V dnešní digitální době je ochrana osobních údajů klíčovým tématem pro každou firmu. Obecné nařízení o ochraně osobních údajů (GDPR) stanovuje pravidla, která musí dodržovat všechny organizace, jež zpracovávají osobní data. Jaké jsou tedy hlavní oblasti, na které byste měli myslet při provozu kanceláře, zejména pokud využíváte moderní technologie jako ChatGPT, cloudové služby nebo používáte fotografie zaměstnanců pro marketing?

  1. Zpracování osobních údajů v kanceláři

Každý den ve firmě dochází ke zpracování osobních údajů – od kontaktů klientů, přes údaje zaměstnanců až po data dodavatelů. GDPR vyžaduje, aby bylo s těmito údaji nakládáno zákonně, transparentně a bezpečně. To znamená:

  • Definovat jasný a legitimní účel zpracování.
  • Získat souhlas subjektů údajů, pokud je to nutné.
  • Zajistit bezpečnost dat technickými i organizačními opatřeními.

Další každodenní rizika při zpracování osobních údajů v kanceláři

  • Tisk a skartace: Zajistěte, aby dokumenty s osobními údaji nebyly ponechány bez dozoru na tiskárnách či skartovačkách.
  • Sdílené kalendáře a nástěnky: Uveřejnění zdravotní absence zaměstnance nebo důvod jeho nepřítomnosti může být citlivým údajem.
  1. ChatGPT a umělá inteligence – rizika a pravidla

Používání AI nástrojů, jako je ChatGPT, může výrazně usnadnit práci, ale zároveň přináší rizika z hlediska ochrany osobních údajů. Při zadávání dat do těchto systémů byste měli:

  • Vyvarovat se sdílení citlivých či identifikovatelných osobních údajů.
  • Ověřit, jak poskytovatel AI služby data zpracovává a zda dodržuje GDPR povinně nebo se k tomu smluvně zavázal dobrovolně.
  • Zajistit, že zaměstnanci jsou školeni o správném používání těchto nástrojů.

Z pohledu GDPR ale platí jedno zásadní pravidlo: Do AI nástrojů osobní údaje nepatří.

 

  1. Cloudové služby – bezpečnost a smluvní zajištění

Ukládání dat v cloudu je dnes běžné, ale GDPR klade důraz na to, aby data byla bezpečně chráněna a přístup k nim měl pouze oprávněný personál. Cloudové nástroje (např. Google Workspace, Microsoft 365, Dropbox) jsou praktické, ale často znamenají předávání dat třetím stranám, někdy i mimo EU.

Firmy by tak v ideálním případě měly:

  • Uzavřít s poskytovatelem cloudu smlouvu o zpracování osobních údajů.
  • Zkontrolovat, zda je poskytovatel schopen garantovat bezpečnost dat a dodržování GDPR.
  • Implementovat opatření jako šifrování dat a řízení přístupových práv.
  1. Použití fotografií zaměstnanců v marketingu

Fotografie zaměstnanců jsou často využívány pro marketingové účely, například na webových stránkách nebo sociálních sítích. Pro dodržení pravidel GDPR v této oblasti však důrazně doporučujeme:

  • Získat výslovný, informovaný a svobodný souhlas zaměstnanců s použitím jejich fotografií.
  • Jasně sdělit, kde a jak budou fotografie použity a jak dlouho budou uchovávány.
  • Umožnit zaměstnancům souhlas kdykoliv odvolat a respektovat toto odvolání.

Závěr

Správné dodržování GDPR v kanceláři není jen povinností, ale i cestou k budování důvěry a profesionality firmy. Zaměřte se na transparentnost, bezpečnost a respekt k osobním údajům – ať už pracujete s AI nástroji, cloudem nebo marketingovými materiály. Pravidelná školení zaměstnanců a pečlivá dokumentace jsou klíčem k úspěchu v této oblasti.

GDPR je dynamická oblast, která se neustále vyvíjí. Právě v každodenním provozu firmy však dochází k nejčastějším pochybením – často nevědomky. Pravidelný audit interních procesů, školení zaměstnanců a konzultace s právníky jsou proto nezbytným předpokladem, aby ochrana osobních údajů ve firmě nebyla jen formalitou, ale skutečnou součástí firemní kultury.

Závěrem je potřeba zdůraznit, že v praxi mohou nastat i situace výrazně odlišné od shora popsaných případů, kdy například k některému zpracování nemusí být ze specifických důvodů zapotřebí výslovný souhlas subjektu údajů, ačkoliv to v dané situaci obecně v tomto článku doporučujeme. Tento článek tak představuje zejména obecná vodítka, jichž je možné se držet při plnění povinností dle GDPR. V žádném případě se ale nejedná o dogma, z něhož neexistují výjimky.