IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

GDPR v praxi, aneb jak přijít o práci dříve než jí dostanete … pokračování

GDPR Gondek

Den se dnem se sešel a slíbili jsme, že napíšeme pokračování, jak vše dopadlo.

Abychom tedy navázali tam kde jsme minule skončili. U podání žádosti o poskytnutí informací, jaké osobní údaje banka zpracovává. Banka vše v stanovené lhůtě zaslala. Také se omluvila za chyby a snažila se o nápravu.

Problémy:

Banka

1) Tak jsme se přesvědčili, jaké a co vše, a jak napravila.

a. Prověřili jsme tedy, zda banka na inzerátech u LMC (jobs.cz) uvádí, jak jsou OU jimi zpracovávané. Dle podmínek LMC zadavatel inzerátu informuje o nakládání s OU u svého inzerátu. V patičce Inzerátu je tedy odkaz na nakládání s OU.

b. Po kliknutí na tento odkaz se otevře stránka s odkazy na zpracování OU, kde bylo doplněno Poučení o zpracování osobních údajů kandidáta ve výběrovém řízení na pracovní pozici (PDF, 201 kB). Po otevření tohoto dokumentu se přečtením dozvídáme, že OU jsou předávány dalším zpracovatelům. Což není dostatečná informace dle článku 13 nařízení GDPR. c. Je tedy třeba prostudovat i další dokument Informace o zpracování osobních údajů (PDF, 51 kB). Zda oba tyto dokumenty jsou v pořádku a splňují požadavky dle článku 13 (Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů)? Zároveň se ale domníváme, že banka by oba dokumenty měla sladit. Neboť v jednom uvádí dobu zpracování 10let. A v druhém 6 měsíců. A další chyby. Dále je třeba se ptát, zda dané dokumenty naplňují článek 15 (Právo subjektu údajů na přístup k osobním údajům). Obáváme se však že nikoliv. Chybí zde zejména „kategorie osobních údajů“.

Nicméně banka se zjevně snažila napravit vytýkané chyby. Domníváme se však, že informace poskytnuté bankou nejsou zcela v pořádku.

2) Kamarád požádal také pověřence banky o vysvětlení, jakým způsobem banka prověřuje organizace, které pověřuje zpracováním, neboť se domnívá, že personální agentura je povinna zřídit pozici DPO.

a. Reakce pověřence:

„K Vašemu dotazu uvádíme, že všichni významní dodavatelé banky, včetně personálních agentur, musí být vybráni v rámci nezávislého tendru. Banka se domnívá, že společnost mBlue poskytuje dostatečné záruky pro ochranu dat subjektů údajů. Z hlediska historie naší spolupráce se jedná o první případ námitky vůči postupům společnosti mBlue v oblasti zpracování osobních údajů, banka nikdy nezaznamenala vůči této společnosti výtky či dokonce bezpečnostní incidenty. Pokud jde o otázku pověřence pro ochranu osobních údajů, není podle našeho názoru tato funkce ipso facto imanentním požadavkem na personální agentury. Tudíž pokud společnost mBlue dospěla na základně analýzy a interního nebo externího stanoviska právníka, že funkci DPO nemusí zřizovat, tak banka nebude toto stanovisko rozporovat, vzhledem k tomu, že nemá detailní znalost rozsahu další činnosti společnosti mimo bance dodávané služby. Aby však interpretace článku 37 byla postavena najisto, byla otázka nutnosti jmenování DPO předložena ÚOOÚ a o výsledku bude banka informována.“

Otázka zní? Prování personální agentura, která dle informace poskytnuté majitelem má více než 50.000 životopisů, takové zpracování, pro které je nutné mít zřízenou funkci DPO?

Je 50.000 rozsáhlé zpracování? Dle vodítek pro Posouzení vlivu na ochranu OU, jde o rozsáhlé zpracování. Dále v životopisech se mohou nacházet citlivé údaje, zejména o hendikepech, zdravotním stavu, případně rozsudcích a další. Je třeba tedy zvážit zda taková personální agentura provádí dle článku 37, odstavce 1 bodu b),c)

„hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo

=> důvod: 24

c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v Článek 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v Článek 10.

=> důvod: 91

Zde je také třeba najít důvod 24:

„(24) Na zpracování osobních údajů subjektů údajů nacházejících se v Unii správcem nebo zpracovatelem, který není v Unii usazen, by se rovněž mělo vztahovat toto nařízení, pokud souvisí s monitorováním chování takových subjektů údajů v rozsahu, v němž k tomuto chování dochází v Unii. Aby se určilo, zda může být činnost zpracování považována za monitorování chování subjektu údajů, mělo by být zjištěno, zda jsou fyzické osoby sledovány na internetu, včetně případného následného použití technik zpracování osobních údajů, které spočívají v profilování fyzické osoby, zejména za účelem přijetí rozhodnutí, která se jí týkají, nebo za účelem analýzy či odhadu jejích osobních preferencí, postojů a chování.“

Z výše uvedených zle tedy dovodit, že personální agentura, provádí rozsáhlé zpracování. Dále je otázkou, zda personální agentura, která provádí pro banku profilování (tedy výběr vhodnosti kandidáta), za účelem přijetí rozhodnutí, zda bude vhodným pro práci v bance. Je tedy naplněním článku 37.

My se domníváme, že jednoznačně. Je zde samozřejmě mnoho dalších aspektů, které taková personální agentura provádí v rámci své činnosti.

Z tohoto důvodu jsme přesvědčení, že personální agentura, která má rozsáhlé zpracování, provádí profilování, zejména za účelem přijetí rozhodnutí musí mít pověřence.

A banka by tedy měla jednoznačně provést prověření takového zpracovatele. Prvním znakem, že personální agentura nesplňuje znaky vhodného zpracovatele, je že tedy nemá jmenovaného pověřence a další znaky viz pokračování u personální agentury.

Může tedy banka uzavřít smlouvu s takovou personální agenturou? Dle nás NE. Nicméně nejsme dozorový orgán a ani moc soudní a výkonná.

Co si myslíte VY? Plní vůbec pověřenec banky své povinnosti? Má vůbec znalosti a pravomoci? Jak je možné že takové věci nastávají?

Personální agentura

Dále je třeba se podívat co se tedy změnilo u personální agentury. Zkontrolovali jsme webové stránky a jejich informace o nakládání s OU na adrese: https://mblue.cz/uchazeci/gdpr/. Celé nakládání v zásadě není špatně, máme zde sice drobné výhrady, ale přeci jen je třeba vzít v potaz, že GDPR je zde jen 2,75 roku. Největší výhradu máme k tomu, jak a kde uplatnit svá práva. Neboť je třeba myslet na všechny aspekty samotného požadavku nařízení. Asi se shodneme že „co je psáno, to je dáno“. Co nastane, když tedy budeme požadovat výmaz osobních údajů. Podle „Informační memorandum GDPR“ naší personální agentury musíme zaslat mail na mprofil@mblue.cz. Kde a jak, ale uskutečníme ostatní práva? Nicméně představte si, jak lze mailem naplnit požadavek nařízení na prokázání identity subjektu údajů? Asi velmi špatně. Abychom se však vrátili k problému Pověřence. Zda má být pověřenec jmenován, jsme probrali v předchozí části. I zde ale musí konstatovat, že k nějaké snaze došlo. Jednatel personální agentury zaslal kamarádovi informaci, že zaslali dotaz na UOOU, zda jsou povinni zřídit pozici pověřence. Po nějaké době, přišel od jednatele personální agentury následující mail:

„Obdrželi jsme vyjádření ÚŘADU PRO OCHRANU OSOBNÍCH ÚDAJŮ

Cituji: “ Personální agentura, jestliže provádí zpracování osobních údajů v souvislosti s činnostmi spočívajícími v zajišťování výkonu personální agentury a povinností uložených zákonem, nesplňuje ani jednu podmínku pro povinnost jmenovat pověřence pro ochranu osobních údajů“

Děkujeme tedy za upozornění na možnou chybu, která se však nepotvrdila.“

Co z daného vyjádření od UOOU vyplívá? Pravděpodobně fakt, že UOOU pravdivě odpověděl na šikovně položenou otázku. Agentura totiž nesdělila, jaký dotaz na ÚOOÚ zaslala. Toho jsem byl svědkem již únoru u jiného subjektu. Nelze se totiž ptát, zda personální agentura potřebuje pověřence, ale že společnost zpracovává velké množství osobních údajů, z části automatizovaně a mohou patřit do kategorie zvláštních údajů. Zeptá se agentura znovu a správně?

Dále je třeba se znovu vrátit k době zpracování která je zde uváděna 10 let. Zde je důležité myslet na plnění povinností dle nařízení, specificky článku 5. Článek 5 říká že informace by měly být zpracovávány dle bodu 1) a)”zákonnost, korektnost a transparentnost”, b)”účelové omezení”, c) “minimalizace údajů”, d) “přesnost”, e) “omezení uložení”, f) “integrita a důvěrnost”. Lze tedy po dobu 10 let garantovat korektnost zpracování? Přesnost? A mohou odpovídat omezenému uložení? Jsme přesvědčeni že nikoliv. Vše lze lépe rozebrat na příkladu uchazeče o zaměstnání. Vezmeme-li, případ mého kamaráda. Přihlásí se na výběrové řízení. Poskytne souhlas personální agentuře, a ta jeho údaje uloží na 10 let. Jenže kamarád 5 let nezmění pozici. Dále se dá očekávat, že bude po příští zaměstnání hledat práci v jiné společnosti, se kterou nemá daná personální agentura smlouvu. Takže personální agentura nebude mít údaje aktuální, nebude je zpracovávat po nezbytně nutnou dobu a zjevně nebudou údaje minimalizovány. Dalo by se říci, že by kamarád měl agenturu informovat o změnách, aby agentura mohla údaje udržovat aktuální. Na to však nelze spoléhat. Proto je tedy na personální agentuře, aby OU zpracovávala adekvátně. Dle nás je tedy doba 10 let zcela neadekvátní, neboť agentura není po tuto dobu schopna garantovat zpracování dle požadavků. Nemluvě o tom, že je možná již nikdy nebude potřebovat.

Je tedy vše v pořádku? My se domníváme že nikoliv.

Banka dle našeho názoru pochybila a napravila jen část. Domníváme se, že pověřenec řádně neplní své povinnosti. Co se personální agentury týká, myslíme si, že z dostupných informací se GDPR příliš nevěnovali a neplní řádně své povinnosti dle nařízení a neadekvátně dlouho zpracovávají OU.

Článek je zpracován s ohledem na Nařízení 2016/679, nově přijatý zákon (toho času sněmovní tisk 138) ještě musí absolvovat hlasování v senátu a podpis prezidenta.

Petr Gondek, DPO, managing director GDPR Support s.r.o.