Kvůli GDPR je třeba myslet i na uložení osobních údajů v cloudu, říká advokát Jaroslav Škubal

Video placeholde

Za porušení pravidel GDPR zatím nijak vysoké pokuty nepadají. I proto, že Úřad pro ochranu osobních údajů nejde po detailech a formalitách, říká partner advokátní kanceláře PRK Partners Jaroslav Škubal. Nicméně povinností zaměstnavatelů je celá řada, přičemž GDPR nedává konkrétní návod, co je možné a co nikoliv. Je dobré myslet i na tak běžnou věc, jako je třeba uložení osobních údajů v cloudu.

„Přestože znění této úpravy je velice dlouhé, tak obsahuje pouze základní principy, které se mohou vykládat více či méně přísně,“ vysvětluje Škubal v talkshow Na kus řeči s právníky, v rozhovoru s kolegou Danielem Vejsadou.

„Každý osobní údaj zaměstnance je možné zpracovávat jen za deklarovaným účelem, nelze jej libovolně používat i k jiným účelům“, uvádí Jaroslav Škubal. O tom, jaké osobní údaje a proč zaměstnavatel zpracovává, pak musí zaměstnance srozumitelně informovat – naopak šetřit by měl s vyžadováním souhlasů z jeho strany, které jsou v pracovněprávních vztazích potřebné spíš jen výjimečně.

Zaměstnavatel také musí mít pod kontrolou, komu osobní údaje svých zaměstnanců předává a zejména si dát pozor na to, zda také necestují do zahraničí. A to třeba i tím způsobem, že se v zahraničí nachází server zaměstnavatelem využívané cloudové služby. Od účinnosti nařízení již uplynuly více než čtyři roky.