Dne 25. května roku 2018 vstoupilo v účinnost „Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)“, které je v českém prostředí známé pod svou anglickou zkratkou jako „GDPR“ (dále v textu jen „nařízení“ či „GDPR“). V tomto článku se podíváme, jakým způsobem se nařízení dotkne zaměstnavatelů ve vztahu ke svým zaměstnancům, a to vzhledem k zásadě transparentnosti a zákonnosti.
GDPR a zaměstnanci - 1. část
Mgr.
Marek
Martinka,
advokát
Martinka Partners, advokátní kancelář
Ochrana zaměstnance
Obecně v pracovněprávních vztazích je zaměstnanec jako slabší strana chráněn. Proto nepřekvapí, že určitá specifika vyplývají i pro zpracování jeho osobních údajů. Správně nastavit interní procesy je velmi důležité, neboť již doposud značné zastoupení zaměstnanců (či bývalých zaměstnanců) mezi stěžovateli u Úřadu na ochranu osobních údajů pravděpodobně s novým předpisem slibujícím zvýšení správních sankcí ještě vzroste.
Cílem GDPR je ochrana soukromí fyzických osob v souvislosti s nakládáním s jejich daty. Takové nakládání ale musí mít povahu zpracování, což je kvalifikovaná kategorie operací s osobními údaji. GDPR se zčásti kryje s ochranou osobnosti dle občanského zákoníku. S ohledem na princip
ultima ratio
bude mít v takových případech úprava ochrany osobnosti přednost. To platí kupříkladu u pořizování a uveřejnění fotografií z firemních akcí. Při zpracovávání osobních údajů je každý správce povinen dodržovat základní principy dané GDPR, zejména zpracovávat pouze na základě zákonného důvodu, být korektní a transparentní, zpracovávat pouze nezbytně nutná data a po nezbytně nutnou dobu, zpracovávat pouze přesné osobní údaje či dbát na technické zabezpečení dat.
Princip transparentnosti
Významný praktický dopad bude mít zásada transparentnosti. Tu lze právně nejjistějším způsobem realizovat tak, že na pracovišti budou dostupné písemně vypracované zásady zpracování osobních údajů. Případně se včlení do pracovní smlouvy informace o zpracování, která může být rovněž předána zaměstnanci separátně. Výčet povinně sdělovaných informací je obsažen v čl. 13 GDPR, a jsou jimi mj. totožnost správce, kontakt na pověřence pro ochranu osobních údajů (je-li ustaven), účel zpracování a právní základ, oprávněný zájem správce nebo třetí strany (je-li zpracování opřeno o tento právní základ), informace o příjemcích údajů či o právech subjektů údajů. Zásada transparentnosti se však promítá i do povinnosti zaměstnavatele sdělit zaměstnanci, jaké údaje o něm zaměstnavatel sbírá, a to včetně používaných technologií.
Princip zákonnosti
Také zákonnost zpracování osobních údajů je jednou ze stěžejních zásad. Tento aspekt je vhodné zanalyzovat už jen z toho důvodu, že různé zákonné důvody s sebou přinášejí odlišná související práva či další důsledky. GDPR plně přejímá všechny zákonné důvody jako jemu předcházející právní předpisy, úplný výčet je v čl. 6 GDPR.
Základně se zpracování osobních údajů bude opírat o plnění smlouvy, kterou je smlouva pracovní, ale patří sem případně i dohoda o provedení práce či dohoda o pracovní činnosti. Na právní vztahy s pracovníky na volné noze (tzv. ičaři) je v našem právním prostředí nahlížet prizmatem obchodněprávním, nikoli pracovněprávním; jinými slovy je nutno k těmto pracovníkům přistupovat jako k jakýmkoli jiným obchodním partnerům. Je však možné nastavit zpracování jejich údajů obdobně jako u zaměstnanců. Takové zpracování dat bude souviset např. s výplatou mezd apod.
V pracovněprávních vztazích se jednoznačně uplatní také zákonem stanovená povinnost zpracovat určité osobní údaje. Je tomu tak např. při plnění daňových povinností nebo mzdového účetnictví.
Dalším zákonným důvodem, který se v praxi může uplatnit, je tzv. oprávněný zájem zaměstnavatele. V tomto případě je však na zaměstnavatele kladen důraz, aby zvážil, zda je takové zpracování proporcionální s ohledem na jeho podnikatelské potřeby, čili mělo by skutečně sloužit vytyčenému účelu a rovněž by mělo být v rovnováze s právy a svobodami zaměstnanců, což by měl zvláštním opatřením zaměstnavatel zajišťovat. Zaměstnavatel je povinen si předem zhodnotit, zda neexistuje jiná méně invazivní metoda vedoucí ke stejnému účelu. Je třeba mít rovněž na paměti, že zaměstnanci mají u tohoto zákonného důvodu zpracování právo vznést námitky, přičemž i o tomto právu musí být zaměstnavatelem předem informováni.
Typickým příkladem může být monitoring na pracovišti. Do určité míry je oprávněný, neboť zaměstnavatel má bezesporu právo chránit svůj majetek, nicméně je třeba šetřit právo na soukromí zaměstnance. Doporučuje se proto limitovat jej prostorově (zabírat kamerou pouze určitá místa, nikdy ne toalety, šatny apod., nesbírat geolokační údaje při soukromém pohybu zaměstnance), datově (nikdy nesledovat soukromou korespondenci zaměstnance) či časově (zavádět spíše namátkové kontroly než pravidelné).
Velmi rozšířenou představou je, že ke zpracování osobních údajů je vždy nutný souhlas subjektu údajů. Jak je zřejmé z předchozího textu, souhlas je jen jedním z vícero právních základů pro zpracování. Dokonce lze říci, že zpracování na základě souhlasu je méně časté. V zaměstnání by pak mělo platit, že souhlas se zpracováním bude zaměstnanec udílet jen ve výjimečných případech, a to navzdory v praxi poměrně obvyklému, avšak nesprávnému zařazování souhlasu přímo do textu pracovní smlouvy. Souhlas musí být vždy poskytnut svobodně a musí být kdykoli odvolatelný. Pokud toto nelze garantovat, je třeba se opřít o jiný právní základ pro zpracování. Je proto jasné, že jen málokdy bude využití souhlasu pro zaměstnavatele praktické. Souhlas lze použít třeba pro vstup na pracoviště na základě biometrických údajů (např. otisk prstů), pokud je zajištěn i jiný způsob vstupu pro případ neudělení či odvolání souhlasu.
V další části tohoto článku, která vyjde v příštím čísle, se podíváme na zpracování osobních údajů zaměstnanců na pracovišti z pohledu běžných interních procesů a užívání majetku zaměstnavatele jednotlivými zaměstnanci.
GDPR a zaměstnanci - 2. část