Ochrana osobních údajů v personální praxi Zdroj: Redakce

Ochrana osobních údajů v personální praxi

Téma GDPR je v poslední době velmi aktuální a diskutované, a to i ve spojení s pracovním právem či personalistikou, což je doména, které se věnuji od začátku své praxe v advokacii. Právě na propojení s oblastí personalistiky bych se rád v několika základních bodech zaměřil, a to za i pomoci stanovisek Úřadu pro ochranu osobních údajů (dále jen „Úřad“), která se zabývají nejen obecnými, ale i sektorovými výklady.

JUDr. David Borovec

JUDr. David Borovec

Advokát, BOROVEC LEGAL

JUDr. David Borovec

Advokát, BOROVEC LEGAL

Dnes proto například na webových stránkách Úřadu naleznete stanovisko, které se týká přímo zpracování osobních údajů na pracovišti, tedy toho, co řeší personální oddělení zaměstnavatelů. 

Uchazeči o zaměstnání a souhlas se zpracováním osobních údajů

Prvním z bodů, se kterým se zaměstnavatelé setkávají, je otázka náboru uchazečů o zaměstnání. Je to první disciplína, jíž se ve velkých firmách věnuje zpravidla vlastní recruitment oddělení, které musí řešit řadu otázek v oblasti zpracování dat. Problém nastává již zde, a to otázkou, zda a za jakých podmínek mohou být zpracovány osobní údaje uchazečů o zaměstnání. Už zde nastává problém, společnosti tendují k tomu, že nadužívají souhlasy ke zpracování osobních údajů, které by měly vždy zajistit, že zpracování bude validní a nikoliv rozporu se zákonem. Je třeba podotknout, že podle celkových analýz na úrovni EU, které vypracovávala Pracovní skupina 29, je až 80% zpracování osobních údajů podložitelných jinými právními tituly a účely a není proto nezbytně nutné chtít od subjektů údajů jejich souhlas. V momentě, kdy chceme souhlas, se totiž vystavujeme riziku, že bude kdykoli odvolán. To platilo i doposud, ale tím, že zákon č. 101/2000 Sb. nebyl v praxi do velké míry zaměstnavateli dodržován, nastává nyní překvapení a zjišťuje se, zda lidé budou či nebudou aplikovat svá práva. Je proto zbytečné k souhlasům přistupovat v míře nadbytečné. Právě v momentě, kdy se lidé ucházejí o zaměstnání, je potřeba odlišit ty situace, kdy se ucházejí o konkrétní pozici, neboť v takovém případě lze mít za to, že jsou srozuměni s tím, že pro účely daného výběrového řízení budou jejich osobní údaje zpracovávány. S tím je potom ovšem spojena další otázka, a to, zda si údaje zaměstnavatel bude moci uložit i do budoucna. Až v tomto momentě ale nastává potřeba vyžádat si od uchazeče souhlas se zpracováním i pro předem neurčený počet budoucích výběrových řízení. 

Zaměstnavateli ale nestačí chtít jakýkoli souhlas, neboť je potřeba souhlasu informovaného. Dotyčnou osobu proto musíme poučit o tom, jaké údaje budeme zpracovávat, například údaje z osobního dotazníku, referencí, podkladů o vzdělání apod. Výčet by měl být poměrně rozsáhlý. I Úřad sám si všiml toho, že zaměstnavatelé si často nad rámec údajů, které dostanou přímo od subjektu údajů, vedou sami sběr údajů o daném subjektu, zejména jedná-li se o uchazeče pro vyšší manažerskou pozici. Právě zde Úřad upozorňuje zaměstnavatele, aby byli střízliví ohledně zdrojů, ze kterých jsou data čerpána, a využívali dat, která pocházejí ze sítí a jsou profesního zaměření. I o tomto by měl být uchazeč výslovně informován. Stejně jako v momentě, kdy se dotyčný následně stane zaměstnancem a zaměstnavatel bude chtít propagovat svou společnost, vyzývá Úřad, abychom ozřejmili uchazeči to, že forma marketingu spočívá nejenom na publikačních zdrojích na vlastních webových stránkách společnosti, ale také na sociálních sítích, které mají být výslovně uvedeny. 

Zaměstnanci a GDPR

V rámci agendy personálního oddělení se zaměstnavatelé setkávají s GDPR také u samotných zaměstnanců, od okamžiku, kdy jsou nabíráni. Problematiku upravuje čl. 13 nařízení EU 2016/679 (GDPR). Zde lze konstatovat, že informační povinnosti vůči zaměstnanci jsou v zásadě stejné jako ty, které nám již ukládá zákon o ochraně osobních údajů. Mám za to, že velké množství povinností, které nařízení ukládá, už ve skutečnosti bylo realizováno a vloženo do našeho zákona. Je vždy na zaměstnavateli prokázat, že zaměstnanec byl poučen, o tom, jaké údaje a pro jaké účely potřebuje. Různé údaje můžeme totiž potřebovat pro různé účely. Například fotografie může být užita z bezpečnostních důvodů, kdy tato bude vyobrazena na služebním průkazu, ale může být využita i pro zveřejnění v organigramu společnosti na webových stránkách. Pak najednou tentýž osobní údaj již vyžaduje souhlas zaměstnance. Otázkou je také, kdo osobní údaje zpracovává. Zda tak činíme z vlastních zdrojů nebo jsou data předávána třetí straně. Například já jakožto klient jsem obdržel dopis od Pražské plynárenské, které jsem klientem, kde je výčet asi 40 dodavatelů, kterým byly sděleny moje osobní údaje. Pokud se k takové praxi budou velké společnosti uchylovat, bude se muset ve výsledku celý informační proces opakovat a znovu zasílat lidem změny dodavatelských listů. Podle mě by byla lepší praxe uvést návětí, kdo je poskytovatelem pracovně-lékařských služeb zaměstnanců, kdo zpracovává externě mzdové účetnictví apod., a to pouze k dnešnímu dni s tím, že případné změny budou uvedeny na intranetu, nástěnce nebo na jiném dostupném místě. Je ale potřeba si pohlídat to, aby byl skutečně zajištěn přístup všech zaměstnanců k daným informacím. Mnohdy se stává, že informaci zaměstnavatel vyvěsí na určitém místě, ale ve skutečnosti tam ne všichni zaměstnanci mají přístup, například tím, že prostě jen danou techniku ke své práci nevyužívají. 

Je důležité neopomenout zmínit konkrétní práva, která zaměstnancům vznikají. Nestačí totiž jako doposud odkázat v podstatě na zákon, nýbrž podle stanoviska Úřadu je správnou praxí skutečně konkrétní práva vyjmenovat, a to i s tím, že poskytovaný text se rozšíří. My jsme přistoupili k praxi, kdy firmám předáváme dvě formy poskytování informací. Jedna je odlehčená, která směřuje zaměstnancům na dělnických pozicích, kdy jsme vytvořili jen jednu stranu základních informací s tím, že jsme jim vysvětlili, kde je možno nalézt plné znění informací. V té souvislosti je diskutována otázka, zda by plná forma poskytování informace musela být vždy zaměstnancem podepsána. Domnívám se, že nikoli. Zaměstnavatelé mají sice povinnost prokázat, že informace zaměstnancům poskytli, avšak není nikde psáno, že by tak muselo být písemně. Vzhledem k tomu, že zaměstnavatel stejně od zaměstnanců potřebuje souhlas, například k marketingu, má možnost je v rámci souhlasu vyzvat k tomu, aby potvrdili a prohlásili, že byli informováni. Musí zde ale být graficky oddělen prostor, kdy zaměstnanci prohlašují, že byli informováni a kdy se jedná o udělení souhlasu. Tímto se může zredukovat i celý personální spis. Samotný souhlas by měl být svobodný. V návaznosti na doporučení Pracovní skupiny 29 zpochybňuje Úřad plošné udělování souhlasu v pracovních smlouvách, protože v momentě, kdy zaměstnavatel uzavírá s uchazečem pracovní smlouvu, dostává se uchazeč vlastně do podřízenosti a jeho souhlas nemusí být plně svobodný. Úřad dokonce ve svém stanovisku uvádí, že by takový souhlas nemusel být svobodný a pak jako by nebyl. Zaměstnavatel se tak vystavuje riziku, že by souhlas nebyl validní. Je proto lepší mít problematiku oddělenou a v pracovních smlouvách ji vůbec neřešit. 

Kromě uvedeného řeší zaměstnavatelé dále otázku osobního spisu zaměstnanců. Ten obsahuje veškeré písemnosti, které se daného pracovněprávního vztahu se zaměstnancem týkají. Většina firem vede osobní spis ve dvojí formě. Jedna je klasická listinná, druhá pak elektronická. V případě velkých korporací je navíc osobní spis sdílený, zejména se společností mateřskou. To může znamenat, že zaměstnavatel musí řešit nejen otázku obsahu osobního spisu, ale také otázku jeho zpracování a toho, kdo k němu má přístup. Záleží hodně na tom, jak budeme přiznávat pozici mateřské společnosti ve vztahu k přístupu k datům zaměstnanců. Mateřská společnost není zaměstnavatelem, nevykonává tuto roli v pracovněprávním vztahu a přístup k údajům zaměstnanců by mít neměla. Pokud se tak stane, mělo by se tak činit se souhlasem zaměstnanců, což v byznysu samozřejmě nejde. My proto slevujeme z požadavků, které nám evropské nařízení přináší, a spíše směřujeme na to, že budeme zaměstnance informovat o tom, že například z důvodu výkaznictví mateřská společnost potřebuje mít přístup alespoň k některým základním údajům.

Problematická místa

Pokud jde o mou zkušenost, největší chyby se objevují co do obsahu osobních spisů zaměstnanců. Podle rozhodnutí Úřadu je však vždy důležité hledisko přiměřenosti a účelu, pro který dané osobní údaje zpracováváme. Platí, že i když máme souhlas zaměstnance se zpracováním osobních údajů, pak ale, pokud Úřad dovodí, že účel byl nepřiměřený a bylo do práv zaměstnance zasaženo víc než by bylo z pohledu pracovněprávního vztahu vyžadováno, mohlo by to mít za následek posouzení zpracování v rozporu se zákonem, resp. nařízením. Je vždy potřeba podívat se na samotné dokumenty v osobním spise. Typickou problematikou jsou lékařské zprávy a posudky. Je potřeba si rozvrhnout, na co má zaměstnavatel právo. Určitě má právo archivovat si lékařské posudky o zdravotní způsobilosti zaměstnance k práci, ale když nám například zaměstnanci dávají do spisu lékařské zprávy jako podklad k rozhodnutí o jejich způsobilosti k invaliditě, je to už jiné. Zaměstnavateli v tomto případě z hlediska plnění povinností postačí posudek o tom, že zaměstnanec je invalidní, nepotřebuje už mít v archivu lékařské zprávy, které obsahují citlivé údaje. Je potřeba si rozvrhnout, zda lékařské dokumenty zaměstnance potřebujeme. Zase jiné je to v případě, kdy se zaměstnanci stane pracovní úraz nebo nemoc z povolání, kdy dokumentace je něco, co může deklarovat oprávněné zájmy zaměstnavatele. 

Další otázkou je uchovávání dokladů, kopií apod. Sám nechápu, proč je problém s uchováváním kopií, avšak stanovisko Úřadu je takové, že veškeré kopie by měly být skartovány, pokud nám opak neříká sám zákon. Už při náboru zaměstnance bychom sami náhledem do příslušných dokladů měli ověřit, zda údaje, které nám dotyčný sděluje, jsou platné. Specifická je také problematika výpisu z rejstříku trestů, neboť souvisí i s tím, zda na danou pozici je zaměstnavatel oprávněn mít požadavek bezúhonnosti. Až tehdy, je-li bezúhonnost dána zákonem, například u pracovníků v jaderných elektrárnách, pedagogických pracovníků nebo vyplývá-li to z povahy práce, pak zaměstnavatel musí odůvodněně ověřit, zda nabíraný zaměstnanec skutečně je bezúhonný. V opačném případě se ale jedná o nepřiměřený požadavek zaměstnavatele, čemuž by se měl vyhnout. Rád bych zde upozornil na občasný jev, kdy zaměstnavatel, který má v pořádku vedenou spisovou agendu, převezme v důsledku fúze část jiného zaměstnavatele společně se zaměstnanci a pak opomene provést revize i jejich spisů. Mnohdy se pak z jejich osobních spisů dozvíte, zda byli členy KSČ, zda byli v Junáku nebo jaký byl stav jejich chrupu. To ale není odůvodnitelné a není ani omluvou daného zaměstnavatele, že spisy pouze převzal, neboť on je odpovědný za to, že obsah spisů v přiměřené době dá do pořádku podle nařízení. 

Specifickou problematikou je také kamerový systém. Mineme otázku, kdy se jedná o zpracování osobních údajů, neboť tomu je zpravidla vždy, protože většinou se používá kamerový systém, který má záznamové zařízení, neboť jinak by byl těžko užit jako důkazní materiál. Je třeba se zaměřit na to, kde kamery jsou a kam míří. Občas se totiž můžete setkat s poměrně bizarními rozhodnutími, kdy například jeden nejmenovaný klient provozující hypermarkety, měl namířenou kameru svrchu na pokladní. Bylo to celkem logické, neboť kde jinde může dojít k odcizení zboží nebo k nesprávnému nakládání s finančními prostředky. Přesto zaměstnavatel obdržel od Úřadu poměrně vysokou pokutu s tím, že kamery jako takové jsou v pořádku, ale v tomto případě nepřiměřeně zasahovaly do soukromí konkrétních zaměstnanců – pokladních. Vznesli jsme pak na Úřad otázku, jak si to tedy představují. Bylo nám řečeno, že jedinou variantu, kterou nám Úřad dovolí, je instalovat kamery tak, aby nebyly zabírány hlavy pokladních a jejich těla. Museli jsme proto ke každé z 25 pokladen nainstalovat mikrokamery, které směrují pouze na prostor, kde prochází zboží a kde se nakládá s finanční hotovostí, což byla poměrně značná finanční investice. Dovoluji si tedy upozornit, že nejde jen o to, kde kamery jsou, ale také jak snímají. 

Kromě kontrolního mechanismu ze strany Úřadu pro ochranu osobních údajů může od 1. 7. 2017 kontrolu na úseku monitoringu pracoviště, sledování emailu a i provozu kamerového systému realizovat také inspekce práce. Znamená to, že jsou prohřešky pokutovatelné dvojím způsobem, od dvou orgánů, což je přitom v rozporu se zásadou zákazu dvojího trestání. 

Personalisté se také budou muset vypořádat s otázkou archivace a likvidace. Patrně budou většinou zaměstnavatelé vydávat archivační a skartační řád, kde definují daný proces. Zvyšuje se tlak na to, aby v momentě, kdy odpadne potřeba dál zpracovávat osobní údaje nebo zaměstnanec odvolá svůj souhlas, mohlo dojít k likvidaci osobních údajů. Přednost ale má, vyplývá-li povinná archivace ze zákona nebo z oprávněného zájmu zaměstnavatele. Zaměstnanec o tom ovšem musí být informován. Nabírá-li tedy zaměstnavatel zaměstnance, měl by být informován o tom, že jeho osobní spis bude po určitou dobu po skončení pracovního poměru archivován. Sám osobně doporučuji dobu 3-4 roky po skončení pracovního poměru, minimálně po dobu 3 let kvůli promlčení obecných nároků, pro které by mohl zaměstnanec zaměstnavatele žalovat. Uplyne-li daná doba, pak se záznam musí z osobního spisu vymazat. 

Nakonec bych rád uvedl příklad, kdy se nám stalo, že zaměstnanec dal souhlas s marketingovým zpracováním pro účely větší kampaně. Následně souhlas odvolal, pročež jsme byli povinni kampaň stáhnout a znovu přetočit, což nás stálo nemalou finanční investici. Proto jsme se rozhodli do budoucna poučovat zaměstnance o tom, že jejich souhlas je dobrovolný a mohou ho kdykoli odvolat, ale v takovém případě, bude-li souhlas odvolán bez ospravedlnitelného důvodu, budeme se domáhat náhrady způsobené škody, protože daný zaměstnanec dal souhlas dobrovolně a byl si vědom toho, k jakému projektu a za jakých okolností ho udílí.


Kongres Právní prostor 2018

Ve dnech 24. a 25. dubna 2018 se v Seči u Chrudimi konal již 8. ročník odborného kongresu Právní prostor. Záštitu nad kongresem převzal předseda Ústavního soudu JUDr. Pavel Rychetský a Česká advokátní komora.

Více informací o kongresu naleznete na http://www.kongrespravniprostor.cz/.

kongres pracovní právo GDPR Právní prostor 2018 personalistika

Diskuze k článku 0 komentářů

Všechny komentáře se zobrazí po vstupu do diskuze

Vstoupit do diskuze