GDPR v praxi, aneb jak přijít o práci dříve než jí dostanete, jen protože jste upozornili na chybu.

Dnes jsem měl rozhovor se svým známým, který mi vyprávěl jak XXXXXBank neoprávněně nakládá s jeho údaji, dle jeho slov uvádí subjekty údajů v omyl a předává bez souhlasu údaje dalším společnostem. Navíc dle jeho slov je XXXXXBank v naprosto katastrofickém stavu při uplatňování svých práv.

Celé se mi to zdálo velice nepravděpodobné. Ale po hodinovém rozhovoru a prozkoumání všech podkladů se nedá než souhlasit. Abych tedy popsal strasti mého známého:

Přihlásil se skrze portál jobs.cz do výběrového řízení XXXXXBank. Po pár dnech jej kontaktovali z personální agentury, aby se dostavil na pohovor. K jejich smůle je jednou z předností známého to, že se věnuje problematice GDPR. Nicméně neváhal a vyrazil na pohovor do personální agentury XXXXX. Na začátku pohovoru se zeptal, kde získali jeho osobní údaje, dostalo se mu odpovědi, že neví, ale pokud je u nich v databázi, tak asi z té. Posléze absolvoval v personální agentuře cca 30 minutový pohovor, který dle jeho slov, vedla velmi zmatená paní. Po té, co jí sdělil, proč je na pohovoru a vysvětlil jí situaci a sdělil jí, že jeho údaje získali neoprávněně. Jako vysvětlení se mu dostalo slov, že zajišťují personální nábor pro zmíněnou XXXXXBank, který je smluvně zajištěn. Zde však vzniká problém, ze kterého je vidět jak je GDPR neřešeno a zanedbáváno. Personalistika je u většiny organizací místo s největšími mezerami. Na portálu jobs.cz je uvedeno, že správcem OÚ je ten, kdo zveřejňuje nabídku práce. Dále je zde uvedeno, že osobní údaje nikomu nepředávají. Pokud tak činí, tak zadavatel nabídky musí v rámci dané nabídky informovat komu budou údaje předávány. U dané nabídky práce, ale žádná informace o předávání údajů nebyla.

Pouze odkaz na informaci o ochraně osobních údajů samotného bankovního ústavu. Po prostudování tohoto dokumentu zde vychází dva fakty. XXXXXBank neinformuje, jak zpracovává osobní údaje za účelem náboru zaměstnanců. Jediné co zde uvádí, je, že mohou předávat osobní údaje dalším zpracovatelům, jejichž seznam je zveřejněn na webových stránkách. Jenže ani po hodinovém hledání, se takový seznam nedalo najít (máme uložený screen, ukážeme za 30 dní, viz závěr článku). Známý navíc pročetl, jak nakládá s osobními údaji i samotná personální agentura. Zde se objevil další problém. Nenašel, kde uplatnit svá práva a jak. Také jsem tedy prozkoumal agenturu a zjistil zajímavý fakt, že personální agentura, která má 50000+ životopisů v databázi (prý sděleno majitelem agentury), jejíž hlavní činností je každodenní vyhodnocování kandidátů, nemá jmenovaného pověřence ochrany osobních údajů. Dalo by se očekávat, že pokud by takový pověřenec byl, nic takové by nenastalo.

Zde by se mohlo zdát, že strasti kolegy končí, jenže ono je to naopak. V informaci o zpracování osobních údajů vystavovatele nabízené pozice, je zmínka, že svá práva můžete uplatnit na každé pobočce. Kolega je velmi pečlivý a tak zašel do pobočky XXXXXBank a požádal o informaci jaké osobní údaje o jeho osobě zpracovávají (budou vědět, že je jejich klientem, ale také žadatelem o práci?). Než byl jeho požadavek vyřízen prošel přes tři osoby a skončil u pracovnice přepážky, které asistovala ředitelka pobočky. Ředitelka pobočky se obořila na známého, že je jasné jaké informace o jeho osobě zpracovávají a, že jsou to informace, které potřebují k vedení jeho účtu. To známého velmi nadchlo a jal se vysvětlovat samotné nařízení a trval na uplatnění svých práv. Po krátkém rozhovoru byla známému vytisknuta jeho smlouva o vedení účtu, s tím, že toto jsou informace, které o něm zpracovávají. Kolega se tedy prý jal vysvětlovat, jak funguje takové uplatnění práv a zda si to nechtějí rozmyslet. Paní na přepážce nevěděla co má dělat, ale paní ředitelka prý zvedla telefon a poradila se s někým, kdo je proškolený a něco ví. Po chvíli prý přišla a s úsměvem na tváři oznámila kolegovi, že na to mají 30 dní. Kolega se jen usmál, protože to se jim snažil poradit. Ať přijmou jeho požadavek, řádně ho zpracují a pak mu do 30 dnů dají odpověď. Neboť XXXXXBank nemá zjevně proškolené zaměstnance a nastaven proces uplatnění práv, sepsali s ním takovýto „požadavek“ (viz obrázek) a rozloučili se s ním.

Známý tedy všechny zúčastněné upozornil na chyby. Změní se však něco? Kdo všechno se tedy dopustil chyb?

V první řadě Jobs.cz uzavřel smlouvu s organizací, jež řádně neprověřil a tím porušil článek 28. Společnost XXXXXBank, vzhledem ke spolupráci s personální agenturou, lze označit za viníka z té samé chyby. Dále společnost XXXXXBank uvedla kolegu (a asi mnoho dalších) v omyl tím, že jim poskytla nepravdivé a nepřesné informace. XXXXXBank, také zjevně předávala osobní údaje v rozporu s nařízením GDPR. XXXXXBank, také zjevně nemá proškolené zaměstnance, neboť nikdo nevěděl, co má dělat a co to kolega vlastně chce (jaká on má práva a jaké oni povinnosti). XXXXXBank navíc nemá zpracovaný proces pro uplatnění svých práv. Je celkem jasné, že navíc XXXXXBank neposkytne mému kolegovi přesné informace o tom, jaké informace o něm zpracovává, neboť nezahrne do těchto údajů jím zaslaný životopis. V neposlední řadě by banka, vědoma si incidentu, měla sama informovat Úřad pro ochranu osobních údajů. A to už v době vydání tohoto článku.

Dalším v řadě je tedy personální agentura, která získala osobní údaje neoprávněně. Personální agentura zjevně nemá zájem o to, aby její klienti mohli uplatnit svá práva, navíc jejich údaje, chce zpracovávat 10 let což je u životopisů neadekvátní doba, po kterou ani nemůže vyhovět nařízení, aby udržela zpracovávané informace aktuální. Personální agentura navíc nemá jmenovaného pověřence, který by na jejich aktivity dohlížel a kontroloval přesně tyto problémy. Agenturu jsem kontaktoval a její sdělení je, že dle jejich právního zástupce „Pověřence pro ochranu osobních údajů nepotřebují“, ale že pro jistotu se s dotazem obrátí na ÚOOÚ. Neznám personální agenturu, ve které by nedocházelo k rozsáhlému a pravidelnému vyhodnocování a monitorování subjektů.

Na jeden den, a jednoho kolegu to bylo hodně. A co myslíte? Zachovají se všichni dle zákona? Vědí, co mají vůbec dělat? Upřímně, bohužel se čím dál tím víc setkávám s tím, že „GDPR Lawyer“ vlastně ani neví, o čem Nařízení GDPR je, nebo spíše nemají zkušenosti z reálné praxe. Ale pro banky a podobné instituce je stále právník víc než kybernetik.

Dovoluji si konstatovat, že pokud má být GDPR správně implementováno, je třeba spolupráce více profesí a dobře sladěného týmu. Proto doporučuji komunikovat jen se společnostmi, které takový tým mají. Je to u ostatních personálních agentur jiné? Jsou ostatní banky lepší? Lze vůbec chtít, aby si organizace vážili nás a našich práv?

Článek bude mít pokračování za 30 dní, kdy vyprší lhůta oběma společnostem k podání informací. Pak odhalíme i jejich jména. Zatím jim ponecháváme čas „seskupit síly a vzpamatovat se“.

Petr Gondek, DPO, managing director GDPR Support s.r.o.

security

NSA a FBI varují před severokorejskými hackery, kteří falšují e-maily z důvěryhodných zdrojů

Americká vláda zveřejnila nové doporučení pro kybernetickou bezpečnost, které varuje před pokusy severokorejských aktérů posílat e-maily způsobem, který vypadá, že pocházejí od legitimních a důvěryhodných

ČÍST DÁLE »

Radek Vyškovský 10 května, 2024

security

Nová služba Acronis MDR s integrovanou obnovou po útoku

Acronis oznámil dostupnost nové služby Acronis Managed Detection and Response (MDR), která je nyní k dispozici všem poskytovatelům MSP využívajícím Acronis Cyber Protect Cloud. Tato

ČÍST DÁLE »

Petr Smolník 9 května, 2024

security

Google oznamuje, že přístupové klíče byly přijaty více než 400 miliony účtů

Společnost Google oznámila, že přístupové klíče používá více než 400 milionů účtů Google, které za poslední dva roky ověřily uživatele více než miliardkrát. „Přístupové klíče

ČÍST DÁLE »

Radek Vyškovský 9 května, 2024