Povinnosti zaměstnavatele při ochraně osobních údajů zaměstnanců dle GDPR

Mgr. Martin Kornel

Mgr. Jitka Kmošková

Vydáno: 18 minut čtení

Tímto článkem navazujeme na text z předchozího čísla s úmyslem seznámit čtenáře se základními povinnostmi zaměstnavatele, které pro něj vyplývají ve vztahu k zaměstnancům z Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů, dále také „GDPR“ nebo „Nařízení“).1)

Řadu z povinností uvedených v tomto textu mají zaměstnavatelé již nyní dle zákona č. 101/2000 Sb., o ochraně osobních údajů, ale s ohledem na různou úroveň jejich plnění ze strany zaměstnavatelů, připomínáme i tyto. Nařízení vedle toho přináší i povinnosti nové nebo staré modifikuje. Příkladem první kategorie je povinnost ohlásit porušení zabezpečení Úřadu pro ochranu osobních údajů (dále jen „úřad“) nebo povinnost oznámit takové porušení subjektu údajů (tedy zaměstnanci). Příkladem druhé je povinnost vést záznamy o činnostech zpracování, která modifikuje současnou oznamovací povinnost, která s účinností Nařízení odpadne.

Zároveň připomínáme, že za účelem plnění povinností zaměstnavatele dle Nařízení musí zaměstnavatel (jako správce osobních údajů svých zaměstnanců) především vědět, jaké údaje zpracovává, proč je zpracovává, kde je uchovává, kdo k nim má přístup a zda jsou údaje zabezpečené odpovídajícím způsobem. Teprve poté má k dispozici dostatek dat, aby mohl plnit také následující povinnosti dané Nařízením.

Povinnosti zaměstnavatele

Na úvod představujeme staronovou povinnost zaměstnavatele informovat zaměstnance o všech podstatných okolnostech zpracování jeho osobních údajů (dle čl. 13 a násl. Nařízení). Aby zaměstnavatel dostál této povinnosti, musí informovat zaměstnance ještě před samotným zpracováním. V praxi by poskytnutí těchto informací mělo být optimálně součástí procesu nástupu zaměstnance. Podoba předání těchto informací může být různá (vnitřní předpis, informační leták, instruktážní video, kombinace různých prostředků).

Informace, které musí zaměstnavatel zaměstnanci poskytnout vždy:

  • informace o totožnosti a kontaktních údajích správce a jeho případného zástupce,
  • o kontaktních údajích případného pověřence pro ochranu osobních údajů,
  • o účelech zpracování osobních údajů a právním základu pro zpracování,
  • uvedení konkrétních oprávněných zájmů, pokud je zpracování založeno na nezbytnosti pro účely těchto oprávněných zájmů správce (či třetí strany, kromě případů, kdy převáží zájmy, základní práva a svobody zaměstnance) ve smyslu čl. 6 odst. 1 písm. f) Nařízení,
  • informace o případných příjemcích nebo případném úmyslu předání osobních údajů do třetí země.

Další okruh informací je nutné poskytnout, pokud je to nezbytné za účelem zajištění spravedlivého a transparentního zpracování. Z opatrnosti je vhodné zaměstnance proto informovat také:

  • o době, po kterou budou osobní údaje zaměstnanců uloženy (například trvání pracovního poměru),
  • o existenci práv (vyjmenovaných níže) včetně práva odvolat souhlas, je-li vyžadován, a práva podat stížnost úřadu,
  • o skutečnosti, že dochází k automatizovanému rozhodování vč. profilování,
  • zda jsou osobní údaje poskytnuty na základě smluvního nebo zákonného požadavku a je-li subjekt povinný tyto údaje poskytnout.

Pokud osobní údaje získá zaměstnavatel z jiného zdroje než od samotného zaměstnance, musí navíc informovat zaměstnance, z jakého zdroje informace pocházejí. Součástí této povinnosti je také způsob předání informací, který by dle Nařízení měl být jednoduchý a pro zaměstnance srozumitelný.

Povinnost informovat uchazeče o zaměstnání

Stejné informace jako zaměstnanci musí zaměstnavatel poskytnout i potenciálnímu zaměstnanci, tedy uchazeči o zaměstnání. Opět platí, že by měl informace poskytnout ještě před zpracováním osobních údajů uchazeče. Zaměstnavatel může informace poskytnout například jako součást dotazníku, který uchazeč vyplňuje v rámci procesu náboru, při zaslání e-mailem může přiložit informační leták v reakci na zaslaný životopis (osobní údaje) a stejně tak lze předat informační leták při fyzickém převzetí životopisu od uchazeče. Používají-li zaměstnavatelé portály typu www.jobs.cz, kde uchazeči nahrávají životopisy a zaměstnavatel k nim má přístup přes svůj profil, pak by informace měl uchazeči poskytnout daný portál při nahrávání osobních údajů (prostřednictvím všeobecných obchodních podmínek apod.).

Nejasná situace může nastat s personální agenturou, kde není zřejmá hranice mezi tím, kdy je agentura ještě zpracovatel a pracuje dle pokynů zaměstnavatele a kdy je již samostatným správcem spolupracujícím se zaměstnavatelem. Určujícím je to, zda agentura „určuje účel a prostředky ke zpracování“ osobních údajů uchazečů (pak je správcem). Může nastat také situace, kdy budou agentura práce a zaměstnavatel v roli společných správců dle čl. 26 Nařízení, a to především pokud agentura k zaměstnavateli (uživateli) dočasně přidělí vlastní zaměstnance, a v takovém případě si mezi sebou musí vymezit podíly na odpovědnosti. O spolupráci dvou správců jde dle pracovní skupiny WP29, která je nezávislým poradním orgánem Evropské komise a podává nezávazná výkladová stanoviska k problémům souvisejícím s ochrannou osobních údajů, i když mezi sebou subjekty uzavřely zpracovatelskou smlouvu. A to v případě, kdy personální agentura fakticky určí vlastní prostředky a účel zpracování například tak, že porovná životopisy od zaměstnavatele i s vlastní databází uchazečů, tím zvýší možný počet nových zaměstnanců, což je z jejího pohledu samostatný účel zvýšení svého zisku (pokud je odměňována dle počtu nabraných zaměstnanců).2) V tomto případě je agentura zodpovědná za zpracování jako správce a musí plnit veškeré povinnosti i bez pokynu zaměstnavatele.

Další povinnosti vyplývají zaměstnavateli z práv zaměstnance, tj. z práv v čl. 15 až 23 Nařízení. Pokud zaměstnanec využije práva, které mu náleží, zaměstnavatel je povinen postupovat v souladu s Nařízením. V praxi to může znamenat:

  • Požádá-li zaměstnanec o opravu ve svých údajích (čl. 16 Nařízení; např. v databázi velikosti pracovního oblečení zaměstnanců), zaměstnavatel ji musí bez zbytečného odkladu provést. Právo na opravu tak má zaměstnanec v případě zpracování nepřesných nebo neúplných údajů, například tehdy, pokud by se ukázalo, že v personálním systému je překlep v adrese zaměstnance.
  • Zaměstnanec má také právo na výmaz osobních údajů (čl. 17 Nařízení) v souladu s principem minimalizace zpracování, pokud již správce údaje nepotřebuje k žádnému účelu, pro které byly shromážděny, pokud zaměstnanec odvolá souhlas, nebo se jedná o protiprávní zpracování, dále když zaměstnanec vznese námitku proti zpracování a nepřevažují oprávněné důvody, pokud musí být vymazány ke splnění právní povinnosti, a nakonec pokud byly shromážděny v souvislosti s nabídkou služeb informační společnosti (tedy například rozesílání newsletterů). Právo na výmaz odpadá, když jsou údaje třeba k výkonu práva na svobodu projevu a informace, pro splnění právní povinnosti, v oblasti veřejného zdraví z důvodu veřejného zájmu, pro účely archivace ve veřejném zájmu anebo pro určení, výkon či obhajobu právních nároků. Prakticky zaměstnavatel nemůže smazat daňové a účetní údaje, které uchovává na základě povinnosti ze zákona. Naopak by měl smazat údaje bývalého zaměstnance v evidenci velikostí pro pracovní oblečení nebo z databáze rozesílání interních newsletterů. Co se týká například kamerových záběrů, na kterých zaměstnanec vstupuje do budovy zaměstnání, zaměstnavatel je smaže, pokud pro něj záběry nejsou nezbytné, například pokud je na záběrech kromě zaměstnance i domnělý zloděj. Dle našeho názoru zaměstnavatel nemusí smazat záběry po určitou oprávněnou dobu (např. 14 dnů), kdy se může teprve objevit potřeba uchování záběrů. Po této době ale v podstatě odpadá účel, pro který byly údaje shromážděny.
  • Požádá-li zaměstnanec o omezení zpracování (čl. 18 Nařízení) z Nařízením daných důvodů, zaměstnavatel na to musí navázat. Například pokud zaměstnanec požádal o opravu údajné nepřesnosti údajů, zaměstnavatel nebude s údaji pracovat po dobu, než ji ověří. Podobně by měl postupovat, než ověří převažující zájmy, pokud zaměstnanec vznesl námitku proti zpracování.
  • Právo na přenositelnost údajů (čl. 20 Nařízení) pravděpodobně nebude u zaměstnanců často vykonávaným oprávněním. Obecně by jej zaměstnanec mohl využít, pokud zaměstnavatel zpracovává tyto údaje na základě souhlasu, smlouvy nebo automatizovaně, tedy bez lidského zásahu. Zaměstnanec může požadovat, aby byly údaje zaslány přímo e-mailem od bývalého zaměstnavatele budoucímu zaměstnavateli. Za důležité považujeme zmínit, že se jedná o údaje, které zaměstnavateli poskytl zaměstnanec a které jsou zpracovávány na základě souhlasu zaměstnance nebo pro plnění smlouvy mezi nimi. Nikoliv údaje zpracovávané zaměstnavatelem pro plnění právní povinnosti.
  • Pokud zaměstnavatel zpracovává osobní údaje zaměstnanců ve veřejném zájmu nebo pro svůj oprávněný zájem, může zaměstnanec vznést námitku (čl. 21 Nařízení), což pro zaměstnavatele znamená, že musí přezkoumat důvody a účel zpracování. Pokud odůvodněně převáží zájmy zaměstnavatele nad zájmy zaměstnance, může údaje zpracovávat nadále. Pokud převáží zájmy zaměstnance, musí zpracování ukončit. Příkladem situace, kdy bude zaměstnavatel zpracovávat údaje na základě svého oprávněného zájmu, může být provozování kamerového systému, který slouží k ochraně jeho majetku (např. skladových zásob). V takovém případě by mohl například skladník, který je tímto systémem pravidelně snímán, námitku proti zpracování vznést.
  • Poslední povinností odpovídající právu subjektu údajů je nerozhodovat o zaměstnancích pouze na základě automatizovaného zpracování včetně profilování (čl. 22 Nařízení). Profilováním je použití osobních údajů (o pohybu, o pracovních výstupech zaměstnance atd.) k vyhodnocení chování zaměstnance nebo jeho předvídání - například se jedná o rozbor pracovního výkonu. Automatizovaným rozhodováním by bylo například, pokud by žádost zaměstnance o dovolenou podaná prostřednictvím například zaměstnaneckého portálu elektronicky byla zamítnuta automaticky generovaným e-mailem na základě toho, že již tentýž měsíc jednu dovolenou absolvoval. V takovém případě má být rozhodnuto k tomu určeným vedoucím zaměstnancem, i kdyby ten měl dojít ke stejnému závěru.

Většina zaměstnavatelů spolupracuje či využívá služeb jiných společností ke správě povinností ve vztahu mezi zaměstnavatelem a zaměstnancem. Typicky se jedná o poskytovatele služby externího (mzdového) účetnictví, společnosti zpracovávající benefitní systémy, dodavatele osobních ochranných pracovních pomůcek, služby personálních agentur nebo executive search, vzdělávací a konzultační agentury apod. Tyto společnosti získávají osobní údaje zaměstnanců a určitým způsobem je zpracovávají. Jak je uvedeno výše, pokud se tak děje na pokyn zaměstnavatele, jsou tyto společnosti tzv. zpracovateli, pro které také platí stejné principy a pravidla Nařízení. Navíc jelikož nejsou samostatnými správci, musí být mezi nimi a zaměstnavatelem (jako správcem) uzavřena tzv. zpracovatelská smlouva (písemně, což bude splňovat i elektronická forma). Zpracovatelská smlouva musí dle čl. 28 Nařízení obsahovat tyto náležitosti: závazek zpracovávat osobní údaje na základě doložených pokynů správce, povinnost mlčenlivosti o osobních údajích, závazek zpracovatele přijmout všechna potřebná opatření a další ustanovení o spolupráci zaměstnavatele a zpracovatele. Ujednání o těchto náležitostech samozřejmě mohou být součástí standardní smlouvy upravující veškerá vzájemná práva a povinnosti. Pokud zaměstnavatel v současnosti nemá uzavřeny zpracovatelské smlouvy, měl by je uzavřít i se současnými zpracovateli. Praktické bude předmětné ujednání sjednat jako dodatek ke stávající smlouvě, na jejímž základě spolupráce probíhá.

Nařízení stanoví jako další povinnost vést záznamy o činnostech zpracování (čl. 30 Nařízení) všem zaměstnavatelům, kteří zaměstnávají 250 a více osob. Menších podniků se tato povinnost také dotkne, pokud jejich zpracování představuje riziko pro práva a svobody zaměstnanců (nebo jiných osob), zpracování není příležitostné, nebo zahrnuje citlivé osobní údaje či údaje o rozsudcích v trestních věcech a trestných činů (zaměstnanců nebo jiných osob). Nařízení nespecifikuje konkrétně, jak mají záznamy vypadat, ale stanoví minimální povinné náležitosti: identifikace správce, jeho zástupce a případného pověřence pro ochranu osobních údajů, účely zpracování, popis kategorií subjektů údajů a samotných osobních údajů, kategorie příjemců, informace o předání osobních údajů do třetí země, lhůtu pro výmaz a popis přijatých technických a organizačních bezpečnostních opatření. Zpracovatelé musí vést tyto záznamy také, ale na rozdíl od správců ve stručnější formě. Postačí identifikace zpracovatele a správce, kategorie zpracování, informace o předání osobních údajů do třetí země a popis přijatých technických a organizačních bezpečnostních opatření. Záznamy musí zaměstnavatel uchovávat a být připraven je na vyžádání úřadu poskytnout. Tato povinnost je asi nejblíže dosavadní oznamovací povinnosti podle § 16 zákona o ochraně osobních údajů, kterou od účinnosti Nařízení již zaměstnavatelé naopak nemají.

Následující povinnost mají pouze ti zaměstnavatelé, jejichž zpracování osobních údajů nese vysoké riziko pro práva a svobody fyzických osob. Tito zaměstnavatelé musí před samotným zpracováním posoudit jeho vliv na ochranu osobních údajů (čl. 35 Nařízení). Zaměstnanec je z pohledu pracovní skupiny WP29 zranitelný subjekt ve vztahu k zaměstnavateli.3) Proto WP29 mezi riziková zpracování zařadila například profilování zaměstnanců na základě jejich výkonů v zaměstnání nebo údaje vyplývající z monitorování zaměstnanců. Pro snazší orientaci úřad může připravit seznam zpracování, u kterých bude posouzení vlivu povinné. Pozitivní je v tomto případě možnost sdílet posouzení vlivu u shodných plánovaných zpracování. Tedy v případě poboček nebo členů skupiny, jejichž zaměstnanecká politika je stejná a vyžaduje posouzení vlivu, postačí jedno společné posouzení.

Pokud po posouzení vlivu dané zpracování ponese znaky rizikového zpracování a zaměstnavatel nemá k dispozici opatření ke zmenšení rizika, musí záměr o zpracování konzultovat s úřadem (čl. 36 Nařízení). Úřad ve lhůtě osmi týdnů (s možností prodloužení o šest týdnů) reaguje a informuje žadatele o konzultaci o případném porušení Nařízení.

Zvláštní povinnosti zaměstnavateli nastanou v případě porušení zabezpečení ochrany osobních údajů. Pokud se nejedná o porušení bez rizika pro zaměstnance, zaměstnavatel musí bezodkladně úřadu oznámit, že k porušení došlo (čl. 33 Nařízení). Součástí tohoto ohlášení musí být popis povahy daného případu, identifikace případného pověřence, popis pravděpodobných důsledků a popis opatření, která zaměstnavatel už přijal nebo chce přijmout. K takovému případu může dojít velice snadno jak při selhání fyzické osoby (která informace vynese nebo umožní jejich vynesení), tak při selhání technických opatření. O těchto porušeních musí být zaměstnavatelem vedena evidence. Druhou povinností je v tomto případě oznámení porušení zabezpečení zaměstnanci (čl. 34 Nařízení), pokud z něho plyne vysoké riziko pro jeho práva a svobody. Výjimkou z povinnosti oznámení zaměstnanci je situace, kdy zaměstnavatel již zavedl náležitá opatření, která údaje činí nesrozumitelnými nebo která zajistí, že vysoké riziko se již neprojeví. Oznámení není také nutné, pokud by vyžadovalo nepřiměřené úsilí, což ve vztahu k zaměstnanci spíše nenastane.

Zaměstnavatel má také povinnost zavést vhodná technická a organizační opatření, která odpovídají úrovni rizika daných osobních údajů. Nařízení sice dává některé konkrétní případy takových opatření, avšak obecně se jedná o širokou paletu organizačních nebo technických opatření, jejichž volba bude záležet mimo jiné na podmínkách konkrétního zaměstnavatele, na počtu zaměstnanců, na kategoriích osobních údajů, které zpracovává, a na jeho technických možnostech. Mezi potenciální organizační opatření řadíme například jasnou strukturu odpovědností za ochranu osobních údajů a vymezení přístupových práv k systémům, ve kterých jsou osobní údaje uchovávány, popsání a zavedení procesů pro zpracování osobních údajů a jejich dodržování, dále informovanost zaměstnanců a případné jmenování pověřence. Z možných technických opatření Nařízení zmiňuje například pseudonymizaci,4) a dále šifrování osobních údajů, které v případě úniku údajů zabrání jejich využití. Zaměstnavatel by měl všechna zavedená opatření pravidelně kontrolovat a reagovat na aktuální situaci, nelze se tak spoléhat na jednou zavedený postup a již jej neaktualizovat.

To ostatně platí i pro celý systém ochrany osobních údajů zaměstnavatelem. Zaměstnavatel by měl postupovat v souladu s principy Nařízení při zpracování osobních údajů zaměstnanců, vést k tomu zaměstnance a provádět pravidelnou kontrolu těchto procesů jako preventivní ochranu před případy porušení zabezpečení jejich ochrany. Pokud bude dodržovat své povinnosti a bude zpracovávat údaje v souladu s Nařízením, pak mu nehrozí obávané pokuty, jejichž horní hranice byla Nařízením zvýšena.

Některé specifické situace

Skupina WP29 vydala v roce 2017 stanovisko zaměřené přímo na některé vybrané situace, kdy jsou zaměstnavateli zpracovávány osobní údaje a které zároveň představují zvýšené riziko pro soukromí zaměstnanců.5) Na tomto místě stručně představíme některé z podstatných doporučení tohoto stanoviska.

Pokud bude zaměstnavatel získávat informace o potenciálním zaměstnanci prostřednictvím sociálních sítí, je do značné míry určující, zda tak činí z profesního profilu (např. LinkedIn) nebo profilu na sociální síti určeného k jinému účelu (např. Facebook). Zatímco zpracování relevantních informací o uchazeči z profesní sítě by v zásadě nemělo být problematické, zpracování informací ze soukromého profilu může být již v rozporu s GDPR, zejména tehdy, pokud by byla zpracovávána data, která nemají pro výběr zaměstnance relevanci. Zároveň by však měli být uchazeči předem informováni o tom, že potenciální zaměstnavatel může informace z jejich veřejného profilu v rámci výběrového řízení zpracovat za účelem výběru vhodného uchazeče. Informace může být poskytnuta například v inzerátu volného pracovního místa.

Hodlá-li zaměstnavatel provádět screening profilů na sociálních sítích u stávajících zaměstnanců za legitimním účelem (např. dodržování povinnosti mlčenlivosti) a zaměstnanci budou o takové možnosti předem informováni, může zaměstnavatel takovou činnost provádět. V opačném případě by tak činit neměl.

Pokud by zaměstnavatel poskytoval zaměstnanci služební vozidlo se zařízením umožňujícím monitoring pohybu (GPS), a vozidlo by zaměstnanec zároveň mohl užívat i k soukromým účelům, měla by existovat možnost pro dobu využití vozidla k soukromé jízdě sledování vypnout.

V posledním článku našeho třídílného miniseriálu se budeme věnovat pověřenci pro ochranu osobních údajů, jeho postavení, právům a povinnostem a zejména tomu, kteří zaměstnavatelé jej mít musejí a kteří nemusejí.

Související dokumenty

Související pracovní situace

Potvrzení o zaměstnání
Doručování písemností
Pracovní posudek
Rozvrh pracovní doby, pracovní týden a povinnosti zaměstnavatele
Doba pojištění (příspěvková, povinná)
Doba pojištění (příspěvková, dobrovolná)
Náhradní doba důchodového pojištění, vyloučená doba
Odchod do starobního důchodu
Odchod do „předčasného“ starobního důchodu
Odchod do invalidního důchodu
Vyrovnávací příspěvek v těhotenství a mateřství
Ošetřovné
Určení daňové rezidence dle SZDZ
Závislá činnost a SZDZ
Prohlášení poplatníka k uplatnění měsíčních slev na dani
Sleva na poplatníka a sleva na manželku (manžela)
Výpočet mzdy
Délka pracovní doby (obecně)
Nařízení práce přesčas
Nerovnoměrné rozvržení pracovní doby
Noční práce vs. práce v noci
Omezení práce přesčas a možnost zákazu inspekcí práce
Práce přesčas při kontu pracovní doby

Související články

Osobní údaje zpracovávané zaměstnavatelem a GDPR
Pověřenec pro ochranu osobních údajů
Soulad s GDPR při zajišťování BOZP a PO
Sledování zaměstnanců a právo na ochranu soukromí
Zpracování fotografií zaměstnanců v souladu s GDPR
Pre-employment background screening
GDPR - nové nařízení EU o ochraně osobních údajů
Daňové aktuality
Osobní údaje zpracovávané zaměstnavatelem a GDPR
Pověřenec pro ochranu osobních údajů
Soulad s GDPR při zajišťování BOZP a PO
Osobní údaje v elektronické podobě a GDPR
Ochrana osobních údajů zaměstnanců od A (přes GDPR) do Z
Nařízené testování zaměstnanců z pohledu GDPR
Přeshraniční předávání osobních údajů zaměstnanců
Vlastní systém hodnocení složitosti, odpovědnosti a namáhavosti prací
Compliance program jako nezbytný pomocník společnosti
Předávání osobních údajů do USA - od Safe Harbour k Data Privacy Framework
Stejná odměna za stejnou práci nebo práci stejné hodnoty podruhé
Klíč pro úspěšnou implementaci personálního informačního systému
Stanovení cíle práce jako motivačního nástroje zaměstnanců
Poskytování prostředků k výkonu odborové činnosti má své hranice

Související otázky a odpovědi

Poskytování osobních údajů zaměstnanců zákazníkům
Archivace HR dokladů
Uchování kopií dokladů
Kamerový systém na pracovišti a GDPR
Skartace a archivace z hlediska GDPR
GDPR
Uchovávání dokumentů - archivační lhůty
Součinnost zaměstnavatele s insolvenčním správcem
Archivace docházky
Kamery na pracovišti
Mzdové dokumenty - kopie nebo posílání emailem
Archivace pracovních smluv
Rodné listy dětí
Dvě odborové organizace
Bezplatný asistenční program pro zaměstnance
Zaměstnanecký benefit - rybářský lístek
Externí vedoucí pracovník
Pracovní smlouvy uzavřené na různou dobu u jednoho zaměstnavatele
Stravenkový paušál a odpracovaná doba/směna
Práce na dálku u DPP

Související předpisy

101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů