Zaměstnanci a GDPR

V případě zaměstnanců je třeba v prvé řadě uvést, že se NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen GDPR) promítá hned do několika aspektů pracovněprávního vztahu.

Níže v textu je pro zjednodušení pojem správce osobních údajů nahrazen pojmem organizace. Pro úplnost se sluší uvést, že správcem osobních údajů je taková osoba, která provádí zpracování osobních údajů. Správcem může být jak právnická, tak fyzická osoba. Správcem podle GDPR není fyzická osoba, která s osobními údaji nakládá pouze v rámci osobní nebo domácí činnosti (tedy pro osobní potřebu).

Zaměstnanec jako prodloužená ruka organizace

Je třeba pamatovat na to, že zaměstnanec je mj. zástupcem organizace při provádění činností zpracování (v rámci výkonu práce). Z právě uvedeného je tedy zřejmé, že úvaha o tom, že by snad zaměstnanec měl být sám správcem, případně zpracovatelem osobních údajů, které zpracovává při výkonu své práce pro zaměstnavatele, je nesprávná. Zaměstnanec je vlastně jakousi „prodlouženou rukou“ zaměstnavatele, tj. organizace. GDPR pro organizaci stanoví povinnost přijmout taková technická a organizační opatření, aby byla zajištěna minimalizace rizika, že budou osobní údaje zpracovávány protiprávně nebo neoprávněně.

Jedním z organizačních opatření je proškolení klíčových zaměstnanců ve věcech ochrany osobních údajů. Zcela jistě nemusí být proškoleni všichni zaměstnanci v organizace, nicméně je třeba, aby byli proškoleni ti zaměstnanci, kteří při výkonu své práce přijdou do styku s osobními údaji.

Proč je důležité proškolit klíčové zaměstnance? Primárním cílem je minimalizovat riziko, že dojde k porušení zabezpečení zpracování osobních údajů. Statistika uvádí, že více než 37 % případů (celá EU), ve kterých dojde k porušení zabezpečení zpracování osobních údajů způsobí zaměstnanci. U zaměstnanců, kteří budou patřičně poučeni o svých povinnostech při výkonu své práce, ve vztahu k osobním údajům, lze předpokládat, že se méně často budou dopouštět porušování zákonných ustanovení.

Povinnost mlčenlivosti zaměstnance ve vztahu k osobním údajům

Často diskutovaným institutem ve vztahu k zaměstnancům je povinnost mlčenlivosti. GDPR stanovuje povinnost zavést taková opatření, aby bylo minimalizováno riziko porušení zabezpečení zpracování osobních údajů, přičemž povinnost mlčenlivosti zaměstnanců výslovně nestanovuje, na rozdíl od ustanovení § 15 odst. 1 zákona č. 101/2000, Sb. o ochraně osobních údajů.

V úvodu GDPR je stanoveno, že tímto nařízením se ruší směrnice, která byla do českého právního řádu provedena zákonem o ochraně osobních údajů. Zrušení uvedené směrnice však na platnost a účinnost zákona o ochraně osobních údajů, který je i nadále účinný, nemá vliv. Nicméně v případě, že se ustanovení GDPR a ustanovení zákona o ochraně osobních údajů (č. 101/2000, Sb.) dostanou do kolize, pak má aplikační přednost GDPR a ustanovení zákona o ochraně osobních údajů se nepoužijí. V případě, že GDPR některé otázky neupravuje vůbec, ale zákon o ochraně osobních údajů je upravovat bude, pak aplikaci zákonného pravidla dle zákona o ochraně osobních údajů nic nebrání.

Dále je třeba poukázat na to, že povinnost mlčenlivosti zaměstnanců ve vztahu k informacím (včetně osobních údajů), které se dozvěděli při výkonu své práce, neobsahuje ani zákoník práce. Jakkoli se odborná veřejnost nemůže shodnout na tom, zda pro zaměstnance existuje zákonná povinnost mlčenlivosti nebo ne, jedno je jisté, to, že zaměstnanec a zaměstnavatel uzavřou dohodu o mlčenlivosti, ať už ve formě samostatné smlouvy nebo dodatku k pracovní smlouvě, není žádným pochybením.

Zaměstnanec jako subjekt údajů

Zaměstnanec je pro zaměstnavatele (organizaci) také subjektem údajů, tj. fyzickou osobou, jejíž osobní údaje jsou zpracovávány.

Obecné osobní údaje zaměstnanců jsou zpravidla zpracovávány na základě pracovní smlouvy (právní důvod dle ust. článku 6 odst. 1 písm. b) GDPR), to platí i pro zpracování osobních údajů zaměstnanců před uzavřením smlouvy.

Jiné právní základy zpracování obecných osobních údajů než smlouva, je třeba využít např. v těchto případech:

Souhlas [čl. 6 odst. 1 písm. a)]:

  • Zaměstnavatel chce/potřebuje zveřejnit fotografii zaměstnance na svých webových stránkách/profilu na sociální síti.
  • Zaměstnavatel ve svých služebních vozidlech využívá zařízení pro GPS tracking vozidel, které nelze vypnout. Zde je třeba uvést, že v pracovní době jsou údaje o poloze zaměstnance řídícího služební vozidlo zpracovávány na základě právního titulu dle čl. 6 odst. 1 písm. f) – oprávněný zájem příslušného správce. Po pracovní době je však třeba získat souhlas zaměstnance s takovým zpracováním, případně zajistit vypínatelné zařízení.
  • Zaměstnavatel po ukončení pracovního poměru nadále zůstává v kontaktu s bývalým zaměstnancem, kdy mu pravidelně zasílá nejnovější informace o dění v organizaci, to vše v rámci programu tzv. alumni.

Oprávněný zájem správce [čl. 6 odst. 1 písm. f)]:

  • S ohledem na politiku bezpečnosti v organizaci zaměstnavatel vyžaduje, aby byl zaměstnanec vyfotografován a při pobytu v provozovně zaměstnavatele nosil na viditelném místě průkaz vč. fotografie (tato fotografie je rovněž zveřejněna na intranetu zaměstnavatele).
  • Zaměstnavatel ve svých služebních vozidlech využívá zařízení pro GPS tracking vozidel, které lze vypnout. V případě, že je poloha vozidla zjišťována v pracovní době, pak platí, že k tomuto zpracování osobních údajů dochází na základě oprávněného zájmu správce.
  • Zaměstnavatel, s ohledem na politiku bezpečnosti v organizaci, využívá kamerového systému, přičemž jsou využity i stacionární kamery uvnitř provozovny, které snímají také zaměstnance. I zde se tak může dít na základě oprávněného zájmu správce, nicméně správce by měl provést tzv. test proporcionality (někdy označován jako balanční test), ve kterém porovná, co převáží, zda účel sledovaný zpracováním (tj. bezpečnost zajišťovaná prostřednictvím kamerového systému), resp. přiměřenost zvoleného prostředku pro konkrétní účel zpracování nebo práva a svobody subjektů údajů. Právě uvedené musí být správce, pro případ kontroly, schopen obhájit.

 

Citlivé osobní údaje zaměstnanců pak budou zpracovávány na základě právního důvodu dle ustanovení čl. 9 odst. 2 písm. b) GDPR, které dovoluje zpracování citlivých osobních údajů, jestliže je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektů údajů v oblasti pracovního práva a v oblasti sociálního zabezpečení a sociální ochrany. Bude se jednat například o případy, kdy jsou osobní údaje předávány zaměstnavatelem zdravotní pojišťovně, a to na základě příslušných ustanovení zákona o pojistném na všeobecné zdravotní pojištění. Kromě toho mohou být citlivé osobní údaje zaměstnanců zpracovávány ještě na základě právního důvodu dle čl. 9 odst. 2 písm. h) GDPR, které v tomto kontextu dovoluje zpracování citlivých osobních údajů, jestliže je nezbytné pro účely preventivního nebo pracovního lékařství nebo pro posouzení pracovní schopnosti zaměstnance.

Jelikož je zaměstnanec také subjekt údajů, musí zaměstnavatel i vůči němu splnit informační povinnost – tj. poučit ho, jaké osobní údaje a v jakém rozsahu o něm zaměstnavatel zpracovává a na jakých právních základech, jak dlouho tyto osobní údaje uchovává, s kým tyto osobní údaje sdílí a dále by jej měl poučit o jeho právech, a to včetně práva podat stížnost dozorovému orgánu – Úřadu na ochranu osobních údajů.

Kopie osobních dokladů

S ohledem na zásadu minimalizace údajů je třeba pamatovat na povinnost organizace nezpracovávat takové osobní údaje, které nepotřebuje, resp. ve formě, která není přiměřená účelu.

Jak již bylo uvedeno v první části této metodické pomůcky, zákonem č. 328/1999 Sb., o občanských průkazech v ustanovení § 15a je omezeno nakládání s občanskými průkazy. Uvedené ustanovení stanovuje, že je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana, kterému byl občanský průkaz vydán, pokud zvláštní zákon nebo mezinárodní smlouva, kterou je Česká republika vázána, nestanoví jinak.

Zaměstnavatel, k tomu, aby získal osobní údaje z dokladu totožnosti, zcela jistě nepotřebuje kopii tohoto dokladu. Stejnému účelu poslouží i podstatně menší zásah do soukromí zaměstnance, kterým je vypsání potřebných osobních údajů např. do pracovní smlouvy.  Jakkoli je výše uvedeno, že v případě prokazatelného souhlasu občana lze pořídit kopii, tak toto se neuplatní právě vzhledem k zásadě minimalizace údajů.

Neúspěšní uchazeči o práci

Pravděpodobně každý zaměstnavatel může potvrdit, že problematika náboru zaměstnanců není jednoduchá a jednorázová činnost. Někdy se může stát, že je třeba zvolit z několika kandidátů toho nejvhodnějšího, avšak ten nejvhodnější vybrán ve skutečnosti nebyl. Je pak třeba najít jiného zaměstnance, a to za nedlouho od prvního výběrového řízení. Většinu zaměstnavatelů patrně hned napadne kontaktovat některého z původně neúspěšných uchazečů. Vyvstává však otázka. Je možné zpracovávat osobní údaje uchazečů zaměstnání i po tom, co již výběrové řízení proběhlo?

Zpracování osobních údajů neúspěšných uchazečů o zaměstnání (bude se jednat o informace v životopise, motivačním dopise a případně o nějaké poznámky z ústního kola výběrového řízení) budou zpracovávány na základě oprávněného zájmu zaměstnavatele jakožto správce [tj. dle ustanovení čl. 6 odst. 1 písm. f) GDPR]. Je však třeba, aby byla doba, po kterou jsou tyto údaje v organizaci uchovávány upravena vnitro-organizačním předpisem. Zároveň platí, že i vůči uchazečům o zaměstnání (tito jsou rovněž subjekty údajů) má správce informační povinnost.

Autor:

Mgr. Bc. Georgios Tucoglidis

Web: www.3cm.online

E-mail: georgios@3cm.cz