za cíl posílit práva subjektů údajů (tzn. osob, jejichž údaje jsou zpracovávány), což se projevuje v zavedení některých nových povinností pro správce a zpracovatele údajů. Nelze říci, že by se jednalo přímo o revoluci v oblasti ochrany osobních údajů, jak se často uvádí, neboť většina povinností stanovených novým nařízením EU již existuje i podle současné právní úpravy v českém zákoně o ochraně osobních údajů, resp. směrnici EU o ochraně osobních údajů. Nicméně GDPR tyto povinnosti upravuje podrobněji nebo je rozšiřuje a zároveň stanoví některé zcela nové povinnosti.

Zcela novou povinností je například povinné vedení záznamů o všech operacích s osobními údaji dle článku 30 GDPR, které musí správce i zpracovatel údajů na požádání poskytnout dozorovému úřadu. Tyto záznamy mohou být vedeny v elektronické formě a musí obsahovat náležitosti stanovené GDPR (zejm. jméno a kontaktní údaje správce, účely zpracování, popis kategorií subjektů údajů a kategorií osobních údajů, kategorie příjemců údajů, lhůty pro výmaz údajů, obecný popis technických a organizačních opatření). Naopak od účinnosti nařízení již nebude nutné předem oznámit (registrovat) zpracování údajů u Úřadu pro ochranu osobních údajů.

Stejně jako nyní bude podle GDPR možné zpracovávat údaje pouze na základě oprávněných titulů, tzn. pokud subjekt údajů udělil se zpracováním souhlas nebo pokud je zpracování údajů nezbytné pro splnění smlouvy nebo právní povinnosti (např. pro účely mzdové evidence), pro ochranu životně důležitých zájmů subjektů údajů (například zpracování údajů o pacientovi nemocnicí, není-li schopen udělit souhlas), pro splnění veřejného zájmu nebo pro účely oprávněných zájmů správce údajů (například provozování kamerového systému se záznamem za účelem ochrany majetku nebo zpracování údajů pro účely přímého marketingu).

Souhlas se zpracováním osobních údajů musí být podle nařízení EU jednoznačný (tzn. musí se jednat o aktivní jednání), svobodný (tzn. nepodmíněný), informativní (tzn. subjekt údajů musí být předem informován o zpracování údajů) a konkrétní (tzn. pouze pro konkrétní účely, a pokud mají být údaje zpracovány pro jiný další účel, je nutné získat nový souhlas). U citlivých údajů (například údaje o zdravotním stavu, rasovém či etnickém původu, biometrické údaje) bude nadále požadován výslovný souhlas. Je však nutné upozornit na to, že GDPR klade přísnější požadavky na souhlas se zpracováním údajů oproti stávající právní úpravě. Stanoví totiž, že pro jednotlivé operace zpracování osobních údajů musí být dán samostatný souhlas. To znamená, že například při nákupu v e-shopu nepostačí pro účely získání souhlasu se zasíláním obchodních sdělení na další jiné produkty, aby zákazník zaškrtnul souhlas s obchodními podmínkami, ale bude muset odškrtnout samostatný souhlas (v samostatném okně) se zasíláním obchodních sdělení na další jiné produkty. Nicméně v praxi toto český úřad již vyžaduje. GDPR dále zdůrazňuje, že poskytnutí zboží či služby nelze podmínit udělením souhlasu. S tím souvisí pravidlo, že souhlas by také neměl být vyžadován nadbytečně, pokud ke zpracování údajů existuje jiný právní titul (například zpracování je nezbytné pro účely splnění smlouvy).

Speciální nový požadavek stanoví GDPR pro souhlas se zpracováním údajů dítěte mladšího 16 let v souvislosti s nabídkou služeb informační společnosti (např. e-mailová schránka, on-line nákupy). Nařízení totiž vyžaduje, aby byl souhlas dítěte vyjádřen nebo schválen osobami s rodičovskou zodpovědností, resp. aby správce údajů vyvinul přiměřené úsilí za účelem získání potvrzení souhlasu od rodičů. Tento požadavek je prakticky téměř nerealizovatelný, nicméně správci údajů by měli přijmout přiměřená opatření (například alespoň požadovat potvrzení věku dítěte a případně vyplnění e-mailové adresy rodičů, na kterou bude odeslána informace o zpracování údajů spolu se žádostí o potvrzení souhlasu).

Nařízení také apeluje na větší transparentnost a informovanost subjektů údajů o zpracování osobních údajů. Správci údajů budou povinni poskytnout subjektu údajů více informací o zpracování údajů, a proto by každá společnost měla revidovat svá stávající informační sdělení vůči klientům. Subjekt údajů musí být podle GDPR informován o totožnosti správce údajů, předmětu, době, povaze a účelu zpracování a o svých právech. Může také požádat o poskytnutí kopie či výmaz zpracovávaných údajů a nově v některých případech také o přenos údajů jinému správci - např. při přechodu od jedné banky k druhé nebo od jednoho mobilního operátora k druhému.

GDPR dále vyžaduje (obdobně jako stávající právní úprava), aby správci a zpracovatelé údajů přijali vhodná technická a organizační opatření zajišťující úroveň zabezpečení odpovídající pravděpodobným rizikům zpracování osobních údajů. Těmito opatřeními mohou být zejména pseudonymizace nebo šifrování údajů, technické zabezpečení údajů před neoprávněným přístupem, umožnění přístupu k údajům pouze vybraným pracovníkům atd., a to včetně pravidelného testování takových opatření.

Za účelem zajištění vyššího standardu zabezpečení osobních údajů zavádí nařízení EU dvě zcela nové povinnosti správce údajů - povinnost ohlásit případ porušení zabezpečení údajů dozorovému úřadu a na to navazující povinnost oznámit případ porušení zabezpečení údajů subjektu údajů. Dozorovému úřadu musí být nahlášeno porušení zabezpečení údajů nejpozději do 72 hodin od okamžiku, kdy se o něm správce dozvěděl. Podle GDPR se musí hlásit jakékoliv porušení, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Méně závažná porušení bez dopadu na subjekty údajů se tedy hlásit úřadu nemusí. Ohlašovací povinnost se přesto zdá poměrně široká, a proto by správci údajů měli v rámci organizačních opatření určit osobu, která bude za ohlašování případů porušení zabezpečení údajů odpovědná. V ohlášení vůči úřadu musí být uveden alespoň popis povahy porušení včetně kategorií a přibližného počtu dotčených subjektů údajů a osobních údajů; totožnost a kontaktní údaje osoby, která může poskytnout bližší informace; popis pravděpodobných důsledků porušení a popis opatření k nápravě a zmírnění nežádoucích účinků.

Kromě ohlašovací povinnosti má správce údajů také povinnost oznámit případ porušení dotčeným subjektům údajů. Toto oznámení musí správce učinit bez zbytečného odkladu poté, co se o porušení zabezpečení údajů dozvěděl, pokud takové porušení bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Povinnost oznamovací vůči subjektům údajů se tedy vztahuje na menší rozsah případů než povinnost ohlašovací vůči dozorovému úřadu. Povinný obsah oznámení vůči subjektům údajů je však v podstatě stejný jako povinné náležitosti ohlášení vůči úřadu (viz výše), pouze není nutné uvádět popis povahy daného případu porušení zabezpečení údajů.

Dalšími novinkami, které GDPR přinese, jsou povinnost jmenovat tzv. pověřence pro ochranu osobních údajů dohlížejícího na zákonnost zpracování údajů a povinnost zpracovat tzv. impact assessment neboli posouzení vlivu na ochranu osobních údajů. Tyto dvě povinnosti se nevztahují na všechny správce a zpracovatele údajů, ale dopadají pouze na rizikovější operace s daty. Nařízení vymezuje okruh povinných správců a zpracovatelů velmi vágně, nicméně Evropská unie (pracovní skupina WP29) již vydala výkladové pokyny, které mají sloužit správcům (resp. zpracovatelům) údajů jako manuál vysvětlující, zda mají povinnost jmenovat správce a kdo jím může být a zda a jak mají provést impact assessment.5)

Posouzení vlivu na ochranu osobních údajů („Impact Assessment“)

Nové nařízení EU stanoví, že správce údajů musí provést posouzení vlivu na ochranu osobních údajů před zahájením zpracování, pokud je pravděpodobné, že určitý druh zpracování údajů (zejm. při využití nových technologií) bude mít za následek vysoké riziko pro práva a svobody fyzických osob. GDPR vyžaduje, aby posouzení bylo zpracováno pro každý druh operací s osobními údaji zvlášť, avšak u podobných zpracování s obdobnými riziky lze provést pouze jednu souhrnnou analýzu vlivu na ochranu osobních údajů - například pokud více správců hodlá provozovat jednu společnou aplikaci pro určitý podnikatelský segment nebo pokud jeden správce plánuje nainstalovat kamerový systém na více různých místech.

GDPR vymezuje okruh správců, na které se vztahuje povinnost provést impact assessment, pouze vágně a uvádí tyto obecné příklady, kdy musí být posouzení zpracováno:

  1. systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
  2. rozsáhlé zpracování citlivých údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů; nebo
  3. rozsáhlé systematické monitorování veřejně přístupných prostorů. Konkrétnější příklady a kritéria pro vyhodnocení, zda určitý druh zpracování osobních údajů vyžaduje impact assessment, vymezují výkladové pokyny skupiny WP29. Patří mezi ně zejména:
  4. hodnocení osobních aspektů subjektů údajů (především ekonomické situace a chování, zdravotního stavu, osobních preferencí, umístění a pohybu) - typicky například tzv. scoring klientů prováděný bankami, kterým zjišťují platební schopnost před poskytnutím úvěru;
  5. systematické monitorování - například systematické sledování zaměstnanců na pracovišti;
  6. operace s citlivými údaji a „rizikovými“ údaji, které mohou být zneužity - například zpracování údajů o zdravotním stavu pacienta nemocnicemi nebo zpracování údajů o bankovním účtu či geolokačních údajů;
  7. zpracování údajů ve velkém rozsahu - například zpracování údajů klientů pojišťoven či bank;
  8. zpracování údajů týkajících se „zranitelných“ osob - například dětí, pacientů či zaměstnanců;
  9. zpracování údajů, při kterém se použije nová technologie - například kontrola docházky zaměstnanců na základě zařízení snímajícího otisk prstu;
  10. předání osobních údajů mimo EU.

Pokud některé zpracování osobních údajů splňuje alespoň dvě výše uvedená kritéria, měl by správce údajů provést impact assessment. Povinnost zpracovat posouzení vlivu na ochranu osobních údajů se tedy bude nepochybně vztahovat na nemocnice, pojišťovny a banky, neboť zpracovávají údaje ve velkém rozsahu, citlivé či rizikové údaje a nemocnice navíc údaje „zranitelných“ osob (pacientů). Impact assessment se podle výkladového stanoviska skupiny WP29 vyžaduje rovněž v případě, kdy zaměstnavatel systematicky monitoruje své zaměstnance na pracovišti (včetně kontroly e-mailu a užívání internetu), protože v takovém případě zaměstnavatel provádí systematické monitorování „zranitelných“ osob. Nicméně toto pravidlo splnění dvou kritérií nelze považovat za obecně platné, jelikož impact assessment může být požadován i v případě, že je naplněno pouze jedno výše uvedené kritérium, a naopak nebude potřeba v situaci, kdy operace s údaji splňují více takových kritérií. Pokud má správce pochybnosti o nutnosti provést analýzu vlivu na ochranu osobních údajů, skupina WP 29 doporučuje, aby ji provedl. Jestliže se správce údajů rozhodne analýzu nezpracovat, je v každém případě povinen pečlivě zdokumentovat, proč tak učinil, aby byl schopen své vyhodnocení vysvětlit při případné kontrole dozorového úřadu. Jestliže správce na základě posouzení vlivu identifikuje vysoké riziko v případě nepřijetí opatření ke zmírnění tohoto rizika, musí navíc zpracování údajů předem konzultovat s dozorovým orgánem.

Každé posouzení vlivu na ochranu osobních údajů závisí na individuálních podmínkách správce údajů, nicméně vždy by mělo zahrnovat popis plánovaného zpracování údajů a účelu zpracování, analýzu nezbytnosti a přiměřenosti zpracování údajů s ohledem na jeho účel, posouzení rizik a návrh opatření k řešení těchto rizik. Správce údajů může pověřit zpracováním posouzení vlivu i externí osobu, avšak odpovědnost za provedení posouzení vlivu ponese vždy správce. Impact assessment musí správce vykonat před zahájením operací s daty. Jestliže má příslušný správce údajů pověřence pro ochranu osobních údajů, tak jej musí požádat o vyhotovení posudku, který je povinen v rámci posouzení vlivu zohlednit. Kromě pověřence by se měli na analýze podílet také zpracovatelé, kteří byli správcem pověřeni k posuzovanému zpracování údajů. Výkladové pokyny skupiny WP29 dále upozorňují na to, že impact assessment je kontinuální proces a musí být aktualizován, pokud dojde ke změně v původním zpracování údajů (např. pro zpracování údajů se použijí nové technické prostředky). I přestože nenastane žádná relevantní změna ve zpracování údajů, správce údajů by měl provádět impact assessment pro daný druh zpracování každé tři roky.

Pověřenec pro ochranu osobních údajů

Unijní právo doposud obdobnou funkci neupravovalo, nicméně v některých členských zemích EU podobný institut již existuje. Například v Německu byla zavedena povinnost jmenovat osobu, která dohlíží na ochranu osobních údajů, již v 70. letech.

Podle GDPR bude mít správce nebo zpracovatel údajů povinnost jmenovat pověřence pro ochranu osobních údajů v těchto případech:

  1. zpracování provádí orgán veřejné moci či veřejný subjekt (s výjimkou soudů při výkonu soudních pravomocí);
  2. hlavní činnosti správce nebo zpracovatele spočívají ve zpracování údajů, které vyžaduje rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
  3. hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů (citlivých údajů) a údajů týkajících se rozsudků v trestních věcech a trestných činů.

Okruh zpracování údajů, u kterého vzniká správci nebo zpracovateli povinnost jmenovat pověřence, se částečně překrývá s okruhem zpracování údajů, pro které se vyžaduje posouzení vlivu na ochranu osobních údajů. Jmenovat pověřence tedy musí typicky veřejné orgány, banky, pojišťovny, nemocnice nebo společnosti podnikající v oblasti cílené reklamy na internetu. Zároveň nařízení EU ponechává prostor pro vnitrostátní úpravu členských států, aby ještě rozšířila okruh správců či zpracovatelů povinných jmenovat pověřence. V případě pochybností o tom, zda musí být jmenován pověřenec, skupina WP29 opět doporučuje pověřence jmenovat. Pověřenec může být jmenován i dobrovolně, a tento krok bude určitě brán v úvahu dozorovými orgány při posuzování odpovědnosti a stanovení výše sankce za případné porušení nařízení.

Hlavními úkoly pověřence pro ochranu osobních údajů jsou kromě dohlížení na soulad zpracování údajů s nařízením, poradenství a poskytování informací správcům a zpracovatelům o jejich povinnostech, školení zaměstnanců, konzultace a zpracování posudku při procesu impact assessmentu a spolupráce s dozorovým úřadem. Pověřenec může být zaměstnanec správce údajů, ale může se jednat i o externího odborníka, který bude vykonávat tuto funkci na základě smlouvy o poskytování služeb. Vždy však musí být nezávislý a správce či zpracovatel mu nemohou udělovat pokyny související s plněním jeho úkolů ani jej propustit nebo jinak sankcionovat v souvislosti s plněním těchto úkolů. GDPR připouští, aby více podniků nebo úřadů mělo jednoho společného pověřence, pokud to umožňuje jejich struktura a velikost. Konkrétní kvalifikační požadavky na osobu pověřence nejsou v nařízení stanoveny, nicméně musí být jmenován na základě svých profesních kvalit, zejména svých odborných znalostí práva a praxe v oblasti ochrany údajů a svých schopností plnit úkoly pověřence.

Předávání údajů v rámci a mimo EU

Jak podle současné právní úpravy, tak podle nařízení EU má správce údajů povinnost uzavřít se zpracovatelem, kterého pověří zpracováním údajů, smlouvu o zpracování osobních údajů. Na rozdíl od současného českého zákona však GDPR výslovně připouští, aby tato smlouva byla uzavřena v elektronické formě, a částečně mění povinné náležitosti této smlouvy, proto by správci údajů měli revidovat stávající smluvní dokumentaci se zpracovateli.

V rámci EU bude od účinnosti GDPR možný takřka volný pohyb osobních údajů. Avšak vzhledem k tomu, že GDPR umožňuje členským státům v některých případech přijmout vlastní vnitrostátní úpravu, lze doporučit, aby si správci údajů předem ověřili podmínky pro zpracování údajů v dané zemi EU.

Pro transfer osobních údajů mimo EU upravuje GDPR v podstatě stejné mechanismy jako doposud. Do třetích zemí (např. Švýcarsko, Kanada), pro které Evropská komise vydala tzv. rozhodnutí o přiměřenosti, že tato země splňuje požadovanou úroveň ochrany osobních údajů, lze údaje předávat zásadně bez dalšího (pouze na základě smlouvy o zpracování osobních údajů). Pro USA v současné době platí zvláštní režim Privacy Shield, na základě kterého se mohou osobní údaje volně předávat americkým společnostem, jež se zavázaly k dodržování standardu ochrany osobních údajů odpovídajícímu evropským pravidlům. Seznam těchto společností je zveřejněn na webu Ministerstva průmyslu a obchodu ČR.

Pokud neexistuje pro danou třetí zemi rozhodnutí Komise o přiměřenosti, bez zvláštního povolení lze předávat údaje mimo EU na základě standardních smluvních doložek přijatých rozhodnutím Komise, nebo závazných podnikových pravidel (tzv. binding corporate rules) schválených příslušným orgánem dozoru, která lze využít pro předávání dat do třetích zemí v rámci koncernu.

Sankce

Nařízení klade velký důraz na odpovědnost správce údajů. To se projevuje i v maximální výši pokut za porušení ochrany osobních údajů. Podle nařízení může dozorový úřad uložit pokutu až do výše 10 mil. EUR nebo 2 % z celkového ročního světového obratu podniku za méně závažná porušení a až do 20 mil. EUR nebo 4 % z obratu podniku za závažnější porušení. Podle stávajícího zákona může český úřad uložit pokutu pouze do výše 10 mil. Kč. Avšak i český úřad v poslední době přitvrzuje a ukládá rekordní pokuty - naposledy v tomto roce 4,25 mil. Kč jedné marketingové společnosti za spamování obchodních sdělení a minulý rok 3,6 mil. Kč přednímu českému mobilnímu operátorovi za krádež databáze klientů jedním z jeho zaměstnanců. Přestože se ve druhém případě jednalo o exces jednoho zaměstnance, dotyčná společnost dostala pokutu za nesplnění náležitých technických a organizačních opatření, které by tomu zabránily. Vedle správního deliktu připadá v úvahu v krajním případě také trestní odpovědnost za trestný čin neoprávněného nakládání s osobními údaji, a to jak u fyzických, tak u právnických osob. V neposlední řadě musí odpovědný správce a zpracovatel údajů nahradit poškozenému subjektu údajů případnou náhradu škody.

Související dokumenty

Související pracovní situace

Trest vyhoštění cizince
Určení daňové rezidence
Zrušení povolení k pobytu cizince
Povolení k zaměstnání, zaměstnanecká karta, modrá karta
Určení daňové rezidence dle zákona o daních z příjmů – rezident
Určení daňové rezidence dle zákona o daních z příjmů – nerezident
Dovolená za kalendářní rok
Poměrná část dovolené
Dovolená za odpracované dny
Výměra dovolené
Výkon práce pro účely dovolené
Dovolená při nerovnoměrném rozvržení pracovní doby
Dovolená při změně rozvržení pracovní doby
Čerpání dovolené
Rozvrh čerpání dovolené
Určení doby čerpání dovolené zaměstnavatelem
Dovolená versus překážky v práci
Převádění nevyčerpané dovolené
Dovolená po mateřské dovolené
Určení doby čerpání dovolené zaměstnancem

Související články

Osobní údaje zpracovávané zaměstnavatelem a GDPR
Osobní údaje v elektronické podobě a GDPR
Povinnosti zaměstnavatele při ochraně osobních údajů zaměstnanců dle GDPR
Ochrana osobních údajů zaměstnanců od A (přes GDPR) do Z
Pověřenec pro ochranu osobních údajů
Sledování zaměstnanců a právo na ochranu soukromí
Zpracování fotografií zaměstnanců v souladu s GDPR
Daňové aktuality
Soulad s GDPR při zajišťování BOZP a PO
Pre-employment background screening
Nařízené testování zaměstnanců z pohledu GDPR
Přeshraniční předávání osobních údajů zaměstnanců
Compliance program jako nezbytný pomocník společnosti
Jak na zajištění spravedlivé základní mzdové diferenciace
Ochrana oznamovatelů: stav po uplynutí transpoziční lhůty
Praktické otázky (ne)rovného odměňování
Zaměstnanecké benefity a jak na ně - sestavení funkčního portfolia
Doručování v režimu zákoníku práce - opravdu se nemůže stát chyba?
Dostali jste oznámení o nové covidové odborové organizaci?

Související otázky a odpovědi

Archivace HR dokladů
Kamerový systém na pracovišti a GDPR
Uchování kopií dokladů
Skartace a archivace z hlediska GDPR
Poskytování osobních údajů zaměstnanců zákazníkům
Uchovávání dokumentů - archivační lhůty
GDPR
Archivace docházky
Součinnost zaměstnavatele s insolvenčním správcem
Kamery na pracovišti
Potvrzení o zdanitelných příjmech - elektronicky
Rodné listy dětí
Mzdové dokumenty - kopie nebo posílání emailem
Archivace pracovních smluv
Pracovní smlouvy uzavřené na různou dobu u jednoho zaměstnavatele
Zaměstnanecké benefity od 1. 1. 2024
Jmenování na dobu určitou
Zaměstnanecké výhody – stravování
Krácení stravenkového paušálu při pracovní cestě
Pojištění odpovědnosti zaměstnance za škody způsobené zaměstnavateli

Související předpisy

101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů
127/2005 Sb. o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích)