Ochrana osobních údajů zaměstnanců od A (přes GDPR) do Z

Ochrana osobních údajů v pracovněprávních vztazích je významnou oblastí práva, která je však do značné míry ze strany zaměstnavatelů opomíjena. V dnešní technologické době, kdy jsme téměř neustále pod dohledem kamer na ulici nebo na pracovišti, nakupujeme přes internet, své životy sdílíme na sociálních sítích, je nezbytné důkladně chránit naše osobní údaje. Úřad pro ochranu osobních údajů, ale také Evropská komise proto kladou značné nároky na jejich ochranu a ukládají řadu povinností, které dopadají také na zaměstnavatele.

V pracovněprávních vztazích musí zaměstnavatelé chránit nejen osobní údaje svých zaměstnanců, ale také uchazečů o zaměstnání nebo svých bývalých zaměstnanců. V některých případech zaměstnavatel potřebuje souhlas se zpracováním osobních údajů zaměstnance nebo uchazeče o zaměstnání a v některých nikoliv. Vzhledem k tomu, že řada zaměstnavatelů si mnohdy není úplně jista, jaké údaje může zpracovávat, kdy potřebuje souhlas se zpracováním osobních údajů a kdy ne, zaměříme se níže detailněji na oblast zpracování osobních údajů, počínaje uchazeči o zaměstnání přes pracovní poměr zaměstnance až po jeho skončení i na období po jeho skončení. Neopomeneme se dotknout ani „zaklínadla“ poslední doby, nařízení GDPR, které nabude účinnosti 25. května 2018.

Zpracování osobních údajů uchazečů o zaměstnání

Již ve chvíli, kdy zaměstnavatel obdrží životopis uchazeče o zaměstnání, musí zbystřit, protože začíná nakládat s osobními údaji tohoto uchazeče. Životopis zpravidla obsahuje jméno, příjmení, datum narození, telefonní číslo a adresu, tj. osobní údaje uchazeče. Pro účely výběrového řízení a v nezbytném rozsahu může zaměstnavatel tyto osobní údaje zpracovávat bez souhlasu uchazeče o zaměstnání. Po skončení výběrového řízení, kdy není uchazeč u zaměstnavatele zaměstnán, však musí zaměstnavatel osobní údaje uchazeče řádně zlikvidovat tak, jak mu ukládá zákon1). V případě, že by měl zaměstnavatel zájem uchovávat osobní údaje uchazeče o zaměstnání, např. v databázi vhodných uchazečů, musí k tomu již mít předchozí výslovný souhlas uchazeče, který je vhodné mít v písemné podobě. V souhlasu musí být mimo jiné uvedeno, jaké údaje budou zpracovávány, kdo je bude zpracovávat, na jaké období je souhlas dáván a rovněž musí být uvedeno, že svůj souhlas může uchazeč kdykoliv odvolat.

Řada zaměstnavatelů pro účely výběrového řízení rovněž požaduje předložení výpisu z rejstříku trestů, ačkoliv pro to ne vždy jsou splněny zákonné podmínky. Výpis z rejstříku trestů totiž může zaměstnavatel požadovat jen v případech, kdy právní předpisy stanoví, že pro výkon určité práce musí být zaměstnanec bezúhonný (např. učitelé, zdravotní sestry apod.), nebo v případech, kdy je požadavek čistého výpisu z rejstříku trestů přiměřený druhu a povaze práce (např. pokladní v bance, realitní makléř apod.). I v případě, že má uchazeč o zaměstnání záznam v rejstříku trestů, však musí zaměstnavatel posuzovat povahu spáchaného trestného činu a druh práce, který má uchazeč vykonávat. Pokud byl uchazeč o zaměstnání odsouzen pro dotační podvod, nemohl by zřejmě pracovat na pozici pokladního v bance, ale mohl by být zaměstnán např. jako stavební dělník.

Běžnou praxí mnoha zaměstnavatelů je pak také to, že si během výběrového řízení (např. pro účely přípravy pracovní smlouvy) vyžádají od uchazeče jeho doklad totožnosti, který obsahuje jeho osobní údaje a následně si pořídí jeho kopii. Kopii občanského průkazu či pasu si však zaměstnavatel může pořídit pouze a jedině s výslovným souhlasem uchazeče. Vzhledem k tomu, že souhlas má být prokazatelný, je vhodné jej mít v písemné formě s podpisem uchazeče.

Pro úplnost doplňujeme, že zaměstnavatel nesmí od uchazeče o zaměstnání např. v rámci pohovoru vyžadovat informace, které bezprostředně nesouvisejí s výkonem práce nebo s budoucím pracovním poměrem. Zaměstnavatel tak nesmí vyžadovat informace týkající se těhotenství, rodinných a majetkových poměrů, sexuální orientace, původu, členství v odborových organizacích a politických stranách či hnutích, příslušnosti k církvi nebo náboženské společnosti a trestněprávní bezúhonnosti.

Zpracovávání osobních údajů během pracovního poměru

Během trvání pracovního poměru zaměstnavatel zpracovává osobní údaje svých zaměstnanců a prakticky se tomu nemůže vyhnout. V některých případech je to dokonce jeho povinností (např. pro účely výpočtu mzdy nebo platu, úhrady zdravotního a důchodového pojištění apod.). V těchto případech zaměstnavatel ani nepotřebuje výslovný souhlas zaměstnance se zpracováním jeho osobních údajů. Souhlas zaměstnance není potřeba ani v situaci, kdy si údaje o zaměstnanci vyžádá Policie ČR.

Specifickým příkladem, kdy zaměstnavatel shromažďuje a zpracovává osobní údaje a dokonce citlivé údaje2) zaměstnance, je vedení evidence pracovních úrazů a nemocí z povolání. Z citlivých údajů jsou zpracovávány zejména údaje o zdravotním stavu zaměstnance. Vzhledem k tomu, že platné právní předpisy výslovně stanoví povinnost vést tuto evidenci, nepotřebuje zaměstnavatel ke zpracování osobních a citlivých údajů v této evidenci výslovný souhlas zaměstnance.

Po dobu trvání pracovního poměru zaměstnance jsou zpravidla veškeré jeho osobní údaje, které zaměstnavatel po dobu trvání pracovního vztahu nashromáždil, součástí osobního spisu, který zaměstnavatel v souvislosti s osobou zaměstnance vede. Osobní spis zaměstnance však nemůže obsahovat jakékoliv údaje o zaměstnanci. Zákoník práce přesně stanoví, že součástí osobního spisu zaměstnance mohou být jen dokumenty a písemnosti, které jsou nezbytné pro výkon práce (např. životopis, pracovní posudek od předchozího zaměstnavatele, pracovní smlouva, mzdový výměr, potvrzení o dosaženém vzdělání, absolvovaných kurzech a školeních, dohoda o hmotné odpovědnosti apod.). Naproti tomu součástí osobního spisu nemohou být informace o sexuální orientaci zaměstnance, jeho původu, národnosti nebo o jeho členství v politických stranách či příslušnosti k církvi.

Kamery na pracovišti

V českém pracovním prostředí se v poslední době stále častěji setkáváme s tím, že zaměstnavatelé pomocí kamer monitorují pracoviště, kde zaměstnanci konají práci (např. kanceláře, výrobní halu, prodejnu). Dochází tak ke zpracování osobních údajů zaměstnanců a svým způsobem je zasahováno i do soukromí zaměstnanců. Právě proto jsou pro monitoring zaměstnanců stanovena poměrně přísná pravidla.

Obecně platí, že kamery na pracovišti lze instalovat pouze v případě, že to ukládají právní předpisy3), nebo v případě, že existuje legitimní důvod (např. ochrana majetku zaměstnavatele, zajištění bezpečí na pracovišti či ochrana zdraví a života zaměstnanců). Kamerový systém tak můžeme očekávat zejména v případech, kdy zaměstnanci pracují s velkým obnosem finančních prostředků nebo s citlivými či utajovanými informacemi. Důvodem pro monitoring pracoviště však zpravidla nebude monitoring za účelem sledování výkonnosti zaměstnanců a řádného plnění jejich pracovních povinností.

Další důležitou podmínkou pro umístění kamer na pracovišti je přiměřenost monitoringu. Kamery mohou sledovat pouze cíl, pro který byly na pracoviště umístěny. Je zcela vyloučeno, aby kamery primárně snímaly soukromou sféru zaměstnanců. Kamery tak nemohou být instalovány např. na toaletě, ve sprchách nebo v převlékárně.

Pokud dochází k monitorování pracoviště, musí být zaměstnanci předem informováni o rozsahu a účelu zpracování jejich osobních údajů formou kamerového systému a také o tom, jak budou jejich osobní údaje zpracovány a kdo bude mít k jejich osobním údajům přístup. Zaměstnavatelé tuto podmínku splní např. tím, že vydají vnitřní předpis, ve kterém budou všechny tyto informace obsaženy a s tímto předpisem prokazatelně (např. proti podpisu) seznámí své zaměstnance. V případech, kdy do monitorovaných prostor pracoviště vstupují třetí osoby (např. návštěvy, klienti), musí být rovněž oni seznámeni s tím, že budou monitorováni kamerami, a to např. piktogramem zobrazujícím průmyslovou kameru.

Důležitým aspektem v oblasti kamer na pracovišti je také to, zda se jedná o kamerové zařízení se záznamem nebo bez záznamu. S provozem kamerového systému musí být zaměstnanci vždy seznámeni. Pro provoz kamerového systému se záznamem navíc platí, že záznam umožňuje následnou identifikaci jednotlivých osob, a proto musí být tento provoz také předem oznámen Úřadu pro ochranu osobních údajů.

GPS ve služebních vozidlech

Oblíbeným monitorovacím prostředkem, který zaměstnavatelé využívají za účelem ochrany svého majetku, jsou GPS systémy ve služebních vozidlech, které sledují cestování zaměstnanců při výkonu práce a na služebních cestách. Stejně jako u kamer na pracovišti i GPS mohou být ve vozidlech, jen pokud sledují zvláštní zájem zaměstnavatele (např. ochranu majetku), pokud je kontrola přiměřená a pokud je zaměstnanec upozorněn na rozsah takové kontroly.

Pokud však zaměstnavatel svěří vozidlo jen jednomu zaměstnanci, a to i k jeho soukromým účelům, bylo by nepřiměřené, pokud by byl zaměstnanec monitorován pomocí GPS i mimo jeho pracovní dobu, kdy používá vozidlo k soukromým cestám. Mohlo by se jednat o zásah do jeho soukromí, a to bez legitimního zájmu zaměstnavatele.

Monitoring e-mailů a jiné elektronické pošty

Ačkoliv jsou e-maily pod ochranou listovního tajemství, ne každá e-mailová adresa je považována za soukromou. Úřad pro ochranu osobních údajů striktně rozlišuje nejen mezi soukromým a pracovním e-mailem z pohledu jeho obsahu, ale také mezi soukromou a úřední e-mailovou adresou.

E-mailová adresa zaměstnance, která je vedena na takzvaném freemailovém serveru (například seznam.cz, gmail.com), je vždy považována za soukromou poštu a do té zaměstnavatel nemůže nikdy nahlížet. Pracovní e-mail (např. jan.novak@zamestnavatel.cz), který má zaměstnanec zřízen k výkonu své práce, je však také považován za soukromý a e-maily na něj doručené jsou soukromou poštou. Takové e-maily může zaměstnavatel kontrolovat jen za předpokladu, že má podezření, že zaměstnanec užívá prostředky k jiným než pracovním úkolům. I v takovém případě však může zaměstnavatel sledovat pouze počet doručených a odeslaných e-mailů nebo hlavičku jednotlivých e-mailů (tj. kdo, komu a kdy píše). Otevřít e-mail, který je např. dle předmětu a odesílatele jistě pracovní, by zaměstnavatel mohl pouze v případě, kdy by nevyřízení určité záležitosti mohlo způsobit zaměstnavateli škodu (např. zaměstnanec je dlouhodobě nemocný nebo je na dovolené).

Zvláštní režim mají dále také e-maily s tzv. úřední elektronickou adresou (např. office@domena.cz). Emaily doručené do této schránky nejsou považovány za soukromé, a proto do nich může nahlížet i zaměstnavatel, a to i v případě, že je spravuje pouze jeden zaměstnanec.

Sledování aktivity zaměstnanců na internetu (např. na sociálních sítích)

Zcela standardně má zaměstnanec k výkonu práce k dispozici od zaměstnavatele počítač, popř. notebook. Dle posledních průzkumů však zaměstnanci denně tráví v průměru více než 60 minut své pracovní doby na internetu (např. vyřizováním soukromé komunikace, sledováním sociálních sítí apod.), aniž by si uvědomovali, že využívání věcí svěřených zaměstnavatelem pro osobní potřebu je bez souhlasu zaměstnavatele zakázáno.

Zaměstnanci často ani netuší, že existuje mnoho nástrojů k monitorování jejich aktivity na internetu a že zaměstnavatelé tyto nástroje hojně využívají. Obecně však platí, že zaměstnavatel musí zaměstnance na možnost monitoringu upozornit a jeho kontrola musí být přiměřená a odůvodněná. Existují však i jiné prostředky, které mohou zaměstnancům omezit využívání internetu k soukromým účelům (např. technické omezení přístupu na sociální sítě, seznamky, erotické stránky, hry apod.). Pokud ale zaměstnavatel nestanoví žádné podmínky pro využívání svěřených věcí pro osobní potřebu zaměstnance, ani jim k tomu nedá souhlas, platí, že zaměstnanec nesmí tyto věci k osobním účelům využívat. Pokud toto pravidlo poruší, jedná se o porušení pracovních povinností, které může skončit až výpovědí z pracovního poměru.

Zpracování osobních údajů po skončení pracovního poměru

Po skončení pracovního poměru může zaměstnavatel zpracovávat osobní údaje zaměstnance pouze v omezeném rozsahu. V osobním spisu zaměstnance může zaměstnavatel uchovávat údaje, jejichž uchování je stanoveno platnými právními předpisy (např. pro účely důchodového a sociálního pojištění). Tyto údaje může zaměstnavatel uchovávat bez souhlasu zaměstnance. Obdobně mohou být uchovávány údaje, které potřebuje zaměstnavatel pro případný soudní spor, který vede se zaměstnancem (např. o neplatnost rozvázání pracovního poměru, nedoplatek mzdy apod.). Osobní údaje po skončení pracovního poměru může zaměstnavatel uchovávat po dobu, po kterou trvá jeho povinnost uchovávat osobní údaje, nebo po dobu nezbytnou k vypořádání vzájemných práv a povinností zaměstnavatele a zaměstnance.

Ochrana osobních údajů prostřednictvím compliance programů

Compliance programy jsou zejména v poslední době hojně využívaným institutem, kterým zaměstnavatelé seznamují své zaměstnance s povinnostmi, které musí při výkonu práce dodržovat. Účinný compliance program by měl být „šitý na míru“ zaměstnavatele a jeho činnosti a musí vždy odpovídat platným a účinným právním předpisům. Měl by také specifikovat právní předpisy a pravidla chování a jednání uvnitř i navenek zaměstnavatele, jejichž dodržování je vyžadováno.

Compliance programy jsou poměrně časté v oblasti korporátního práva. Významně však pomáhají také v oblasti pracovního nebo trestního práva a dále také v oblasti ochrany osobních údajů. Compliance program by tak měl být zaveden u každého zaměstnavatele, který nakládá s osobními údaji svých zaměstnanců, uchazečů o zaměstnání nebo klientů či zákazníků. Měli by s ním být řádně seznámeni všichni zaměstnanci tak, aby nedocházelo z jejich strany k porušování právních předpisů na ochranu osobních údajů (např. personalisté či zástupci HR oddělení ve vztahu k ochraně osobních údajů zaměstnanců, manažeři či prodejci ve vztahu k ochraně osobních údajů klientů nebo zákazníků). Velice snadno se totiž tito zaměstnanci mohou při výkonu práce dopustit přestupku, nebo dokonce trestného činu neoprávněného nakládání s osobními údaji, za který by však ve svém důsledku mohl odpovídat zaměstnavatel jakožto právnická osoba a mohl by mu hrozit trest v podobě pokuty v denní sazbě až do výše 2 000 000 Kč, zákaz činnosti, propadnutí majetku nebo dokonce trest zrušení jeho společnosti.

Za pozornost stojí zmínit skutečnost, že od 1. prosince 2016 je v účinnosti novela zákona o trestní odpovědnosti právnických osob a řízení proti nim4), která předpokládá, že propracované a účinné compliance programy mohou přispět k tomu, že zaměstnavatel nebude odpovídat za exces konkrétního zaměstnance, který porušil právní předpisy.

Povinnosti zaměstnavatele ve vztahu k Nařízení GDPR

Obecné nařízení Evropské unie o ochraně osobních údajů, tzv. nařízení GDPR,5) nabude v České republice účinnosti již 25. května 2018. Nařízení s sebou přinese některá nová pravidla pro zpracovávání osobních údajů, která se dotknou téměř všech společností, některých i z pozice zaměstnavatelů.

Jak již bylo uvedeno výše, dle nyní účinné právní úpravy musí zaměstnavatel, který zpracovává osobní údaje svých zaměstnanců, vhodným způsobem informovat zaměstnance, kdo a jaké osobní údaje zpracovává, k jakému účelu tak činí, zda je předává třetím osobám a kdo má k osobním údajům přístup. Nařízení GDPR však tyto povinnosti ve vztahu k monitoringu pracoviště dále rozšiřuje. Zaměstnavatel tak bude povinen zaměstnanci sdělit např. totožnost a kontaktní údaje správce osobních údajů, případně jeho zástupce, přesné vymezení oprávněných zájmů chráněných kamerovým systémem, délku uchovávání záznamu kamerového systému nebo také kontaktní údaje na pověřence pro ochranu osobních údajů, pokud bude ve společnosti zřízen. Pověřenec pro ochranu osobních údajů bude osoba, která má plnit funkci pomocníka či koordinátora ochrany osobních údajů a má také zabezpečovat komunikaci s dozorovými orgány, zejména Úřadem pro ochranu osobních údajů. Pověřence bude nezbytné jmenovat v případech, (i) kdy zpracování provádí orgán veřejné moci či veřejný subjekt, (ii) kdy v rámci hlavní činnosti správce nebo zpracovatele dochází ke zpracování osobních údajů, které vyžaduje rozsáhlé pravidelné a systematické monitorování subjektu údajů, nebo (iii) kdy v rámci hlavní činnosti správce nebo zpracovatele dochází k rozsáhlému zpracování zvláštní kategorie údajů nebo osobních údajů týkajících se rozsudku v trestních věcech a trestných činů. Nutno podotknout, že sankce za porušení povinností, které ukládá nařízení GDPR, jsou značné, pro mnohé mohou mít až likvidační důsledky – mohou dosáhnout až 20 000 000 Kč nebo i 4 % z celosvětového obratu podnikatele (dle toho, která sankce je vyšší).

V souvislosti s Nařízením GDPR a ochranou osobních údajů je dále vhodné zmínit, že kontrolu nad dodržováním povinností při nakládání s osobními údaji doposud vykonával pouze Úřad pro ochranu osobních údajů. Od 1. srpna 2017 je však v účinnosti novela zákona o inspekci práce6), která nově zařadila kontrolu na úseku ochrany soukromí a osobnostních práv zaměstnanců také do pravomoci inspektorátů práce. Inspektoráty práce tak nově mohou zjišťovat, zda zaměstnavatelé dodržují povinnosti při monitorování pracoviště kamerovým systémem, při sledování služebních vozidel prostřednictvím GPS nebo při monitorování e-mailů nebo aktivity zaměstnance na internetu. Nutno podotknout, že za přestupky a správní delikty na úseku ochrany soukromí a osobnostních práv zaměstnanců hrozí od inspektorátu práce zaměstnavatelům pokuty až do výše 1 000 000 Kč.

Závěr

Ačkoliv má každý podnikatel z pozice zaměstnavatele zájem na tom, aby ochránil svůj majetek a zdraví svých zaměstnanců, a za tímto účelem instaluje na pracoviště kamerový systém, GPS do služebních vozidel nebo monitoruje aktivitu zaměstnanců na internetu, ve většině případů si ani neuvědomuje, že právní předpisy mu v této oblasti ukládají řadu povinností, které musí striktně dodržovat. Oblast ochrany osobních údajů je bohužel stále v dnešní době ze strany zaměstnavatelů opomíjena a ve světle dalších pracovněprávních problémů ji staví až na jedno z posledních míst.

Rádi bychom proto apelovali na zaměstnavatele, aby této oblasti věnovali větší pozornost, a to i s ohledem na nové nařízení GDPR, které nabude účinnosti 25. května 2018 a které přinese do českého právního řádu množství nových povinností, jakož i s ohledem na vysoké pokuty za porušení nařízení GDPR nebo za přestupky a správní delikty na úseku ochrany soukromí a osobnostních práv zaměstnanců, které nově může zaměstnavatelům uložit inspektorát práce. Domníváme se, že právě v oblasti ochrany osobních údajů se vyplatí investovat do účinného compliance programu, který nejen že upozorní zaměstnavatele na všechny jeho povinnosti, ale také důsledně poučí jeho vedoucí i řadové zaměstnance o povinnostech, které na úseku zpracování osobních údajů zaměstnanců, klientů či zákazníků musí dodržovat.

Právní předpisy citované v článku

(předpisy jsou vždy citovány ve znění pozdějších předpisů, pokud není výslovně uvedeno jinak)

  • zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů
  • zákon č. 262/2006 Sb., zákoník práce
  • zákon č. 418/2011Sb., o trestní odpovědnosti právnických osob a řízení proti nim
  • zákon č. 251/2005 Sb., o inspekci práce
  • zákon č. 186/2016 Sb., o hazardních hrách
  • 1 zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.

  • 2 citlivým údajem je osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů.

  • 3 např. zákon č. 186/2016 Sb., o hazardních hrách, ve znění pozdějších předpisů.

  • 4 zákon č. 418/2011Sb., o trestní odpovědnosti právnických osob a řízení proti nim, ve znění pozdějších předpisů.

  • 5 Nařízení Evropského parlamentu a Rady č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/EU (angl. General Data Protection Regulation, zkracováno jako GDPR).

  • 6 zákon č. 251/2005 Sb., o inspekci práce, ve znění pozdějších předpisů.

Související články

Související otázky