Naše poradna
JUDr.
Eva
Janečková
Je využívání cloud computingu pro zpracování osobních údajů v souladu se zákonem? Pokud ano, za
jakých podmínek?
Využití cloud computingu pro zpracování osobních údajů je možné, je však nutné respektovat
pravidla nastavená zákonem č. 101/2000 Sb., o ochraně
osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně
osobních údajů“). Přestože je objednatel služby jako zákazník svým způsobem ve slabším postavení, z
hlediska zákona o ochraně osobních údajů je tím, kdo
je za zpracování odpovědný. Je totiž správcem osobních údajů tak, jak jej chápe
§ 4 písm. j) zákona o ochraně osobních údajů,
podle něhož je správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů,
provádí zpracování a odpovídá za něj. Uživatel je tedy tím, kdo se rozhodne využívat cloud computing
z důvodu a za účelem, které sám určí. Uživatel je pak povinen dodržovat veškeré povinnosti, které
pro něj vyplývají zákona, což v případě cloud computingu nebývá jednoduché. Poskytovatel cloudových
služeb je pak často „pouhým“ zpracovatelem osobních údajů.
Jednou ze základních povinností, kterou zákon o
ochraně osobních údajů stanoví v § 6, je povinnost uzavřít se zpracovatelem, tedy
poskytovatelem cloudu, smlouvu o zpracování osobních údajů. Tato smlouva musí mít písemnou formu a
musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá
a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních
údajů.
S ohledem na specifika poskytované služby by uživatel měl požadovat, aby do smlouvy byla
zapracována i další ustanovení, např. i ustanovení regulující vstup třetích osob do
zpracování.
Uživatel by měl také analyzovat dopady řešení využití cloud computingu (analýza rizik) a
zajistit adekvátní opatření na své straně (např. šifrování dat) tak, aby si uzavřením smluvních
vztahů s případným poskytovatelem služeb cloud computingu ošetřil veškeré podmínky zpracování
(zajištění odpovídající úrovně zabezpečení; odpovědnost poskytovatele služeb/zpracovatele za jeho
případná selhání s dopady do oblasti ochrany osobních údajů, garantování nevratné likvidace údajů
apod.).
Je možné využít e-mailové kontakty odkoupené od jiné firmy za účelem rozesílání obchodních
sdělení?
Zasílání obchodních sdělení elektronickou poštou je možné pouze se souhlasem subjektu
údajů - „nezákazníků“. Žádost o souhlas nesmí pojmově vykazovat znaky obchodního sdělení ve smyslu
§ 2 písm. f) zákona č. 480/2004 Sb., o některých
službách informační společnosti a o změně některých zákonů (zákon o některých službách informační
společnosti), ve znění pozdějších předpisů. Zároveň platí, že žádost o poskytnutí souhlasu nesmí být
na stejnou adresu rozesílána opakovaně, což by ostatně bylo proti smyslu zákona - adresát není
povinen dávat najevo svůj nesouhlas se zasíláním obchodních sdělení.
Velmi často se správci osobních údajů ptají, zda mohou získat souhlas se zasíláním
obchodních sdělení elektronickou cestou. Zprávy (žádosti o souhlas se zasíláním obchodních sdělení)
zasílané potencionálním zákazníkům prostřednictvím elektronické pošty obsahově směřují k podpoře
služeb a mají za cíl podporu podnikatelské činnosti, podporu prodeje zboží a poskytování služeb, a
to přestože je tak činěno formou žádosti o udělení souhlasu se zasíláním obchodních sdělení. Tímto
způsobem správce šíří povědomí o své značce a svých službách a fakticky tak podporuje svoji
podnikatelskou činnost. Princip pro zasílání obchodních sdělení je, ve vztahu k adresátům, kteří
nejsou zákazníky, založen na aktivním vyhledání podnikatele, resp. jeho služby, a následném
vyslovení souhlasu s dalším informováním o jeho zboží a službách, a nikoliv na tom, že podnikatel
bude sám oslovovat adresáty s žádostí o souhlas a takto bude fakticky šířit povědomí o své značce a
image.
Zákon č. 480/2004 Sb. požaduje získání
souhlasu s využitím adresy elektronické pošty (případně jiných elektronických prostředků) ještě před
tím, než je jakékoli obchodní sdělení zasláno. V takovém případě je tedy třeba volit formulaci
prvního oslovení tak, aby neobsahovala nabídku konkrétních produktů či služeb, ale pouze žádost o
souhlas se zasíláním obchodních sdělení určitého typu tak, aby zpráva pojmově nevykazovala znaky
obchodního sdělení ve smyslu § 2 písm. f) zákona č.
480/2004 Sb.
Jakým způsobem lze vyložit pojem „nejbližší zdravotnické zařízení“ uvedený v nařízení vlády č.
590/2006 Sb.?
V dotazu uvedené nařízení vlády uvádí, že:
a)
Pracovní volno s náhradou mzdy nebo platu se poskytne na nezbytně nutnou dobu,
bylo-li vyšetření nebo ošetření provedeno ve zdravotnickém zařízení, které je ve smluvním vztahu ke
zdravotní pojišťovně, kterou si zaměstnanec zvolil, a které je nejblíže bydlišti nebo pracovišti
zaměstnance a je schopné potřebnou zdravotní péči poskytnout (dále jen „nejbližší zdravotnické
zařízení“), pokud vyšetření nebo ošetření nebylo možné provést mimo pracovní dobu.
b)
Bylo-li vyšetření nebo ošetření provedeno v jiném než nejbližším zdravotnickém
zařízení, poskytne se pracovní volno na nezbytně nutnou dobu; náhrada mzdy nebo platu však přísluší
nejvýše za dobu podle písmene a).
Pracovního volno bude tzv. placené, tedy včetně náhrady mzdy (platu), pokud:
a)
vyšetření nebo ošetření je absolvováno u tzv. nejbližšího zdravotnického zařízení,
pak po v rozsahu celé nezbytně nutné doby,
b)
vyšetření nebo ošetření není absolvováno u nejbližšího zdravotnického zařízení, pak
jen po nezbytně nutnou dobu, kterou by zabralo vyšetření/ošetření a další související doby dopravy a
čekání u nejbližšího zdravotnického zařízení.
Zaměstnanec není povinen zvolit si za svého registrujícího praktického lékaře lékaře,
který je ve smluvním vztahu jako lékař pracovně-lékařských služeb a sídlí nejblíže pracovišti
zaměstnance. Zaměstnanec má právo svobodné volby lékaře. Zaměstnavatel musí tedy respektovat, že
registrujícího lékaře navštěvuje v místě svého bydliště, jde také o nejbližší zdravotnické zařízení
ve smyslu nařízení vlády. I kdyby se zaměstnanec nechal vyšetřit v jiném než nejbližším
zdravotnickém zařízení, musel by mu zaměstnavatel stejně tuto dobu omluvit a poskytnout mu pracovní
volno na nezbytně nutnou dobu. Jen náhrada mzdy nebo platu zaměstnanci přísluší v tomto případě
nejvýše za dobu, kterou by strávil vyšetřením v nejbližším zdravotnickém zařízení, a částečně půjde
proto o překážku v práci, která je neplacená.
Má-li zaměstnanec na specializovaný úkon zvoleného lékaře, je nutno zkoumat, jestli je v
okolí pracoviště (bydliště) jiné „nejbližší“ zdravotnické zařízení, tj. takové, které je smluvním
zařízením, je nejblíže a současně je schopno požadovanou zdravotní službu v odpovídající odbornosti
a v odpovídajícím čase poskytnout:
-
pokud ne - zaměstnanci náleží po celou nezbytnou dobu pracovní volno s náhradou
mzdy,
-
pokud ano - zaměstnanci náleží pracovní volno; pracovní volno s náhradou mzdy náleží
jen po dobu, kterou by zabralo vyšetření/ošetření v nejbližším zdravotnickém zařízení, ve zbytku
náleží pracovní volno neplacené.
Za jakých okolností lze využít institutu „ošetřování člena rodiny“?
Tuto překážku v práci může uplatnit zaměstnanec, který nemůže pracovat, poněvadž
musí:
-
ošetřovat nemocné dítě mladší než 10 let,
-
pečovat o dítě mladší než 10 let z důvodu,
že:
-
dětské výchovné
zařízení nebo škola byly uzavřeny z nařízení příslušného
orgánu,
-
dítě
nemůže být pro nařízenou karanténu v péči dětského výchovného zařízení nebo docházet do
školy,
-
osoba, která jinak o dítě pečuje, onemocněla, porodila nebo jí byla nařízena
karanténa, a proto nemůže o dítě pečovat,
-
ošetřovat jiného nemocného člena rodiny, jestliže jeho zdravotní stav vyžaduje
nezbytně ošetřování jinou osobou.
V průběhu jednoho ošetřování je možné, aby se dvě osoby (např. otec a matka) jednou
vystřídaly.
Jako nový případ potřeby ošetřování se posuzuje případ, kdy mezi dvěma onemocněními netrvá
potřeba ošetřování alespoň jeden kalendářní den. Tedy ošetřující například nastoupí alespoň na jeden
den do práce nebo má mezi dny ošetřování den dovolenou.
Během ošetřování má zaměstnanec nárok na ošetřovné, které se poskytuje od prvního dne
potřeby ošetřování (péče) po dobu 9 kalendářních dnů.
Je možné poskytnout policii na jejich žádost údaje o zaměstnanci i bez jeho souhlasu?
Vzhledem k § 15 zákona č. 101/2000 Sb., o
ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o
ochraně osobních údajů“), který uvádí, že povinnost zachovávat mlčenlivost se nevztahuje na
informační povinnost podle zvláštních zákonů, nelze se dovolávat povinnosti mlčenlivosti podle
zákona o ochraně osobních údajů tam, kde některý
zvláštní zákon informační povinnost stanoví. V takových případech pak je nutno tuto informační
povinnost v mezích ustanovení příslušných zákonů, které ji stanoví, plnit. Jedná se především o
oznamovací povinnost podle trestního zákona a podle
trestního řádu. Povinnost mlčenlivosti stanovenou
zákona o ochraně osobních údajů nelze vzhledem k dikci
zákona použít jako „výmluvu“ v případě nesplnění takové informační povinnosti. Na druhou stranu ani
v případě, kdy žádost o informace podá Policie ČR, není možné vyhovět vždy.
Rozsah požadovaných údajů musí odpovídat potřebám plnění konkrétního úkolu Policie ČR.
Způsob předávání údajů musí umožňovat uchovávání identifikačních údajů o útvaru Policie ČR nebo o
policistovi, který o poskytnutí informací žádal, a o účelu, k němuž bylo o poskytnutí informací
žádáno, a to nejméně po dobu pěti let.
Evidencí se v případě zaměstnavatele rozumí především osobní spisy a účetní dokumentace.
Tyto evidence však obsahují osobní údaje ve velkém rozsahu. Policii proto nebudou automaticky
předávány všechny osobní údaje, jimiž personalista disponuje, ale je třeba dbát, aby byly předány
pouze ty údaje, které jsou potřebné pro plnění konkrétního úkolu policie.
Žádosti o předávání osobních údajů Policii ČR by v žádném případě neměly být vyřizovány na
základě neověřeného telefonického dotazu. Vždy by měly být policií podávány pouze v písemné formě a
měly by být správcem nebo zpracovatelem uchovávány včetně odpovědi příslušného správce nebo
zpracovatele osobních údajů. V případě osobního jednání s policistou je třeba, aby správce nebo
zpracovatel obdržel kopii úředního protokolu. Jen při splnění těchto podmínek může správce či
zpracovatel dostát zákonnému požadavku, jehož obsahem je prokázat, kdy, komu a za jakým účelem
předal osobní údaje zpracovávané v příslušné evidenci.
Je možné po pracovní době pořádat na pracovišti oslavy, kde se pije alkohol?
Z § 106 odst. 4 písm. e) zákona č. 262/2006
Sb., zákoník práce, ve znění pozdějších předpisů (dále jen „zákoník práce“), vyplývá, že
zaměstnanec je povinen jednak nepožívat alkoholické nápoje:
-
na pracovištích zaměstnavatele (v pracovní době i mimo ni);
-
mimo pracoviště zaměstnavatele (v průběhu své pracovní doby).
Zákaz požívat alkoholické nápoje je tedy v zákoníku
práce vymezen časově - v pracovní době vždy bez ohledu na to, zda je zaměstnanec na
pracovišti, nebo není. Zaměstnanec má zákaz požívat alkoholické nápoje například i na pracovní
cestě. Na pracovišti je zakázáno požívat alkoholické nápoje i mimo pracovní dobu. Požívání
alkoholických nápojů je v rozporu se zákoníkem práce i
na různých oslavách, které se konají na pracovištích, a to i po pracovní době, a jedná se o závažné
porušování povinností se všemi možnými důsledky. Vedoucí zaměstnanci by proto měli, i ve vlastním
zájmu, pořádání oslav na pracovištích i po pracovní době, kde je podáván alkohol, zakázat a
dodržování zákazu kontrolovat a vyžadovat.
Zároveň je zakázáno vstupovat pod vlivem alkoholických nápojů na pracoviště
zaměstnavatele.
Ze shora uvedeného zákazu obsahuje zákoník
práce dvě výjimky - zákaz požívání alkoholických nápojů se nevztahuje na zaměstnance, kteří
pracují v nepříznivých mikroklimatických podmínkách, pokud požívají pivo se sníženým obsahem
alkoholu (např. sklárny, hutě), a na zaměstnance, u nichž požívání těchto nápojů je součástí plnění
pracovních úkolů (spíše než o požívání se jedná ochutnávky degustátorů při výrobě nápojů či obchodu
s nimi) nebo je s plněním těchto úkolů obvykle spojeno (např. v rámci slavnostních přípitků v
mezinárodním obchodě, diplomacii apod.).
Je nutné okamžitě po skončení zaměstnání zaměstnanci vrátit nebo zlikvidovat všechny dokumenty z
osobního spisu, jejichž archivaci zákon nenařizuje?
Skončení pracovního poměru automaticky neznamená, že by zaměstnavatel měl osobní spis,
mzdovou složku a další údaje zaměstnance, vyjma povinně uchovávaných dokumentů, neprodleně
zlikvidovat. Kromě vedení mzdové a personální agendy je totiž dalším oprávněným účelem uchování
dokumentů možnost zaměstnavatele efektivně se bránit v případném sporu se zaměstnancem, např. o
určení neplatnosti výpovědi nebo povinnosti zaplatit zaměstnanci práci přesčas.
Není však nutné uchovávat některé písemnosti po dobu delší než tři roky, neboť promlčecí
lhůta je podle § 629 odst. 1 zákona č. 89/2012 Sb.,
občanský zákoník, tříletá. Podle § 630 občanského
zákoníku si strany mohou pro některé právní situace sjednat kratší nebo delší promlčecí lhůtu
počítanou ode dne, kdy právo mohlo být uplatněno poprvé, nejméně však v trvání jednoho roku a
nejdéle v trvání 15 let. Je-li kratší nebo delší lhůta ujednána v neprospěch slabší strany,
nepřihlíží se k ujednání. Nepřihlíží se ani k ujednání kratší promlčecí lhůty, jde-li o právo na
plnění vyplývající z újmy na svobodě, životě nebo zdraví nebo o právo vzniklé z úmyslného porušení
povinnosti.
Výše uvedené ale neznamená, že by mohl být osobní spis uchováván po tuto dobu v celém
rozsahu. Zaměstnavatel by měl při skončení pracovněprávního vztahu zlikvidovat ty dokumenty (údaje),
které by pro případný spor nepotřeboval. Je zjevné, že mezi uchovávané dokumenty nepatří např.
životopis nebo různá osvědčení, která zaměstnanec zaměstnavateli předložil v době trvání pracovního
poměru a která po jeho skončení pro zaměstnavatele ztratila relevanci. Takové dokumenty by měly být
zaměstnanci vráceny anebo prokazatelně zlikvidovány, neboť jen tak bude u posledně zmíněných
dokumentů naplněn § 5 odst. 1 písm. e) zákona o ochraně
osobních údajů, tedy, že správce (zaměstnavatel) je povinen uchovávat osobní údaje pouze po
dobu, která je nezbytná k účelu jejich zpracování.