Osobní údaje v pracovněprávních vztazích - Změní se něco podle GDPR

Ing. Alena Chládková

Vydáno: 36 minut čtení

Dne 25. 5. 2018 nabývá účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Veřejnosti je známo z denního tisku i odborných článků pod uváděnou anglickou zkratkou GDPR - General Data Protection Regulation. Od uvedeného data nařízení nahradí valnou část právní úpravy obsažené nyní v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Tento zákon bude zrušen a nahrazen novým zákonem o zpracování osobních údajů (vládní návrh je v současné době ve schvalovacím procesu), který bude upravovat dále organizaci a činnost Úřadu pro ochranu osobních údajů (ÚOOÚ) jako státního dozorového orgánu a některé záležitosti ochrany osobních údajů, které nejsou zmíněným nařízením konkretizovány nebo je jím umožněno upravit je na vnitrostátní úrovni.

Jedním z cílů tohoto článku je ujistit personalisty a mzdové účetní, kteří v rámci vedení personální agendy, pod kterou zahrnujeme i oblast mezd a platů, zpracovávají spoustu osobních údajů zaměstnanců, že v jejich práci k žádné „revoluci“ nedojde, jak jsme se mnohde mohli dočíst a označuje to za omyl na svých stránkách (www.uoou.cz) i Úřad pro ochranu osobních údajů. Ovšem za předpokladu, že důsledně dodržují současně platný zákon o ochraně osobních údajů, který je v účinnosti již od 1. června 2000. Od stejného data působí jako státní dozorový orgán zmíněný Úřad pro ochranu osobních údajů a žádný „nový“ dozorový úřad zřízen nebude.

Hlavním cílem je pomoci „zmapovat“ osobní údaje potřebné v oblasti pracovněprávních vztahů. To je uvést a uvědomit si, na základě čeho a jaké osobní údaje zjišťujeme, zda je k tomu zákonný důvod, jak s těmito údaji nakládáme a jak je máme chránit. I v souvislosti s novým „obecným nařízením“ EU, jak budeme „GDPR“ dále česky nazývat.

Právní úprava

  • nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
  • zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů
  • zákon o zpracování osobních údajů - vládní návrh je ve schvalovacím procesu
  • zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změnách některých zákonů (zákon o evidenci obyvatel)
  • zákon č. 198/2009 Sb., o rovném zacházení a o právních prostředcích ochrany před diskriminací a o změně některých zákonů (antidiskriminační zákon)
  • zákon č. 435/2004 Sb., o zaměstnanosti
  • zákon č 262/2006 Sb., zákoník práce
  • zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení
  • zákon č. 187/2006 Sb., o nemocenském pojištění
  • zákon č. 586/1992 Sb., o daních z příjmů
  • zákon č. 280/2009 Sb., daňový řád
  • zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů
  • zákon č. 563/1991 Sb., o účetnictví

Zásady dle zákona o ochraně osobních údajů a obecného nařízení EU

Zásady zpracování osobních údajů uvádí obecné nařízení (dále jen ON) v článku 5 a korespondují s dosavadní právní úpravou obsaženou nyní v zákoně o ochraně osobní údajů (dále jen ZOOÚ).

Osobní údaje musí být:

  1. ve vztahu k subjektu údajů zpracovány korektně a zákonným a transparentním (to je jasným a subjektu údajů srozumitelným) způsobem,
  2. shromažďovány pro určité, výslovně vyjádřené a legitimní účely,
  3. přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány,
  4. přesné a v případě potřeby aktualizované,
  5. uloženy ve formě umožňující identifikaci subjektu údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány (po dobu delší se ukládají pro účely archivace, statistické apod.),
  6. zpracovány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

Tyto zásady je povinen dodržovat správce osobních údajů, což je v pracovněprávním vztahu zaměstnavatel. Pokud zaměstnavatel využívá na základě smlouvy pro zpracování personální agendy externího zpracovatele (např. externí účetní firmu či mzdovou účetní), je tento rovněž povinen řídit se těmito zásadami.

Subjektem osobních údajů je v pracovněprávním vztahu zaměstnanec. Tento je oprávněn být o osobních údajích, které jsou o něm zpracovávány zaměstnavatelem, informován (ostatně je zaměstnavateli sám poskytuje), stejně jako s účelem zpracování těchto údajů.

Shrnutí pro praxi

  • Zjišťujeme pouze takové osobní údaje a v takovém rozsahu, které v daném okamžiku potřebujeme ve vztahu k účelu, k jakému budou zpracovány.
  • Dodržujeme náležitou ochranu zpracovávaných osobních údajů, kterou je povinen (technicky) zajistit a jejíž zásady a pravidla má stanovit zaměstnavatel. Zaměstnanci zaměstnavatele přicházející do styku s osobními údaji jsou povinni dodržovat pravidla ochrany stanovená a veřejně deklarovaná zaměstnavatelem. V rámci ochrany osobních údajů je důležité i pravidlo mlčenlivosti.
Poznámka:

V současném ZOOÚ je mlčenlivost zakotvena v § 15, nebylo tedy třeba ji sjednávat. V ON ani v návrhu zákona není, což by znamenalo, že k ní musíme uvedené zaměstnance zavázat.

Zákonnost

Článek 6 ON upravuje zákonnost zpracování. Rovněž zde nedochází ke změnám oproti současnému ZOOÚ.

Abychom mohli zpracovávat osobní údaje, musí být splněna nejméně jedna z následujících podmínek:

  • subjekt udělil souhlas se zpracováním svých osobních údajů,
  • zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy,
  • zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů.

Shrnutí pro praxi

  • U zaměstnanců zjišťujeme a zpracováváme především osobní údaje dle písmene c), to jsou osobní údaje nezbytné pro splnění právní povinnosti, která se na zaměstnavatele vztahuje - např. na základě zákonů v oblasti daně z příjmů, sociálního, nemocenského, důchodového a zdravotního pojištění, zákoníku práce, zákona o zaměstnanosti apod. Ke zpracování těchto údajů nežádáme souhlas zaměstnance.
  • Údaje dle písmene b) to je údaje nezbytné pro splnění smlouvy (v pracovněprávních vztazích je to například pracovní smlouva, dohoda o provedení práce, dohoda o pracovní činnosti, dohoda o odpovědnosti za svěřené hodnoty...). Ke zpracování těchto údajů nežádáme souhlas zaměstnance.
  • Údaje, které jsou nezbytné pro účely oprávněných zájmů zaměstnavatele (např. údaj o trestní bezúhonnosti, kamerové systémy apod. - vždy jen v odůvodněných případech). Ke zpracování těchto údajů netřeba souhlasu zaměstnance.
  • Údaje na základě souhlasu zaměstnance zjišťujeme a zpracováváme v jiných případech než výše uvedených k účelům výslovně uvedeným a na základě svobodného doloženého písemného prohlášení zaměstnance. Zaměstnanec může svůj souhlas kdykoliv odvolat, o čemž musí být před udělením souhlasu informován.

Zpracování zvláštních kategorií osobních údajů

Dle čl. 9 ON se zakazuje zpracování tzv. citlivých údajů, což jsou osobní údaje, které vypovídají o:

  • rasovém či etnickém původu,
  • politických názorech,
  • náboženském vyznání či filozofickém přesvědčení,
  • členství v odborech

a údaje

  • genetické,
  • biometrické za účelem jedinečné identifikace fyzické osoby,
  • zdravotním stavu,
  • sexuálním životě,
  • sexuální orientaci.

Tento zákaz se nepoužije, pokud jde o některý z těchto případů:

  • subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů,
  • zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je to povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu,
  • zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas,
  • zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, a za podmínky že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto osobní údaje nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt,
  • zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
  • zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí,
  • zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů,
  • zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva Unie nebo členského státu nebo podle smlouvy se zdravotnickým pracovníkem,
  • zpracování je nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví,
  • zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.

Shrnutí pro praxi

  • V praxi zaměstnavatele přichází v úvahu zpracovávání údajů dle písmene b), což je zpracování nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, na který se zákaz zpracování nevztahuje, a nepotřebujeme k nim souhlas zaměstnance - např. v oblasti zaměstnávání povinného podílu osob se zdravotním postižením dle zákona o zaměstnanosti nebo z důvodu ochrany odborových funkcionářů dle zákoníku práce.
  • Pokud je zaměstnavatelem nadace, sdružení nebo jiný neziskový subjekt, mohlo by jít i u zaměstnanců o údaje dle písmene d).
  • V odůvodněných případech lze postupovat i podle písmene a), tudíž se souhlasem zaměstnance pro konkrétní stanovený účel.
Poznámka:

Údaj o zdravotní způsobilosti k práci („způsobilý“, „nezpůsobilý“) není citlivým osobním údajem. Písmeno h) se týká poskytovatelů pracovnělékařských služeb, nikoliv zaměstnavatele.

Osobní údaje dle zákona o zaměstnanosti a zákoníku práce

Zákaz diskriminace

Jak zákon o zaměstnanosti (§ 4 odst. 2), tak zákoník práce (§ 16 odst. 2) zakazují diskriminaci fyzických osob při uplatňování práva na zaměstnání, resp. v pracovněprávních vztazích. Oba přitom odkazují na speciální právní předpis, kterým je antidiskriminační zákon. Tento zákon blíže vymezuje právo na rovné zacházení a zákaz diskriminace mj. ve věcech práva na zaměstnání a přístupu k zaměstnání a ve věcech pracovního poměru nebo jiné závislé činnosti včetně odměňování. Zákon vymezuje několik základních pojmů, především pak přímou nebo nepřímou diskriminaci.

Přímou diskriminací se rozumí takové jednání, včetně opomenutí, kdy se s jednou osobou zachází méně příznivě, než se zachází nebo zacházelo nebo by se zacházelo s jinou osobou ve srovnatelné situaci, a to z důvodu: rasy, etnického původu, národnosti, pohlaví (naplněním tohoto diskriminačního důvodu je též diskriminace z důvodu těhotenství, mateřství nebo otcovství a z důvodu pohlavní identifikace), sexuální orientace, věku, zdravotního postižení, náboženského vyznání, víry či světového názoru.

Nepřímou diskriminaci vymezuje zákon jako takové jednání nebo opomenutí, kdy na základě zdánlivě neutrálního ustanovení, kritéria nebo praxe je z některého z výše uvedených důvodů osoba znevýhodněna oproti ostatním. Nepřímou diskriminací není, pokud toto ustanovení, kritérium nebo praxe je objektivně odůvodněno legitimním cílem a prostředky k jeho dosažení jsou přiměřené a nezbytné.

Proces práce s osobními údaji před vznikem, při vzniku a za trvání pracovního poměru

Údaje při výběru zaměstnanců

Dle ustanovení § 12 odst. 2 zákona o zaměstnanosti nesmí zaměstnavatel vyžadovat při výběru zaměstnanců: informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace, není-li jejich vyžadování v souladu s antidiskriminačním zákonem (viz výše), informace, které odporují dobrým mravům, a osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem; na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje.

Shrnutí pro praxi

  • Zaměstnavatel nesmí vyžadovat informace a údaje uvedené v ustanovení § 12 odst. 2 zákona o zaměstnanosti.
  • Zaměstnavatel musí naopak zjistit informace a údaje, které potřebuje k plnění svých povinností stanovených zvláštním právním přepisem (např. státní příslušnost pro plnění povinností vyplývajících pro zaměstnávání zaměstnanců ze zahraničí, dosaženou kvalifikaci, pokud je stanovena právním předpisem jako předpoklad pro výkon práce apod.)
  • Zaměstnavatel může zjišťovat informace a údaje, které si sám stanoví pro posouzení plnění svých oprávněných požadavků pro řádný výkon práce. Nesmí jít ale o údaje, které odporují dobrým mravům nebo na základě kterých by mohlo dojít k diskriminaci uchazeče o zaměstnání.
Poznámka:

O porušení výše uvedeného ustanovení zákona o zaměstnanosti půjde ze strany zaměstnavatele pouze v případě, že „zakázané“ údaje skutečně vyžaduje (například v osobním dotazníku), nikoli v případě, že je (budoucí) zaměstnanec zaměstnavateli sám sdělí (např. ve svém životopisu).

Dle § 30 odst. 2 zákoníku práce zaměstnavatel smí vyžadovat v souvislosti s jednáním před vznikem pracovního poměru jen údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy.

Údaje při uzavírání a za trvání pracovního poměru

Co lze a co nelze vyžadovat od zaměstnanců, vymezuje zákoník práce ve svém ustanovení § 316 odst. 4. Základní pravidlo zní, že zaměstnavatel nesmí vyžadovat od zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem. Nesmí vyžadovat informace zejména o: těhotenství, rodinných a majetkových poměrech, sexuální orientaci, původu, členství v odborové organizaci, členství v politických stranách nebo hnutích, příslušnosti k církvi nebo náboženské společnosti a trestněprávní bezúhonnosti.

Pro informace o těhotenství, rodinných a majetkových poměrech a trestněprávní bezúhonnosti tento zákaz neplatí v případě, jestliže je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, nebo v případech, kdy to stanoví zákoník práce nebo zvláštní právní předpis.

Výše uvedené informace nesmí zaměstnavatel získávat o zaměstnancích ani prostřednictvím třetích osob.

Shrnutí pro praxi

  • Zaměstnavatel nesmí vyžadovat údaje uvedené v ustanovení § 316 odst. 4 zákoníku práce, (s odůvodněnými výjimkami spočívajícími v charakteru práce zaměstnance či poslání zaměstnavatele).
  • Zaměstnavatel musí naproti tomu zjistit údaje, které slouží k plnění povinností stanovených zvláštními právními předpisy (např. zákonem o zaměstnanosti, zákoníkem práce a prováděcími právními předpisy, právními předpisy z oblasti nemocenského pojištění, důchodového pojištění, zdravotního pojištění, daně z příjmů apod.). Ke zpracování těchto údajů nepotřebuje souhlas zaměstnance.
  • Zaměstnavatel může zjišťovat údaje nezbytné k ochraně svých oprávněných zájmů - k těmto nepotřebuje souhlas zaměstnance - případně pro účely marketingu, péče o zaměstnance apod. (např. zveřejňování kontaktu a fotografií na webových stránkách, zveřejňování jubileí zaměstnanců v rámci zaměstnavatele apod.) - ke zpracování těchto údajů potřebuje výslovný, odvolatelný a časově omezený souhlas zaměstnance.

Rodné číslo

Zákon o ochraně osobních údajů žádný zvláštní režim pro rodné číslo nestanoví ani ho neuvádí mezi citlivými údaji. Pravidla pro jeho využívání jsou obsažena v zákoně o evidenci obyvatel, konkrétně v ustanovení § 13c odst. 1. Využití rodného čísla je striktně vymezeno zákonnými důvody. Pro potřeby zaměstnavatele přicházejí v úvahu důvody spočívající v tom, že:

  • tak stanoví zvláštní zákon nebo
  • se mu od nositele rodného čísla nebo jeho zákonného zástupce dostane souhlasu s využitím rodného čísla.

Zvláštními zákony jsou např. zákony upravující nemocenské pojištění, důchodové pojištění, zdravotní pojištění, zdaňování příjmů a další. Tyto zákony stanoví zaměstnavateli povinnost uvádět rodné číslo např. na evidenčním listu důchodového pojištění, ve vztahu k nemocenskému pojištění apod. Zaměstnavatel je tedy povinen rodné číslo zaměstnance zjistit a ten je povinen mu ho poskytnout. Využívat takto poskytnutého rodného čísla je však zaměstnavatel oprávněn pouze v případech jednoznačně stanovených právními předpisy. V jiných případech ho může využívat jen na základě souhlasu zaměstnance.

Výčet osobních údajů pro zpracování personální agendy

V jedné ze svých výročních zpráv v minulých letech Úřad pro ochranu osobních údajů zpracoval i seznam osobních údajů, které jsou důležité pro plnění povinností zaměstnavatele, a zaměstnavatel má právo je zpracovávat.

  • Pro identifikaci zaměstnance při nástupu do zaměstnání a pro uzavření pracovní smlouvy (jmenování): jméno a příjmení, datum a místo narození a místo trvalého pobytu.
  • Pro evidenční listy důchodového pojištění (ELDP): datum a místo narození, všechna dřívější příjmení, rodné číslo a místo trvalého pobytu.
  • Byl-li občan účasten důchodového pojištění v cizině a zaměstnavatel je jeho prvním zaměstnavatelem po ukončení důchodového pojištění v cizině, pak také údaj o názvu a adrese cizozemského nositele pojištění a cizozemském čísle pojištění.
  • Pro správný výpočet mzdy (platu): vzdělání a předchozí praxe.
  • Pro správný výpočet měsíčních záloh na daně: druh pobíraného důchodu.
  • Pro zjištění přesného data nároku na odchod do starobního důchodu: počet vychovaných dětí (u žen).
  • Pro plnění povinného podílu osob se zdravotním postižením: zdravotní znevýhodnění.
  • Pro placení zdravotního pojištění: zdravotní pojišťovna, u které je zaměstnanec pojištěn.
  • Za účelem hlášení zaměstnávání cizinců: státní občanství.
  • K prohlášení poplatníka daně z příjmů: pokud zaměstnanec uplatňuje daňové zvýhodnění a manžel/ka je zaměstnán/a, tedy příjmení a jméno manžela/ky, název a adresa zaměstnavatele, pokud zaměstnanec uplatňuje daňové zvýhodnění na vyživované dítě, nutně jméno, příjmení a rodné číslo dítěte.

Výše uvedený výčet není vyčerpávající. Určitě bychom mohli doplnit i některé další zjišťované údaje na základě plnění povinností vyplývající z právních předpisů, např. pro účely daně z příjmů včetně ročního zúčtování, údaje pro účely srážek ze mzdy dle občanského soudního řádu, údaje dle zákona o nemocenském pojištění (týká se i osobních údajů rodinných příslušníků pro účely např. otcovského či ošetřovného) apod.

Řada údajů se zjišťuje až v průběhu trvání pracovního poměru v konkrétních situacích, mnohé údaje se zpracovávají průběžně formou sestav při měsíčním vyúčtování mezd a platů. Není cílem a smyslem tohoto článku je vyjmenovávat - ostatně ani v této oblasti se nic nemění.

Forma zjišťování a uchovávání osobních údajů

Osobní údaje od uchazečů o zaměstnání a zaměstnanců zjišťujeme přímo, nikdy ne prostřednictvím třetích osob. A to většinou formou vlastního (firemního) osobního dotazníku a v konkrétních případech vyplněním tiskopisů stanovených právním předpisem (např. Prohlášení poplatníka daně z příjmů fyzických osob ze závislé činnosti). Jde o formu písemnou, kde pravdivost uvedených údajů stvrdí subjekt údajů svým podpisem.

Osobní dotazník

Žádný právní předpis nestanoví povinnost zaměstnavatele zjišťovat potřebné údaje formou osobního dotazníku, tudíž ani nestanoví vzor nebo obsah takového dokumentu. V praxi se osobní dotazníky používají jako přehledná a jednotná forma získání potřebných osobních údajů.

Není možné používat stejný osobní dotazník pro uchazeče o zaměstnání a pro zaměstnance, se kterým je už uzavírán pracovní poměr. Od uchazeče o zaměstnání potřebuje zaměstnavatel znát pouze údaje potřebné pro posouzení jeho vhodnosti coby kandidáta na obsazení konkrétního pracovního místa. Naproti tomu od zaměstnance je třeba si vyžádat řadu osobních údajů, které slouží k plnění povinností vyplývajících zaměstnavateli z různých právních předpisů.

Obvykle se do osobního dotazníku zahrnují následující údaje.

U uchazečů o zaměstnání

  • základní osobní údaje, jako jsou jméno, příjmení, titul a další kontaktní údaje, které se uchazeč rozhodne poskytnout, např. adresu, telefon, e-mailovou adresu apod.,
  • státní příslušnost,
  • údaje o dosažené kvalifikaci ve vztahu ke konkrétnímu pracovnímu místu,
  • další údaje, které by mohly mít vliv na posouzení vhodnosti konkrétního zájemce.

Je třeba se vyvarovat požadování údajů citlivých a údajů, na základě kterých by mohlo dojít k diskriminaci fyzické osoby. Tyto údaje je možné vyžadovat, jen pokud jsou nezbytné pro výkon požadované práce (např. těhotenství, jestliže jde o práci, která je zakázaná těhotným ženám).

Pokud zaměstnavatel vyžaduje životopis, mělo by jít o životopis profesní s údaji týkajícími se způsobilosti k výkonu požadované práce. Stává se, že uchazeč o zaměstnání pošle zaměstnavateli z vlastní iniciativy podrobný životopis obsahující řadu pro zaměstnavatele nepotřebných osobních údajů včetně citlivých. Jak bylo poznamenáno výše, v tomto případě zaměstnavatel neporušuje právní předpis, protože tyto údaje nevyžadoval. Nesmí však tyto nepotřebné údaje zpracovávat a využívat.

Upozornění: Uchazečům o zaměstnání, kteří ve výběrovém řízení neuspěli, a nebyli tak přijati do pracovního poměru, je třeba dokumenty s osobními údaji vrátit, případně je zlikvidovat. Pokud by si zaměstnavatel chtěl osobní údaje některých uchazečů vést v databázi zájemců o zaměstnání, mohl by takto učinit jen s jejich souhlasem (většinou v praxi na jejich žádost) z důvodu případného jednání o uzavření pracovní smlouvy v budoucnu.

U zaměstnanců

  • jméno, příjmení, titul, rodné jméno, dřívější jména (pro evidenční list)
  • datum a místo narození, rodné číslo
  • bydliště
  • údaje o dosažené kvalifikaci
  • údaje o praxi, pokud je to potřebné
  • dobu, po kterou zaměstnanec vykonával vojenskou základní (náhradní) nebo civilní službu
  • dobu mateřské (případně další mateřské nebo rodičovské) dovolené, pokud je to potřebné
  • údaj o tom, zda občan pobírá důchod, druh důchodu, číslo rozhodnutí o pobírání důchodu
  • údaj o tom, zda je osobou se zdravotním postižením
  • údaj o zdravotní pojišťovně, u které je zaměstnanec pojištěn.

U všech údajů, které zaměstnavatel po zaměstnanci požaduje, musí zaměstnavatel (personalista, mzdová účetní) vědět, na základě čeho a k jakému účelu tento údaj potřebuje, a na požádání zaměstnanci tuto skutečnost sdělit.

Poznámka:

Na mnoha místech lze zakoupit vzorový dokument označený jako „Osobní dotazník“. Protože žádný předepsaný vzor neexistuje, je nutné tyto dokumenty chápat pouze jako pomůcky (bohužel mnohdy v rozporu s právními předpisy, pokud jde o rozsah vyžadovaných informací). Je důležité vytvořit si vlastní osobní dotazníky „šité na míru“ konkrétnímu pracovnímu místu.

Osobní spis

Vedení personální agendy je založeno na množství informací o zaměstnanci, které musí personalista shromáždit, ověřit, aktualizovat a případně archivovat. Jedná se například o základní osobní údaje zaměstnance, informace o vzdělání, praxi, současném pracovním poměru a další. Řada těchto informací se pomocí výpočetní techniky ukládá do osobního informačního systému zaměstnavatele, kde jsou průběžně aktualizovány a archivovány. I přes existenci výpočetní techniky je třeba některé informace zdokladovat a doklady mít uložené v písemné formě. Z toho důvodu se zakládá pro každého zaměstnance osobní spis. Tomu odpovídá i znění zákoníku práce, který ve svém § 312 odst. 1 dává zaměstnavateli oprávnění (nikoliv povinnost) vést osobní spis zaměstnance. Osobní spis smí přitom obsahovat jen písemnosti, které jsou nezbytné pro výkon práce v pracovněprávním vztahu.

Osobní spis zakládá personalista zpravidla již před vznikem pracovního poměru (za předpokladu, že pracovní poměr skutečně vznikne) a vede ho po celou dobu jeho trvání (to znamená, že do něho ukládá veškeré změny a další doklady). Při skončení pracovního poměru je zaměstnavatel povinen vydat zaměstnanci potvrzení o zaměstnání. Měl by mu vedle toho vydat rovněž ty písemnosti z osobního spisu, které nemusí mít po skončení pracovního poměru zarchivovány na základě právních předpisů ani je nepotřebuje na ochranu svých práv nebo právem chráněných zájmů (např. jako důkazní prostředek k případnému soudnímu sporu).

Obsah osobního spisu

Žádný obecně závazný právní předpis nestanoví povinnost vedení osobních spisů a tím pádem ani jejich náležitosti. Různé právní předpisy ukládají zaměstnavateli vedení řady evidencí o zaměstnanci a praxe si tudíž existenci osobních spisů vyžádala. Do osobního spisu se zakládají

  • doklady, které jsou nutné pro splnění povinností zaměstnavatele vyplývající z příslušných právních předpisů (především pracovněprávních, případně daňových, o sociálním zabezpečení, důchodovém, nemocenském nebo zdravotním pojištění, apod., pokud nejsou založeny samostatně), a dále
  • doklady, které si zaměstnavatel sám stanoví pro účely personálního řízení.

Nahlížení do osobního spisu

Osobní spis zaměstnance slouží pouze pro interní potřebu zaměstnavatele. Zaměstnavatel proto odpovídá za manipulaci s osobními údaji v něm obsaženými v souladu se zásadami ochrany osobních údajů.

Důležité je v této souvislosti právo nahlížet do osobního spisu. Toto právo zakotvuje zákoník práce ve svém § 312 odst. 2 a 3 pro

  • vedoucí zaměstnance, kteří jsou zaměstnanci nadřízeni,
  • orgány inspekce práce,
  • Úřad práce ČR,
  • Úřad pro ochranu osobních údajů,
  • soud,
  • státní zástupce,
  • policejní orgán,
  • Národní bezpečnostní úřad,
  • zpravodajské služby
  • a samozřejmě zaměstnance samotného. Ten si může z osobního spisu činit výpisky a pořizovat stejnopisy dokladů v něm obsažených, to vše na náklady zaměstnavatele.

Za nahlížení do osobního spisu se nepovažuje předložení jednotlivé písemnosti zaměstnavatelem z tohoto spisu vnějšímu kontrolnímu orgánu, který provádí kontrolu u zaměstnavatele a který si tuto písemnost vyžádal v souvislosti s předmětem kontroly prováděné u zaměstnavatele.

S osobním spisem disponuje a za jeho ochranu plně zodpovídá konkrétní zaměstnanec - personalistka, personalista.

Co s osobními údaji po skončení pracovního poměru

Archivace dokladů

Co zaměstnavatel nenajde soustředěno v žádném právním předpisu, je odpověď na otázku, které z dokumentů obsahujících osobní údaje bývalých zaměstnanců si má nebo může po skončení pracovního poměru ponechat, případně zdali je archivovat a po jak dlouhou dobu. Z hlediska povinností a potřeb zaměstnavatele uchovávat písemnosti zahrnující osobní údaje zaměstnanců i po skončení pracovního poměru můžeme dokumenty rozdělit do 3 skupin:

  1. jednoznačně stanovené právním předpisem,
  2. obsahující záznamy, které je zaměstnavatel povinen uschovávat pro účely stanovené zvláštním právním předpisem,
  3. obsahující údaje, které mohou sloužit k ochraně práv zaměstnavatele.

a) Dokumenty stanovené právním předpisem

Do této skupiny je možné zařadit dokumenty, jejichž konkrétní označení a délku uschování stanoví především zákon o organizaci a provádění sociálního zabezpečení, a to ve svém ustanovení § 35a s podtitulem Povinnost zaměstnavatelů vést záznamy a podávat hlášení pro účely důchodového pojištění. Zaměstnavatel je povinen uschovávat mj.:

  • Stejnopisy evidenčních listů důchodového pojištění vyhotovených v kalendářním roce, kterého se týkají, nebo v bezprostředně následujícím kalendářním roce po dobu 3 kalendářních roků po roce, kterého se týkají, a stejnopisy ostatních evidenčních listů po dobu 3 kalendářních roků po roce, ve kterém byly vyhotoveny.
  • Záznamy o skutečnostech vedených v evidenci podle ustanovení § 37 odst. 1 zákona, pokud jde o poživatele starobního nebo invalidního důchodu, a to po dobu 10 kalendářních roků po roce, kterého se týkají. Výčet údajů je stanoven v uvedeném ustanovení zákona, a pro velký rozsah je zde neuvádím.
  • Mzdové listy nebo účetní záznamy o údajích potřebných pro účely důchodového pojištění, včetně údajů uvedených v ustanovení § 37 odst. 2 zákona, a to po dobu 30 kalendářních roků následujících po roce, kterého se týkají, a jde-li o mzdové listy nebo účetní záznamy o údajích potřebných pro účely důchodového pojištění vedené pro poživatele starobního důchodu, po dobu 10 kalendářních roků následujících po roce, kterého se týkají.

Důležité je, aby úschova záznamů a dalších dokladů byla zajištěna i v případě zániku zaměstnavatele. Podle § 35 zákona o organizaci a provádění sociálního zabezpečení zanikne-li zaměstnavatel bez právního nástupce před uplynutím dob pro úschovu dokladů zaměstnavatele, je povinen zajistit jejich úschovu do uplynutí těchto dob a bez zbytečného odkladu písemně oznámit OSSZ, kde jsou doklady zaměstnavatele uloženy. Především v těchto situacích (zánik firem, jejich transformace atd.) dochází k největším ztrátám uvedených dokladů.

V zákoně o účetnictví se v ustanoveních § 31 a § 32 uvádí doba archivace účetní závěrky a výroční zprávy 10 let počínajících koncem účetního období, kterého se týkají, účetních dokladů, přehledů a účetních záznamů 5 let počínajících koncem účetního období, kterého se týkají.

b) Záznamy pro účely stanovené právním předpisem

Ve svém ustanovení § 95 odst. 1 povinuje zákon o nemocenském pojištění zaměstnavatele, aby vedl o svých zaměstnancích, kteří jsou účastni nemocenského pojištění (a některé z těchto údajů též o zaměstnancích, jejichž zaměstnání účast na takovém pojištění nezakládá), evidenci, která musí obsahovat mj. následující údaje:

  • jméno, příjmení, rodné příjmení, rodné číslo, datum a místo narození, místo trvalého, popřípadě hlášeného pobytu zaměstnance, den nástupu do zaměstnání a skončení zaměstnání, druh činnosti zakládající účast na pojištění, údaj o místě výkonu práce, je-li toto místo trvale v cizině, a o tom, zda je zaměstnanec v cizině povinně účasten důchodového pojištění, státní občanství, a byl-li zaměstnanec povinně účasten důchodového pojištění v cizině a zaměstnavatel je jeho prvním zaměstnavatelem po skončení této účasti nebo za jejího trvání, též údaj o názvu a adrese cizozemského nositele pojištění a o cizozemském čísle pojištění,
  • dobu dočasné pracovní neschopnosti zaměstnance, dobu karantény, dobu ošetřování člena rodiny, dobu mateřské dovolené a rodičovské dovolené, dobu vazby, dobu výkonu zabezpečovací detence a výkonu trestu odnětí svobody zaměstnance a další dny jeho omluvené nepřítomnosti v práci, dny pracovního volna bez náhrady příjmu, poskytnuté zaměstnanci jeho zaměstnavatelem v případech, kdy zaměstnanec nemá na pracovní volno nárok, a dny výkonu práce zaměstnance v pojištěné činnosti v době, v níž má nárok na výplatu nemocenského, peněžité pomoci v mateřství, otcovského a ošetřovného,
  • neomluvené pracovní dny zaměstnance, popřípadě jejich části,
  • záznam, zda zaměstnanec pobírá starobní nebo invalidní důchod, a odkdy jej pobírá, plátce tohoto důchodu, a je-li tento důchod pobírán ze státu, s nímž Česká republika uzavřela mezinárodní smlouvu o sociálním zabezpečení, též záznam o tom, z jakého státu je tento důchod pobírán a jaký cizozemský nositel pojištění je plátcem důchodu, a
  • název zdravotní pojišťovny, u níž je zaměstnanec zdravotně pojištěn.

Následující paragraf zákona o nemocenském pojištění řeší úschovní dobu. Zaměstnavatel je povinen uschovávat záznamy o výše uvedených skutečnostech po dobu 10 kalendářních roků následujících po roce, kterého se týkají, pokud zvláštní právní předpis nestanoví pro záznamy, které mají charakter účetních záznamů, delší uschovací dobu.

Za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního vztahu a záznamy o evidenci docházky do práce, včetně doby pracovního volna bez náhrady příjmu.

Povinnost vést pro zaměstnance mzdový list a vymezení toho, co má tento dokument pro účely daně z příjmů obsahovat, stanoví podrobně ustanovení § 38j zákona o daních z příjmů. Součástí mzdového listu musí být (a zaměstnavatel tedy potřebuje od zaměstnance znát) mj.:

  • poplatníkovo jméno a příjmení, včetně příjmení dřívějšího,
  • rodné číslo a u daňových nerezidentů datum narození, číslo pasu nebo jiného dokladu prokazujícího jeho totožnost, kód státu, jehož je rezidentem, a bylo-li mu tímto státem přiděleno, i daňové identifikační číslo a rodné číslo,
  • bydliště a u daňového nerezidenta bydliště ve státě, jehož je rezidentem, a
  • jméno, příjmení a rodné číslo osoby, na kterou poplatník uplatňuje slevu na dani podle ustanovení § 35ba zákona a daňové zvýhodnění aj.

Zákon o daních z příjmů v ustanoveních § 38 j, k, l uvádí řadu dalších osobních údajů a prokazujících dokladů včetně některých předepsaných tiskopisů nutných pro správný výpočet daně a provedení ročního zúčtování. Délku archivace těchto údajů a dokumentů uvedený zákon nestanoví. Lze ji odvodit ze lhůty pro stanovení daně dle daňového řádu, který v ustanovení § 148 uvádí běžnou lhůtu 3 let, nejdéle 10 let.

c) Dokumenty k ochraně práv zaměstnavatele

Jde o doklady, které by mohly a měly zaměstnavateli sloužit jako důkazní prostředek v případě soudního sporu nebo kontroly ze strany kontrolních orgánů. Pro tyto účely vesměs postačí uschovat potřebné dokumenty po dobu 3 kalendářních roků následujících po roce, kterého se týkají. Půjde např. o doklady z osobního spisu, na základě nichž zaměstnanci vznikla peněžitá práva, písemnosti dokládající oprávněnost skončení pracovního poměru ze strany zaměstnavatele a jiné.

Ze zákona o archivnictví a spisové službě

Mnozí zaměstnavatelé se domnívají, že jim speciální povinnosti ve vztahu k archivaci dokladů předepisuje zákon o archivnictví a spisové službě a o změně některých zákonů. Ten však vedle tzv. veřejnoprávních původců (např. organizačních složek státu, státních příspěvkových organizací, územních samosprávných celků, státních podniků atd.) povinuje uchovávat dokumenty a umožnit výběr archiválií pouze obchodní společnosti a družstva (vyjma družstev bytových), a to pokud jde o dokumenty uvedené v Příloze č. 1 k tomuto zákonu. V ní je zmínka např. o organizačních řádech a schématech, zápisech z jednání statutárního orgánu apod. Oproti dřívějšímu stavu už se uvedená příloha nezmiňuje výslovně o zásadních zaměstnaneckých záležitostech a kolektivních smlouvách.

Na uvedený zákon odkazuje rovněž ustanovení § 150 zákoníku práce, dle něhož je zaměstnavatel povinen evidovat údaje, jimiž jsou jméno, popřípadě jména a příjmení, adresa, jde-li o fyzickou osobu, název a sídlo, jde-li o právnickou osobu, a písemnosti týkající se prováděných srážek ze mzdy, a to po stejnou dobu jako ostatní údaje a doklady týkající se mzdy nebo platu.

Poznámka:

Lze doporučit, aby zaměstnavatelé dokumenty, které budou archivovat, délku jejich archivace a dobu a způsob skartace, zahrnuli do archivačního a skartačního řádu.

Závěr

Tolik „ve zkratce“ k osobním údajům zpracovávaným v rámci vedení personální agendy. Pro velký rozsah se v tomto článku nezabývám ochranou. Ta by měla být v rámci obecného nařízení posílena. Dle článku 25 ON by ji měl správce zajišťovat „s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu kontextu a účelu zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese.“

Dle mého názoru dosavadní systém ochrany dokumentů s osobními údaji v listinné podobě v uzamčených kancelářích pod zámkem v pevných skříních či registrech, od nichž má klíč jen kompetentní osoba, je dostačující. A nemusí to být ani skříně pancéřové a okna a dveře opatřené kovovými mřížemi. Představa zloděje osobních údajů, jak se s pilkou a paklíčem plíží do mzdové účtárny či personálního oddělení, je směšná a nereálná. Dnes se tito vykradači dat pohybují na internetu - tam je také hlavně cíleno v praxi zbytečně obávaným „GDPR“. Systém ochrany osobních údajů v počítačových systémech zanechám odborníkům, je jim věnován samostatný článek. (Pozn. red.: viz článek Ing. Miroslava Bully na str. 16.)

Mám-li odpovědět na podtitulek tohoto článku - změní se něco podle GDPR? - musím odpovědět, že v rozsahu, způsobu zjišťování, zpracování a archivování osobních údajů zaměstnanců zaměstnavatelem podle platných právních předpisů ČR se s účinností obecného nařízení EU od 25. května 2018 nezmění nic. I nadále je třeba postupovat při získávání, zpracování a užívání osobních dokladů zákonně, korektně, transparentně, minimalizovat je (neevidovat nadbytečné informace, neevidovat je zbytečně dlouho) a chovat se k nim důvěryhodně.

Ke změnám může dojít v ochraně osobních údajů, pokud ji nemá zaměstnavatel dosud dostatečně zajištěnou.

Na stránkách Úřadu pro ochranu osobních údajů, které jsem zmiňovala v úvodu, je zveřejněný dokument „Ochrana osobních údajů jako základní hodnota EU“ ze dne 13. 3. 2018, ze kterého cituji: „Česká republika dosavadní unijní předpis v podstatě převzala v roce 2000. Nový režim ochrany osobních údajů přináší pro ty, kdo osobní údaje zpracovávají (správce a zpracovatele), relativně malé změny. Zásadní je založení sjednoceného dozoru nad ochranou, horizontálně jsou upřesněny dosavadní instituty a tradiční povinnosti při zpracování osobních údajů a posílena práva těch, jejichž osobní údaje někdo jiný zpracovává.“

Související dokumenty

Související články

Vliv elektronizace, automatizace a robotizace na rozvoj lidských zdrojů
Compliance program jako nezbytný pomocník společnosti
Jak vytvořit a uplatňovat etický kodex organizace
Vliv elektronizace, automatizace a robotizace na rozvoj lidských zdrojů
Compliance program jako nezbytný pomocník společnosti
Změny názvů pracovních pozic i personálního oddělení
Koučování zaměstnanců, jeho cíle a metody
Jak se vyvarovat personálně-řídících chyb z "dobrých úmyslů"
Od řízení k vedení
Jak zvládnout přechod do vedoucí funkce
Jak propojit personální strategii s celkovou strategií podniku
Osobní efektivita: od motivace přes úkolování až ke kontrole sebe sama
Nejčastější příčiny nedostatků v práci zaměstnanců, a jak jim předcházet
Talent management
Umění sebereflexe aneb jak nesednout sám sobě na lep
Nejčastější chyby začínajících manažerů
Jak pomoci zaměstnancům předejít vyhoření
Jaký typ leadera potřebuje vaše organizace
Jak jednat s pracovníky různých vlastností a typů
Proč a jak v praxi uplatňovat leadership
Příčiny, cíle a řízení podnikových změn
Úskalí a potenciál mezigenerační spolupráce na pracovišti

Související otázky a odpovědi

Odmítnutí pracovního úkolu
Kolektivní smlouva
Jmenování na dobu určitou
Pracovní smlouvy uzavřené na různou dobu u jednoho zaměstnavatele
Diskriminace v odměňování
Dovolená navíc
Teambuilding
Archivace HR dokladů
Poskytování osobních údajů zaměstnanců zákazníkům
Uchovávání dokumentů - archivační lhůty
Mzdové dokumenty - kopie nebo posílání emailem
Součinnost zaměstnavatele s insolvenčním správcem
Archivace pracovních smluv
Uchování kopií dokladů
Kamerový systém na pracovišti a GDPR
Skartace a archivace z hlediska GDPR
Archivace docházky
Zaměstnanecký benefit - diskriminace
Kamery na pracovišti
Princip rovného zacházení ve vztahu k poskytování benefitů

Související předpisy

101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů
435/2004 Sb. o zaměstnanosti
262/2006 Sb., zákoník práce
198/2000 Sb. o náležitostech návrhu na uzavření smlouvy o propojení a přístupu k síti a o technických a provozních podmínkách přístupu k síti a propojení sítí a připojení neveřejných telekomunikačních sítí k veřejným telekomunikačním sítím
133/2000 Sb. o evidenci obyvatel a rodných číslech a o změně některých zákonů ( zákon o evidenci obyvatel )
99/1963 Sb. občanský soudní řád
187/2006 Sb. o nemocenském pojištění
582/1991 Sb. o organizaci a provádění sociálního zabezpečení
563/1991 Sb. o účetnictví
586/1992 Sb. o daních z příjmů
280/2009 Sb. daňový řád
499/2004 Sb. o archivnictví a spisové službě a o změně některých zákonů