Pracovní agentury pracují s mimořádně citlivými osobními údaji — rodná čísla, kopie občanských průkazů, řidičských průkazů, zdravotních karet a A1 formulářů. GDPR (General Data Protection Regulation) klade na zpracování těchto údajů přísné požadavky, které mnohé agentury podceňují.
Jaké údaje pracovních agentur spadají pod GDPR
- Identifikační údaje — jméno, příjmení, rodné číslo, datum narození, adresa
- Kopie dokladů — občanský průkaz, řidičský průkaz, pojistná karta
- Pracovní dokumenty — A1 formuláře, pracovní smlouvy, výkazy hodin
- Finanční údaje — IBAN, IČO, DIČ, hodinová sazba
- Kontaktní údaje — telefonní číslo, e-mail
Všechny tyto údaje jsou osobní údaje ve smyslu GDPR. Kopie dokladů s fotografií jsou dokonce považovány za citlivější kategorii.
Základní povinnosti agentury
1. Právní základ zpracování
Musíte mít jasný právní základ pro zpracování každého typu údajů. U pracovních agentur je to obvykle plnění smlouvy (pracovní smlouva) a zákonná povinnost (sociální pojištění, A1 formuláře).
2. Bezpečnost uložení
Kopie dokladů nesmí ležet ve sdílené složce na Google Drive, kam má přístup celá firma. GDPR vyžaduje přiměřená technická a organizační opatření — šifrování, řízení přístupu, zálohování a uložení v rámci EU.
3. Řízení přístupu
Ne každý zaměstnanec agentury potřebuje vidět rodné číslo nebo kopii občanského průkazu pracovníka. Přístup k citlivým údajům by měl být omezen pouze na osoby, které je nutně potřebují — typicky HR manažer a office manager.
4. Audit trail
GDPR vyžaduje, abyste byli schopni prokázat, kdo a kdy přistoupil k osobním údajům. Pokud přijde kontrola z úřadu pro ochranu osobních údajů, musíte být schopni ukázat logy přístupů.
5. Právo na výmaz a export
Každý pracovník má právo požádat o kompletní výmaz svých údajů nebo o export všech dat, která o něm evidujete. Musíte být schopni to splnit v zákonné lhůtě 30 dnů.
Co hrozí při nedodržení
Pokuty za porušení GDPR mohou dosáhnout až 20 milionů EUR nebo 4 % ročního obratu firmy. V praxi jsou pokuty pro menší firmy nižší, ale i pokuta 5 000–50 000 € je pro agenturu citelná. Navíc únik osobních údajů poškodí reputaci firmy.
Jak to řešit správně
Ideální řešení je systém, který má GDPR zabudované od základů:
- Data uložená v EU na šifrovaných serverech
- Row-level security — každá organizace vidí jen svá data
- Automatický audit log každého přístupu k dokladům
- Funkce pro kompletní export údajů pracovníka (JSON)
- Funkce pro trvalé vymazání včetně kopií dokladů
- Role s různými úrovněmi přístupu (admin, team leader, pracovník)
Když tyto funkce máte v systému, GDPR compliance není zátěž — je to jen otázka správného nastavení.