DOPORUČENÍ

společnosti GACC spol. s r. o. 

k zajištění ochrany osobních údajů

 

při využívání pro docházkových a přístupových systémů a softwaru pro docházkový systém Job Abacus Pro a Mobilní klient Job Abacus Pro  s přihlédnutím k novému právnímu rámci ochrany osobních údajů v evropském prostoru v souvislosti s přijetím Obecného nařízení o ochraně osobních údajů

Úvod

S ohledem na nový rámec právní ochrany osobních údajů v evropském prostoru za účelem zvýšení ochrany práv občanů EU a ochrany před neoprávněným nakládáním s jejich osobními údaji a daty, které přináší nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. 4. 2016, obecně známé pod zaužívanou zkratkou GDPR (dále také jen „GDPR“), jež vstoupí v účinnost 25. května 2018, a  v České republice nahradí současnou právní úpravu ochrany osobních údajů, přijala společnost GACC spol. s r. o., zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka č. 405, se sídlem Tišnov, Na Mlékárně č.p. 379, PSČ 66601, IČO: 13691465 (dále také jen „společnost GACC“) následující doporučení pro subjekty (nejčastěji vystupující v pozici zaměstnavatele) provozující docházkové a přístupové systémy a software pro docházkový systém Job Abacus Pro a Mobilní klient Job Abacus Pro.

Vymezení pojmů dle GDPR

 

Osobní údaje jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále také jen „subjekt údajů“), např. jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo jiné zvláštní prvky fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity fyzické osoby.

Biometrické údaje jsou osobní údaje týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, např. zobrazení obličeje nebo daktyloskopické údaje.

Zvláštní kategorie osobních údajů jsou údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, o zdravotním stavu, sexuálním životě a sexuální orientaci fyzické osoby, genetické a biometrické údaje, avšak pouze v případě, že jsou zpracovávány za účelem jedinečné identifikace fyzické osoby (tedy docházkové systémy založené na biometrice, tedy i ty, jež otisk prstu převádějí do haše* nebo jiné formy (zde došlo ke změně výkladové praxe Úřadu na ochranu osobních údajů, který dříve nepovažoval vstupní a docházkové systémy pracující s haší za citlivé údaje).

Zpracováním se rozumí jakákoliv operace nebo soubor operací, která je prováděna s osobními údaji, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Typickým zpracováním jsou např. personální agenda, zákaznické systémy, evidence obyvatel, různé veřejné rejstříky apod.

Správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura či jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

Obecně ke zpracování osobních údajů dle GDPR

Jedním z nejdůležitějších podmínek zpracování osobních údajů je právní důvod zpracování, jen tehdy se jedná o zpracování zákonné.  Právní důvody zpracování znamenají oprávnění správce osobní údaje zpracovávat.

Pro zajištění souladu zpracování by měl každý správce provést revizi právních důvodů zpracování osobních údajů. Tato revize by měla být výstupem tzv. mapování zpracování, jež by měl každý správce provést, aby získal potřebné informace o zpracování, které provádí, kdy tyto údaje následně využije v procesu nastavení souladu zpracování s podmínkami obsaženými v GDPR.

GDPR je založeno na principu odpovědnosti správce za zpracování osobních údajů a přístupu založeném na riziku. Princip odpovědnosti správce výslovně stanovuje odpovědnost správce za dodržení povinností vyplývajících z GDPR a dále stanovuje povinnost správce být schopen soulad doložit. Přístup založený na riziku diverzifikuje správce podle rizikovosti zpracování osobních údajů –  čím vyšší riziko zpracování pro subjekty údajů, tím více povinností pro správce.

GDPR je postaveno na zásadách zpracování, kterými jsou: zákonnost, korektnost, transparentnost, omezení účelu, minimalizace údajů, přesnost, omezení uložení, integrita a důvěrnost. Nicméně, vzhledem k tomu, že zásady vyjádřené v GDPR jsou obsaženy na různých místech stávajícího zákona o ochraně osobních údajů, pro správce, kteří řádně plní své povinnosti dle zákona o ochraně osobních údajů, by nemělo GDPR, pokud jde o uvedení souladu zpracování se zásadami zpracování dle GDPR, závažnější problém.

 Popis produktů společnosti GACC

 

Za produkty se pro účely tohoto stanoviska považují docházkové a přístupové systémy a software pro docházkový systém Job Abacus Pro a Mobilní klient Job Abacus Pro, vytvořené společností GACC.

Docházkové systémy

Docházkové systémy společnosti GACC evidují příchody, přerušení práce a odchody zaměstnanců, poskytují přesné podklady pro efektivní řízení firmy, napomáhají dodržování zákonné povinnosti přesné evidence docházky zaměstnanců. Zaměstnanec se při příchodu identifikuje u docházkové čtečky, čímž se vytvoří záznam v systému docházky. Záznam je stažen docházkovým programem Job Abacus Pro a ten docházku zaměstnanců vyhodnotí a zobrazí v sestavách podle potřeby. Docházkové terminály fungují v režimu off-line, pracují i bez připojení k počítači a data ukládají do vnitřní paměti. Data nejsou zapomenuta ani po výpadku napájecího napětí. Délka uchování dat po výpadku napětí je 10 let.

Přístupové systémy

Hlavní funkcí přístupového systému je zamezit přístupu neoprávněných osob do budov či jejich částí a umožnit přístup oprávněných osob do vymezených prostor ve vymezeném časovém úseku.

Stravovací systémy

Stravovací systémy slouží k objednávání stravy, výdeji stravy a vedení účtů strávníků v podnikovém stravování.

 

Job Abacus Pro

Jedná se o software , který zpracovává v prostředí Windows data z docházkových a přístupových terminálů a stravovacích PC do přehledu o docházce a přítomnosti zaměstnanců, případně o objednávkách stravy a účtech strávníků.

Rozšířením programu Job Abacus Pro je aplikace Aktivní webové rozhraní. Jedná se o virtuální terminál a nástroj na prohlížení docházky. Aktivní webové rozhraní vytváří virtuální terminál, přes který lze zaznamenávat docházku (stejně jako v případě pevného terminálu). Aplikace Aktivní webové rozhraní umožňuje prohlížet vlastní docházku a k jeho provozu není potřeba hardware. Slouží především pro home-office.

Program obsahuje nástroje k zajištění ochrany osobních údajů zaměstnanců, resp. subjektů údajů, z jejichž využití společnost GACC doporučuje především následující:

  1. program umožňuje nastavit každému, kdo s ním bude pracovat, heslo a oprávnění, jaké operace smí s programem provádět (např. prohlížet, upravovat záznamy docházky a osobních údajů zaměstnanců apod.).
  1. Po přihlášení uživatele do programu lze sledovat, který modul programu tento uživatel otevřel, a od kdy do kdy s ním pracoval.
  1. Pokud uživatel změní některý záznam o docházce, v programu je uchován o této operaci záznam a rovněž informace o původní hodnotě a kdo záznam upravil.
  1. Seznam zaměstnanců nelze z programu nahrát na přenosné médium.

Mobilní klient Job Abacus Pro

Mobilní klient Job Abacus Pro je mobilní verze docházkového systému, určená pro „chytré“ mobilní telefony, pomocí které je možné prostřednictvím mobilního telefonu pořizovat zejména docházková data včetně fotografie a GPS pozice, prohlížet evidenci docházky a prohlížet jídelní lístky a objednávat jídlo dle jídelního lístku. Mobilní aplikace je rozšířením docházkového programu Job Abacus Pro, sama o sobě žádná data, vyjma přihlašovacího jména (loginu) a hesla uživatele, neuchovává, data jsou uchovávána na serveru, se kterým je tato aplikace propojena.

Použití shora uvedených docházkových, přístupových a stravovacích systémů může být založeno na kontaktní, bezkontaktní nebo na biometrické (otisku prstu) technologii identifikace zaměstnance nebo strávníka . Pokud jde o otisky prstů, tyto jsou ukládány v řadiči biometrického snímače, který z těchto údajů vytváří biometrickou šablonu, jenž je redukcí úplného biometrického obrazu. Šablony nejsou zpětně čitelné ani rekonstruovatelné.

Ochrana osobních údajů při využití produktů společnosti GACC

Při použití produktů společnosti GACC dochází ke zpracování osobních údajů, obzvláště jména a příjmení zaměstnance, fotografií zaměstnance, informací o poloze zaměstnance a názvu zaměstnavatele.

Jednou z nejdůležitějších podmínek zpracování osobních údajů je právní důvod zpracování, jen tehdy se jedná o zpracování zákonné.  Právní důvody zpracování znamenají oprávnění správce osobní údaje zpracovávat. Pokud jde o právní důvod zpracování osobních údajů zaměstnanců, nejvhodnějším právním titulem pro zpracování osobních údajů zaměstnanců je nezbytnost pro plnění pracovní smlouvy a nezbytnost pro plnění právních povinností, popř. oprávněný zájem správce. Pracovněprávní předpisy přitom ukládají zaměstnavatelům celou řadu povinností, kdy bude právě druhý ze zmíněných titulů relevantní.

Pokud tedy správce hodlá využívat (a tedy zpracovávat) z docházkových systémů informace o zaměstnanci při plnění povinností zaměstnavatele, není nutný výslovný souhlas zaměstnance s jejím použitím.

Nezbytným předpokladem pro dosažení souladu zpracování osobních údajů s GDPR je řádné zabezpečení osobních údajů.

Správce (zaměstnavatel) musí přijmout taková technická a organizační opatření s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, aby zajistil úroveň zabezpečení odpovídající danému riziku.

Správce by měl mít zavedeny mechanismy zjišťování neoprávněného přístupu či nestandardních činností v síti (např. logy, kdo a jak s osobními údaji pracoval), pravidelně aktualizovat bezpečnostní opatření a přezkušovat jejich funkčnost (např. tzv. penetračním testem – tj. zjišťování slabin zabezpečení tím, že IT specialista se snaží různými cestami dostat do systému a odhalit tak možnou slabinu dříve, než ji odhalí „narušitel“). Vhodným prostředkem je také zpracování vnitřního předpisu – bezpečnostní směrnice, která by upravovala vnitřní koncepci ochrany osobních údajů, s níž by byli seznámeni zaměstnanci správce a byli povinni se touto směrnicí řídit. Důraz na zaměstnance a jejich řádné proškolení z hlediska IT bezpečnosti (včetně mlčenlivosti) je často podceňován, přičemž však velkou většinu neoprávněných zásahů do osobních údajů (nebo jejich umožnění) mají na svědomí nedbalost či nevědomost zaměstnanců.

Pokud jde o produkty založené na použití otisků prstů a jednosměrného hašování, kdy nedochází k uchovávání samotných otisků prstů v databázi zaměstnavatele, pak výklad ustanovení GDPR v současné době není jednoznačný.  V současné době dle vyjádření Úřadu pro ochranu osobních údajů, není zřejmé, jaký bude výklad ustanovení GDPR týkající se zpracování biometrických údajů za účelem identifikace fyzické osoby, tedy zda bude za zpracování biometrických údajů považováno i vstupní použití otisků prstů, aniž by docházelo k jejich uchovávání v databázi správce, a zda bude takový postup po posouzení vlivu na ochranu osobních údajů považován při dodržení stanovených záruk za přípustný. Uvedené by mělo být předmětem jednotného celoevropského přístupu k této problematice, o kterém bude Úřad pro ochranu osobních údajů informovat.

Pokud by bylo postaveno na jisto, že použití otisků prstů a jednosměrného hašování, kdy nedochází k uchovávání samotných otisků prstů v databázi zaměstnavatele, představuje zpracování osobních údajů, pak by se jednalo o zvláštní kategorii osobních údajů, která podléhá přísnějšímu režimu ochrany, neboť platí, že biometrický údaj jako údaj spojený s vyšším rizikem pro subjekt údajů, by měl být podroben vyšší úrovni zabezpečení. Právním důvodem zpracování by zde byl písemný souhlas zaměstnance se zpracováním takového osobního údaje, a to s náležitostmi dle článku 4 GDPR (svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů).

Závěr

Jak vyplynulo ze shora uvedeného správce odpovídá za dodržování povinností kladených na něj GDPR. Stěžejní je dodržování zásad zpracování, což musí být správce schopen doložit. Správce musí disponovat řádným právním důvodem zpracování osobních údajů, aby vůbec mohl osobní údaje zpracovávat a toto zpracování bylo legální. Zároveň je nutné osobní údaje dostatečně zabezpečit.

Každého správce se GDPR dotkne jiným způsobem, a to v závislosti na aspektech zpracování, které provádí. Každý správce by si měl udělat vlastní analýzu zpracování, které provádí, čímž zjistí, jaké eventuální povinnosti se na něj vztahují. Součástí analýzy by měla být i identifikace slabých míst správce, např. v zabezpečení, či provedení revize právních důvodů a jejich uvedení do souladu s podmínkami GDPR. Pokud správce řádně plní povinnosti vyplývající ze současného zákona o ochraně osobních údajů, nemělo by GDPR pro něj představovat výrazný problém. Důležité též je nezapomenout na osvětu zaměstnanců.

Na závěr připomeňme, že jakmile pomine účel zpracování osobních údajů, je třeba je vymazat, a to i ze záloh a záložních uložišť. Předejde se tak případným sankcím například při neoprávněném úniku dat.

Vysvětlení pojmů:

*Hašování (haš, hašovací funkce) je algoritmus pro převod vstupních dat do relativně malého čísla. Výstupem hašovací funkce je výtah, miniatura, otisk, fingerprint či hash, česky též haš. Hašovací funkce se používají k rychlejšímu porovnávání dat. V základní variantě dovoluje testovat vstupní data na shodu. Nezachovává podobnost dat ani uspořádání. Z haše je prakticky nemožné rekonstruovat původní text zprávy. V praxi je vysoce nepravděpodobné, že dvěma různým zprávám odpovídá stejný haš, jinými slovy pomocí haše lze v praxi identifikovat právě jednu zprávu (ověřit její správnost).

Poslední aktualizace k datu 5. 4. 2018