Mimo jiné i z tohoto důvodu soulad s GDPR nezajistí žádný HR systém sám o sobě a vždy je nutno posuzovat konkrétní podmínky zpracování a nastavení procesů, nicméně informační systém by měl pro splnění požadavků nařízení poskytovat efektivní podporu. Obecné vlastnosti HR systémů by měly zahrnovat:

• Podporu pro udělování/odvolávání souhlasů a jejich evidenci v případech, kdy je souhlas potřebný.
• Možnost zpřístupnění osobních údajů prostřednictvím jejich exportu dat nebo přístupu do systému.
• Evidenci stavu osob, resp. jejich pracovněprávních vztahů v čase a ve vazbě na legislativně dané lhůty včetně dalších událostí (typicky v případě právních sporů) ovlivňujících způsob zpracování dat.
• Automatizovanou podporu pro výmaz nebo anonymizaci vybraných kategorií údajů v návaznosti na změny stavů osob.
• Řízení přístupů k údajům v čase, kdy po ukončení pracovního vztahu po nějaké době neuvidí data pracovníci HR, ale budou přístupné mzdové účetní.
• Minimalizaci rozsahu používání údajů, například do logů a dávek ukládat pouze nezbytně nutné údaje a co nejdříve je mazat.
• Specifické zabezpečení a znepřístupnění vybraných položek identifikujících subjekty.

Protože nové funkčnosti systémů podporujících splnění požadavků GDPR bude zapotřebí implementovat a otestovat v rámci provozu rozsáhlých informačních systémů, je nutné, aby příslušné úpravy dodavatel poskytl s dostatečným předstihem před účinností nařízení.

V souvislosti s provozem HR systémů je rovněž důležité vést v patrnosti, že bude nutno podmínky zpracování osobních údajů upravit ve smlouvách mezi správci a zpracovateli. A dále subjekty informovat o tom, kteří zpracovatelé s jejich údaji přicházejí do kontaktu, a to i v případě zpracování v rámci skupiny firem.

Ing. Miroslav Šteffek Autor článku je výkonným ředitelem společnosti Elanor spol. s r.o.