Propojení transparentního odměňování a GDPR
- Zaměstnavatelé budou muset současně plnit nové povinnosti v oblasti rovného odměňování a dodržovat pravidla ochrany osobních údajů.
- Evropská úprava transparentního odměňování rozšíří okruh mzdových a pracovních informací, které bude nutné shromažďovat, analyzovat a v určitých situacích zpřístupňovat.
- Zpracování těchto údajů však nebude možné nastavit bez omezení. Každý zaměstnavatel bude muset prokázat, že shromažďuje pouze údaje skutečně potřebné pro splnění konkrétní zákonné povinnosti.
- Zásada minimalizace údajů
- Základním východiskem bude čl. 5 odst. 1 písm. c) GDPR, podle něhož musí být osobní údaje přiměřené, relevantní a omezené na rozsah nezbytný pro stanovený účel.
- Zaměstnavatelé by proto měli předem určit:
- jaké údaje potřebují,
- proč je potřebují,
- jak dlouho je budou uchovávat,
- kdo k nim bude mít přístup,
- komu mohou být předány.
- Není vhodné shromažďovat kompletní individuální mzdové záznamy tam, kde lze požadovaný účel splnit pomocí anonymizovaných nebo agregovaných statistik.
- Zpracování údajů by mělo být pravidelně přezkoumáváno, aby v databázích nezůstávaly informace, které již nejsou potřebné.
- Rozsah mzdových a pracovních dat
- V závislosti na konkrétní povinnosti může být nutné pracovat například s údaji o:
- základní mzdě,
- variabilní složce odměny,
- bonusech a prémiích,
- příplatcích,
- benefitech,
- pracovní době,
- kvalifikaci,
- odborné praxi,
- odpovědnosti,
- pracovních podmínkách,
- charakteru a náročnosti vykonávané práce.
- Každý z těchto údajů by měl být posuzován samostatně z hlediska relevance a nezbytnosti.
- Zaměstnavatelé by si měli vytvořit dokumentovanou metodiku, která vysvětlí, proč jednotlivé kategorie údajů zpracovávají a jak souvisejí s požadavky transparentního odměňování.
- V závislosti na konkrétní povinnosti může být nutné pracovat například s údaji o:
- Anonymizace a pseudonymizace
- Pokud není nutné znát totožnost konkrétního zaměstnance, měly by být přednostně používány anonymizované výstupy.
- Anonymizovaná data by neměla umožňovat identifikaci osoby ani přímým způsobem, ani prostřednictvím kombinace s dalšími dostupnými informacemi.
- Pseudonymizace může snížit riziko zneužití údajů, zejména při interním reportingu, statistickém zpracování nebo přípravě kontrolních podkladů.
- Pseudonymizované údaje však zpravidla nadále zůstávají osobními údaji, pokud lze konkrétního zaměstnance zpětně určit pomocí odděleného identifikačního klíče.
- Identifikační klíče by proto měly být uchovávány odděleně, s přísnějším režimem přístupu a s odpovídající evidencí.
- Správné vymezení srovnávacích skupin
- Porovnávání zaměstnanců musí vycházet z objektivních kritérií, nikoli pouze z názvu pracovní pozice nebo formálního zařazení v organizační struktuře.
- Zohlednit lze například:
- druh vykonávané práce,
- míru odpovědnosti,
- odborné požadavky,
- potřebnou kvalifikaci,
- pracovní podmínky,
- rozsah rozhodovacích pravomocí,
- náročnost a složitost úkolů.
- Příliš široce definovaná skupina může zkreslit výsledky srovnání.
- Příliš malá skupina zase může vést k nepřímé identifikaci konkrétních zaměstnanců a k nechtěnému odhalení jejich individuální mzdy.
- Metodika vytváření srovnávacích skupin by měla být předem písemně popsána a jednotně používaná v celé organizaci.
- Přístupová oprávnění
- K individuálním mzdovým údajům by měl mít přístup pouze omezený počet osob, které je potřebují pro plnění pracovních povinností.
- Přístupová práva by měla být rozdělena podle pracovních rolí, například pro:
- mzdovou účtárnu,
- personální oddělení,
- vedoucí zaměstnance,
- vedení společnosti,
- interní audit,
- právní nebo compliance tým.
- Jednotlivé osoby by neměly mít automaticky přístup ke všem údajům pouze proto, že pracují ve stejném oddělení.
- Oprávnění musí být pravidelně kontrolována, aktualizována a bezodkladně odebrána po změně pracovní pozice nebo skončení pracovního poměru.
- U citlivých operací, například při exportu rozsáhlých datových souborů, by mělo být vyžadováno dodatečné schválení.
- Technická a organizační bezpečnost
- Zaměstnavatelé by měli přijmout detailní opatření odpovídající citlivosti mzdových informací.
- Patřit mezi ně může zejména:
- šifrování databází,
- šifrování přenosu dat,
- zabezpečení záloh,
- vícefaktorové ověřování,
- řízení uživatelských rolí,
- omezení exportu do běžných souborových formátů,
- evidence a vyhodnocování přístupů,
- pravidelné bezpečnostní testování,
- školení zaměstnanců,
- postupy pro řešení bezpečnostních incidentů.
- Zvláštní pozornost by měla být věnována e-mailovým přílohám, cloudovým úložištím, externím dodavatelům mzdových služeb a přenosným zařízením.
- Interní kontroly by měly ověřovat nejen technické zabezpečení, ale také to, zda zaměstnanci používají údaje pouze v rozsahu odpovídajícím jejich oprávnění.
- Rizika úniku mzdových informací
- Neoprávněné zveřejnění údajů může vést k porušení GDPR, pracovněprávních povinností i interních pravidel zaměstnavatele.
- Následkem mohou být:
- správní sankce,
- nároky dotčených zaměstnanců,
- poškození dobrého jména,
- ztráta důvěry,
- konflikty mezi kolegy,
- zvýšená fluktuace,
- napětí mezi zaměstnanci a vedením.
- Transparentní odměňování proto neznamená plošné zveřejnění individuálních mezd.
- Smyslem má být vytvoření srozumitelného a kontrolovatelného systému, který umožní odhalovat případné nerovnosti, ale současně ochrání soukromí zaměstnanců.
- Nejvhodnější řešení bude spočívat v kombinaci jasných interních pravidel, omezeného rozsahu zpracovávaných údajů, anonymizovaných výstupů, přesně vymezených srovnávacích skupin a důsledných bezpečnostních opatření.
Mohlo by vás také zajímat: Co budou znamenat nová pravidla transparentního odměňování od roku 2027? Informace o výši nástupní odměny musí být pro zaměstnance nově jednou z prvních