Čo sú osobné údaje: Informácie týkajúce sa žijúcej osoby, ktorá je alebo môže byť identifikovaná, vrátane údajov, ktoré môžu byť kombinované s inými informáciami, aby identifikovali osobu. Môže to byť veľmi široká definícia, závisí od konkrétnych okolností a môže zahŕňať údaje týkajúce sa identity, charakteristík alebo správania osoby alebo ovplyvňujúce spôsob, akým je táto osoba vnímaná.
Príklady informácií, ktoré umožňujú priamo alebo nepriamo identifikovať osobu, a preto sa považujú za osobné údaje:
- meno, priezvisko, telefónne číslo kandidáta, uchádzača alebo zamestnanca,
- identifikačné čísla, napr. registračné číslo, resp. osobné číslo zamestnanca,
- poskytnutá referencia,
- e-mailová adresa, lokalizačné údaje,
- história vyhľadávania konkrétnej osoby,
- fotografie, video a audio záznamy obsahujúce podobizne alebo hlasy osôb.
Príklady informácií, pomocou ktorých môže byť osoba identifikovaná priamo alebo nepriamo:
- ak vaša spoločnosť spracúva napr. meno alebo priezvisko kandidáta, táto informácia môže priamo identifikovať osobu,
- ak spracúvate osobné číslo zamestnanca alebo poskytnutú referenciu, tieto osobné údaje môžu pomôcť nepriamo identifikovať dotknutú osobu,
- akýkoľvek typ informácie spracúvaný vo vzťahu k osobe identifikovanej priamo alebo nepriamo (napr. preferencie, zvyklosti), budú rovnako považované za osobné údaje.
Spracúvanie: Spracúvanie osobných zahŕňa akýkoľvek typ aktivity (operáciu alebo súbor operácií) vykonávanú s osobnými údajmi, a to buď automatizovaným spôsobom alebo manuálne.
Príklady spracúvania osobných údajov:
- získavanie, zaznamenávanie, uchovávanie údajov,
- usporadúvanie, prepracúvanie údajov,
- vyhľadávanie, prehliadanie alebo využívanie údajov,
- poskytovanie údajov tretej strane (vrátane zverejňovania) a
- vymazanie a likvidácia údajov.
Napriek tomu, že GDPR sa vzťahuje najmä na automatizované spracúvanie údajov, aj operácie vykonávané manuálne podliehajú GDPR od okamihu, kedy sú listinné súbory zorganizované systematickým spôsobom, napr. zoradené podľa abecedy v kartotéke.
Prevádzkovateľ: Prevádzkovateľom je osoba alebo organizácia, ktorá určí účely a prostriedky spracúvania osobných údajov. „Účel“ spracúvania zahŕňa „prečo“ sú osobné údaje spracúvané a „prostriedky“ spracúvania zahŕňajú „ako“ sú osobné údaje spracúvané. V pracovnoprávnych vzťahoch sú prevádzkovateľmi zamestnávatelia. Zamestnávatelia alebo náborári predstavujú pre kandidátov a uchádzačov hlavných zástupcov spoločnosti a určujú účel spracúvania osobných údajov uchádzačov.
Sprostredkovateľ: Osoba alebo organizácia, ktorá spracúva osobné údaje v mene prevádzkovateľa, napr. poskytovateľ HR softvéru, Applicant Tracking Systems (ATS), poskytovateľ účtovných a mzdových služieb a pod. Váš ATS je sprostredkovateľom, pretože spracúva údaje uchádzačov v mene vašej spoločnosti a podľa jej pokynov. Sprostredkovatelia často využívajú služby subdodávateľov (napr. cloudové platformy).
Dotknutá osoba: Dotknutá osoba je osoba, ku ktorej sa vzťahujú osobné údaje, vo vašom prípade ide o kandidátov alebo uchádzačov. Kandidáti sú dotknuté osoby pretože môžu byť identifikovaní prostredníctvom údajov, ktoré poskytujú spoločnostiam. Napr. ich životopisy môžu zahŕňať mená, adresy alebo telefónne čísla. Členovia náborových tímov sú tiež dotknutými osobami, avšak ich vlastné údaje nebudú spracúvané v tom istom rozsahu ako dáta uchádzačov.
GDPR kladie bremeno zabezpečenia súladu na vašu spoločnosť, osobitne na personálne a náborové funkcie, ktorých činnosť je priamo založená na získavaní údajov kandidátov. Ako by mali zamestnávatelia postupovať, aby zaistili súlad s GDPR pri vyhľadávaní kandidátov?
Vzťahuje sa GDPR na našu spoločnosť? GDPR sa môže vzťahovať na všetky spoločnosti, ak:
- je konkrétna spoločnosť usadená v Európskej únii alebo v Európskom hospodárskom priestore (EHP = krajiny EÚ + Island, Lichtenštajnsko a Nórsko); alebo
- spoločnosť nie je usadená v EHP, ale jej produkty alebo služby sú ponúkané jednotlivcom, ktorí sú v EHP, alebo spoločnosť monitoruje správanie jednotlivcov, ktorí sú v EHP.
GDPR sa rovnakým spôsobom vzťahuje na akýchkoľvek subdodávateľov, ktorí môžu spracúvať osobné údaje v mene týchto spoločností.
V praxi sa na vás GDPR vzťahuje, ak je splnená aspoň jedna z nasledovných podmienok:
- ste spoločnosť usadená v krajine EHP,
- ste spoločnosť, ktorá nie je usadená v krajine EHP, predávate tovary alebo ponúkate služby, hoci aj zdarma, so zacielením na jednotlivcov v krajine EHP,
- ste IT spoločnosťou usadenou mimo krajín EHP, ktorá ako subdodávateľ na základe zmluvy so spoločnosťou usadenou v EHP, riadi ich IT databázy, napr. databázu zákazníkov,
- ste poskytovateľom služieb, usadeným v EHP a spracúvate osobné údaje v mene inej spoločnosti.
V prípade nesplnenia povinností podľa nariadenia riskujete pokutu Výška pokuty záleží hlavne na charaktere a závažnosti incidentu. Pokuta však môže dosiahnuť až 4 % z celkového obratu spoločnosti alebo 20 miliónov eur. Podľa toho, ktorá suma je vyššia.
