Zaměstnavatele z GDPR hlava bolet nemusí

Dle vyjádření Evropské komise podniky údajně rozvíjejí kulturu dodržování předpisů v oblasti ochrany osobních údajů a občané jsou si čím dál více vědomi svých práv. Většina členských států zavedla podpůrný právní rámec pro ochranu osobních údajů. V České republice jím je zákon č. 110/2019 Sb., o zpracování osobních údajů. Přehled zásadních změn a výjimek jsme přehledně shrnuli na našich webových stránkách . Mohlo by se zdát, že vše funguje…

Nicméně protože opakování je matka moudrosti a názory ÚOOÚ se vyvíjí (ostatně i naše), podíváme se na GDPR z pohledu zaměstnavatele, protože personální agenda představuje v mnoha organizacích nejrozsáhlejší oblast zpracování osobních údajů.

Nač si tedy má dát zaměstnavatel pozor, aby ho z GDPR nebolela hlava?

 

Pro účel zpracování osobních údajů v rámci personální agendy není žádoucí vyžadovat po zaměstnanci podepsání souhlasu.

Projděte si vzory pracovních smluv, dotazníky/formuláře, zda v nich není souhlas se zpracováním osobních údajů zapracován nebo zda nějaký souhlas se zpracováním osobních údajů po zaměstnancích nepožadujete.

Provádíte-li zpracování osobních údajů, protože vám to ukládá zákon, smluvní vztah nebo se jedná o váš oprávněný zájem (pozor aby jste byli v souladu s oprávněným zájmem zaměstnance), souhlas nepotřebujete. Naproti tomu zasíláte-li zaměstnancům elektronickou výplatní pásku na soukromý e-mail, evidujete soukromá telefonní čísla pracovníků pro urychlené obsazení směny nebo používáte fotografie zaměstnanců pro marketingové účely či jsou obsaženy ve firemním adresáři nebo vnitropodnikové aplikaci, potom se bez souhlasu neobejdete.

Jaké náležitosti by měl souhlas obsahovat, se dovíte zde . Nebo můžete mrknout na náš souhlas se zpracováním osobních údajů za účelem zasílání obchodních sdělení .

 

Jedno z nejčastěji vytýkaných porušení GDPR je nedostatečné informování zaměstnanců o tom, jak jsou jejich osobní údaje zpracovávány.

Zaměstnancům musí být prokazatelným způsobem předány informace o správci jejich osobních údajů, účelu zpracování, právním základu pro zpracování, komu jsou osobní údaje předávány a v jakém rozsahu, o době, po kterou budou osobní údaje zpracovávány. V neposlední řadě je potřeba zmínit i práva, která subjekt údajů/zaměstnanec v oblasti ochrany osobních údajů má. O těch jsme psali zde .

Mimochodem dle GDPR musíte vhodným způsobem informovat všechny subjekty údajů, jejichž osobní údaje zpracováváte tedy rovněž: zákazníky, obchodní partnery, návštěvníky vašich webových stránek, účastníky marketingových kampaní atd. Rozsah informací je stanoven článkem 13 GDPR .

 

Monitorujete-li služební vozidla pomocí GPS, a to v rozsahu potřebném pro ochranu a správu majetku, pak je to oprávněný zájem zaměstnavatele.

Pokud umožňujete zaměstnanci využívat vozidlo i pro soukromé účely, je potřeba vzájemná práva a povinnosti upravit dohodou o použití vozidla. Je nezbytné zaměstnance na použití GPS sledování upozornit, a to prokazatelným způsobem. Zaměstnavatel je i nadále oprávněn zpracovávat osobní údaje pro stanovený účel jímž je ochrana a správa majetku, evidence jízd, prokázání bezpečnostních přestávek atd., ale nesmí docházet k intenzivní či stálé kontrole zaměstnanců, která by narušovala jejich soukromí.

Jako u všech zpracování i zde platí, že data lze zpracovávat pouze po dobu odpovídající účelu, a to i přesto, že spousta provozovatelů systémů tuto povinnost nereflektuje. Údaje o soukromých jízdách je nezbytné považovat za důvěrné a ideálně nepřístupné. Nezapomínejme, že odpovědnost za zpracování má vždy správce osobních údajů.

 

Dle zákoníku práce zaměstnanci nesmí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování tohoto zákazu je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat – například sledovat množství a velikost odeslané a přijaté pošty zaměstnancem nebo domény navštívených internetových stránek. Sledování nesmí být systematické a založené na ruční kontrole údajů a dat.

V případě zavedení sledovacích nástrojů je však zaměstnavatel povinen o tom zaměstnance informovat.

 

Zaměstnavatel je oprávněn vyžadovat od uchazeče o zaměstnání informace o trestněprávní bezúhonnosti, jestliže to ukládá právní předpis pro výkon určité pracovní pozice (policisté, hasiči, zdravotní sestry, učitelé, advokáti atd.) či je pro to dán dle zákoníku práce věcný důvod spočívající v povaze práce, jež má být vykonávána a je-li tento požadavek přiměřený.

Plošné vyžadování doložení bezúhonnosti u všech typů prací není v souladu s GDPR ani s pracovněprávními předpisy.

Co se uchovávání Rejstříku trestů týče, dle názoru ÚOOÚ je možné po účelem zpracování odůvodněnou dobu výpis či na základě výpisu učiněné poznámky uchovávat. Avšak my dodáváme, že již jeden den po vystavení výpisu je tento dokument zastaralý a údaje v něm uvedené nemusí odpovídat aktuálnímu stavu. Tudíž je na zvážení, zda existuje relevantní důvod pro jeho uchovávání.

 

V České republice jsou stále více využívány technologie založené na identifikaci osoby prostřednictvím biometrického údaje (obvykle otisku prstu). GDPR však biometrické údaje považuje za zvláštní kategorii osobních údajů, čili citlivý údaj, kde jsou nastavena přísnější pravidla pro zpracování.

Je-li účelem zpracování kontrola vstupu, přítomnosti a přístupů zaměstnanců s ohledem na zabezpečení provozu proti přístupu neoprávněné osoby, jedná se o oprávněný zájem zaměstnavatele a není potřeba vyžadovat po zaměstnancích souhlas.

To ovšem není případ evidence docházky s využitím této technologie. Tam už bude potřeba souhlas získat, a protože  ten musí být dán dobrovolně, měl by zaměstnavatel zajistit i jiný způsob evidence docházky, kde k použití biometrického údaje nedochází.

 

Poskytování benefitů zaměstnavatelem často souvisí s předáním osobních údajů zaměstnance třetí straně, tedy jinému příjemci, jež benefit zajišťuje. Ale ani toho se není potřeba bát, neboť zpracování osobních údajů pro tento účel vychází z dohody o poskytnutí benefitu.

Právním účelem je tedy plnění smlouvy, a to i v případě, že se k poskytnutí benefitu zaměstnavatel zavázal v kolektivní smlouvě nebo právo na benefit stanovil vnitřním předpisem.

Opět ale nesmíme zapomínat na výše uvedený čl. 13 GDPR a zaměstnance informovat o předání osobních údajů poskytovateli benefitu a též i o rozsahu předaných údajů.

 

Je potřeba nezapomínat na práva subjektů údajů. Jedním z nich je i přístup k informacím, a to i v případě bývalých zaměstnanců. Vzhledem k tomu, že i po skončení pracovního poměru jsou osobní údaje dále zpracovávány, může se stát, že subjekt údajů svého práva využije, a to třeba i včetně práva na poskytnutí kopie zpracovávaných osobních údajů.

Doporučujeme po skončení pracovního poměru zaměstnance uchovávat v organizaci/informačních systémech jeho osobní údaje pouze v nezbytném rozsahu.

A když jsme u přístupu k osobním údajům, je potřeba zajistit i jejich zabezpečení. Neponechávat fyzickou dokumentaci volně přístupnou, stejně tak i elektronickou databázi, a mít přehled o oprávněných osobách, jež mohou osobní údaje zpracovávat. Zpracováním je myšleno vše, co lze s osobními údaji dělat, tedy i nahlížet, kopírovat, likvidovat, předávat atd. U předávání osobních údajů dejme pozor, v jakém rozsahu a komu osobní údaje předáváme. Například údaj o členství v odborové organizaci patří mezi zvláštní kategorie osobních údajů/citlivé, a jeho zpracování podléhá přísnějším pravidlům.

 

Poslední myšlenka, kterou je vhodné zmínit, je povinnost realizace pravidelných školení ochrany osobních údajů pro všechny zaměstnance, kteří s osobními údaji přichází do styku.

O tom, že byli pracovníci proškoleni, je potřeba mít vyhotoven záznam.

Společnost Q – COM se dlouhodobě zabývá systémy řízení.
Ochrana osobních údajů do celého schématu zapadá, jelikož se jedná pouze o jiný pohled na problematiku bezpečnosti. Našim klientům zdůrazňujeme, že GDPR není primárně otázkou investic do technologií či záležitost IT oddělení. Klíčové je především vhodné nastavení procesů, nezbytné používání zdravého selského rozumu a nejdůležitější  pravidelné vzdělávání pracovníků.

 

Rozsah naší podpory závisí na konkrétních požadavcích zákazníka. Jsme schopni realizovat dílčí projekty v minimalistickém rozsahu i komplexní zavedení nejmodernějších postupů vedoucích k zajištění velmi vysoké úrovně ochrany osobních údajů, ale i informací a dalších aktiv zákazníka.