Ostatní | Mgr. Lucie Demeterová & al | 03.10.2018

A zase to GDPR! Tentokrát poznatky z praxe a auditů aneb nejčastější chyby a jak jim předejít - část I. Zdroj: Fotolia

A zase to GDPR! Tentokrát poznatky z praxe a auditů aneb nejčastější chyby a jak jim předejít - část I.

Ochrana osobních údajů a soukromí fyzických osob, zejména dětí, je v dnešním světě plném nových technologií velmi důležitá. Obrovská vlna hysterie kolem Obecného nařízení o ochraně osobních údajů (GDPR), která se Českem prohnala a která je dle našeho názoru nedůvodná, však způsobila, že se velká část společností, které se dosud této problematice spíše vyhýbaly, či v lepším případě ji měly někde vzadu v povědomí, začala pod hrozbou vysokých pokut ochranou osobních údajů cíleně zabývat.

Mgr. Lucie Demeterová

Mgr. Lucie Demeterová

advokátka, DEMETER LEGAL, advokátní kancelář

Mgr. Lucie Demeterová

advokátka, DEMETER LEGAL, advokátní kancelář

Mgr. Kateřina Hakrová

Mgr. Kateřina Hakrová

advokátní koncipientka, DEMETER LEGAL, advokátní kancelář

Mgr. Kateřina Hakrová

advokátní koncipientka, DEMETER LEGAL, advokátní kancelář

Zdálo by se, že tím, jak tato hysterie utichá, můžete tuto problematiku opět odsunout. Opak je ale pravdou. Právě teď je totiž vhodná doba se s ochranou osobních údajů v klidu popasovat. K tomu Vám může napomoci i tento článek, ve kterém bychom se s Vámi rádi podělili o naše zkušenosti z provedených právních auditů ochrany osobních údajů a upozornili na nejčastější chyby, na které při nich naše advokátní kancelář naráží. Současně poradíme, jak těmto chybám předejít.

Nadbytečné užívání souhlasu

Začněme, jak jinak, nadbytečným užíváním souhlasu. Asi klasickým příkladem je ustanovení pracovní smlouvy či poslední věta pracovního dotazníku, kde zaměstnanec dává souhlas se zpracováním svých osobních údajů pro, například, mzdové účely. Podnikatelé se často vůbec nezabývají hledáním jiného právního titulu ke zpracování a volí souhlas jako zdánlivě správné a snadné řešení. Souhlas je však v tomto případě nesprávným právním titulem. Dle stanoviska Úřadu pro ochranu osobních údajů (dále „ÚOOÚ“) č. 3/2014 je vyžadování souhlasu se zpracováním osobních údajů protiprávní v případě, kdy správce tento souhlas nepotřebuje (a nepotřebuje jej v drtivé většině běžných případů). Podle názoru ÚOOÚ totiž takový postup fakticky znamená, že správce subjekt údajů nesprávně informuje. A my dodáváme, že to taktéž fakticky znamená, že daná společnost nemá vůbec přehled o právních titulech pro svá zpracování.

Doporučujeme tedy všem správcům, aby si rozdělili jednotlivé činnosti zpracování, které provádí, a k nim si přiřadili odpovídající právní titul dle GDPR (jednotlivé tituly najdete v článku 6 GDPR, v případě „citlivých“ osobních údajů v článku 9 GDPR). A přestože je souhlas jako právní důvod pro zpracování v GDPR uveden hned na prvním místě, používejte jej (nejen) v pracovněprávních vztazích, co nejméně. K důvodům blíže v části týkající se otisků prstů.

Porušení zásady minimalizace

Zásada minimalizace je jednou z hlavních zásad zpracování osobních údajů a je výslovně zakotvena v čl. 25 GDPR. Rozsah zpracovávaných osobních údajů musí být přiměřený, relevantní a omezený ve vztahu k účelům, pro které jsou zpracovávány. Z kontrolní činnosti ÚOOÚ vychází, že zaměstnavatelé nadbytečně zpracovávají informace například o tom, že je zaměstnanec voják, údaje manželky, přestože se nejedná o vyživovanou osobu, údaje o členství v odborech (pokud zaměstnavatel nesráží příspěvky pro odborovou organizaci), údaje kontaktní osoby bývalého zaměstnance apod. Projděte si tedy své dotazníky pro zaměstnance a ptejte se, zda všechny požadované údaje skutečně potřebujete. Dotazníky poté upravte tak, abyste od zaměstnance získali skutečně pouze nezbytné údaje. Náš tip: např. u kolonky "Údaje o manželce" přidejte poznámku – Vyplňte, pokud uplatňujete daňové zvýhodnění.

Dalším velmi častým pochybením je, že v pracovní smlouvě jsou kromě jména, data narození a bydliště, uvedeny i jiné údaje (např. kontakty, číslo občanského průkazu, rodné číslo apod.) a tyto jsou dále kopírovány do dotazníku, dohody o mzdě, dohody o srážkách ze mzdy a jiných dokumentů, které zaměstnavatel se zaměstnanci uzavírá. Dochází tak k nadbytečné duplicitě zpracování a zvýšení rizika jejich zneužití.

Tuto zásadu neprolomíte ani tím, že budete mít vše podloženo souhlasy. Není-li dané zpracování účelné, pak ani platný souhlas nezhojí porušení této zásady (narážíme zde na souhlasy, se kterými jsme se v praxi setkali, a které připomínají spíše známou hru „bingo“ než kvalifikovaný právní dokument, kde subjekt má zaškrtnout k čemu uděluje souhlas a má jej udělit ke všemu, co už reálně správce nadbytečně shromažďuje).  

Porušení zásady minimalizace – kopírování dokladů

Porušení zásady minimalizace spočívá také v tom, že zaměstnavatelé často kopírují osobní doklady zaměstnanců. Přitom zákaz pořizování kopií občanských průkazů a cestovních dokladů je dán výslovně zákonem.[1] U řidičských průkazů se doporučuje tyto nekopírovat, případně kopírovat jen tam, kde je to nezbytné, např. u řidičů z povolání. Vhodné opatření je také udělat jen částečnou kopii tak, aby nemohlo dojít ke zneužití dokladu. 

Ve smyslu § 316 zákoníku práce platí, že zaměstnavatel nesmí vyžadovat od zaměstnance informace, které bezprostředně nesouvisejí s výkonem jeho práce. Dejte tedy pozor, kdy například vyžadujete a ukládáte originály či kopie výpisů z Rejstříku trestů (nejde paušálně u všech), případně dokladů o vzdělání (je-li někdo zaměstnán například na pozici vrátný, není nezbytné o něm uchovávat kopii maturitního vysvědčení. My se domníváme, že v takovém případě nemusíte tento údaj vůbec evidovat).

Neplnění informační povinnosti

Článek 13 GDPR stanoví právo subjektu údajů na informace. Tomuto právu odpovídá povinnost správce mu tuto informaci poskytnout, a to v okamžiku, kdy osobní údaje získá. Zde by měl správce promyslet, jak s co nejmenší administrativní zátěží informovat všechny subjekty údajů o všech činnostech zpracování, které provádí. Přestože tato povinnosti byla dána i předchozí právní úpravou, v praxi je velmi časté, že správci tuto povinnost neplní.

Z našeho pohledu se jedná o povinnost porušovanou v nejvyšší míře zejména vůči zaměstnancům, kteří nebývají buďto informováni vůbec nebo zcela nesprávně. Velmi velký význam má informační povinnost např. při jakémkoliv monitoringu zaměstnanců (nejčastěji v případě kamerových systémů, GPS systémů apod.), kdy nesplněním této povinnosti se zaměstnavatel dopouští nejen porušení pravidel GDPR, ale rovněž i pravidel zákoníku práce, za něž mu hrozí nemalé pokuty od Státního úřadu inspekce práce.

Neexistence skartačních lhůt   

Každá činnost zpracování má své „datum spotřeby“. Jinými slovy, osobní údaje mohu zpracovávat pouze tehdy, pokud mi trvá účel, pro který tak činím a pokud mám k tomuto účelu právem aprobovaný důvod (právní titul). Je třeba projít jednotlivé činnosti zpracování a stanovit si u nich skartační lhůty s ohledem na účel, pro který osobní údaje zpracovávám. Zpracovávám-li osobní údaje na základě titulu plnění smlouvy, pak trvá po dobu smlouvy. Zpracovávám-li osobní údaje na základě titulu plnění právní povinnosti, pak musím hledat v právním předpisu, jak dlouho mám tyto osobní údaje zpracovávat. Zpracovávám-li osobní údaje na základě oprávněného zájmu, pak musím s ohledem na trvání mého oprávněného zájmu stanovit přiměřenou dobu (tuto je vhodné stanovit s trochou zdravého rozumu a s ohledem na praktické potřeby).

Druhou část článku si můžete přečíst zde.


[1]§15a odst. 2 zákona o občanských průkazech, § 2 odst. 3 zákona o cestovních dokladech.

GDPR

Diskuze k článku 0 komentářů

Všechny komentáře se zobrazí po vstupu do diskuze

Vstoupit do diskuze