Postřehy Úřadu pro ochranu osobních údajů, které se týkaly stížností zaměstnanců

Úřad pro ochranu osobních údajů (ÚOOÚ) v publikované výroční zprávě za rok 2022 mimo jiné popisuje závěry z kontrol, které se týkaly stížností zaměstnanců na možná porušení obecného nařízení o ochraně osobních údajů („GDPR“).

Dle publikovaných informací jsou poměrně časté stížnosti zaměstnanců na pochybení zaměstnavatelů jako správců spočívající v nevyřízení žádosti zaměstnance nebo bývalého zaměstnance související s výkonem jeho práv podle GDPR. Dle závěrů ÚOOÚ se pak nejčastěji jedná o žádosti subjektů údajů o výmaz.

Dle čl. 17 GDPR má subjekt údajů (zaměstnanec nebo bývalý zaměstnanec) právo na to, aby správce (zaměstnavatel) bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají. Správce má potom povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z důvodů předvídaných čl. 17 odst. 1 GDPR. Ve vztazích mezi zaměstnavateli a zaměstnanci bude relevantním důvodem pro žádost o výmaz zejména fakt, že osobní údaje subjektu údajů již nejsou potřebné pro účely, pro které byly správcem shromážděny nebo jinak zpracovány.

ÚOOÚ ve výroční zprávě shrnuje, že k nápravě pochybení v oblasti žádosti o výmaz ve většina případů stačilo upozornění správce ze strany úřadu. Zaměstnavatelé po takovém upozornění poskytli subjektu údajů odpověď, obvykle vysvětlili i původní důvod absence reakce na žádost a zaměstnanci se omluvili. Ze sdělení ÚOOÚ vyplývá, že v případě rychlé nápravy pochybení ze strany správců pak nepovažoval ÚOOÚ za nutné zahájit správní řízení.

Mezi další porušení, kterých se zaměstnavatelé podle ÚOOÚ dopouštěli, potom dle výroční zprávy patří např. nezrušení pracovní e-mailové schránky v případě ukončení pracovního poměru se zaměstnancem. V takovém případě ÚOOÚ kritizoval další zpracování osobních údajů v rozsahu e-mailové adresy, která obvykle obsahuje jméno a příjmení zaměstnance. Společně s doménou správce se potom jedná o osobní údaje vlastníka schránky, pro jejichž zpracování je třeba mít zákonný základ ve smyslu GDPR. V některých případech nedošlo ke zrušení e-mailové schránky bývalého zaměstnance kvůli nedbalosti na straně zaměstnavatele, jindy však ÚOOÚ zjistil cílené přesměrování e-mailů na jiné zaměstnance zaměstnavatele a pokračující monitoring, v jehož důsledku dle názoru ÚOOU docházelo i k porušování listovního tajemství. V takových případech ÚOOÚ správce upozorňoval na možná porušení GDPR a současně dotčené bývalé zaměstnance informoval o jejich právu na náhradu případné újmy.

Z popsaných závěrů vyplývá, že se ÚOOÚ poměrně často setkává se stížnostmi zaměstnanců, které se týkají plnění povinností zaměstnavatele jako správce na úseku GDPR. Lze shrnout, že je vždy dobré mít efektivní systém ochrany osobních údajů, jakož i mechanismus pro včasné poskytování reakcí na žádosti a stížnosti subjektů údajů o výkon práv v oblasti ochrany osobních údajů. Z kontrolní činnosti vyplývá, že se zaměstnavatelům v případech, kdy zajistili nápravu svých pochybení bezodkladně, podařilo vyhnout zahájení řízení. V případě, že obdržíte žádost nebo stížnost zaměstnance nebo bývalého zaměstnance v oblasti ochrany osobních údajů, je tedy vždy třeba na takovou žádost reagovat a zajistit, že jsou splněny všechny povinnosti zaměstnavatele dle GDPR.

Zdroj:

Výroční zpráva Úřadu pro ochranu osobních údajů za rok 2022