18.6.2021
Jistě mi dáte za pravdu, že na HR oddělení jsou u zaměstnavatelů kladeny často náročné požadavky, kdy hlavně v souvislosti s událostmi posledního roku HR oddělením nepochybně přibyla nejen na poli ochrany osobních údajů v pracovněprávních vztazích další agenda. Pojďme se společně podívat na některé informace, zásady a tipy pro praxi související s ochranou osobních údajů v pracovněprávních vztahů.
KDE HLEDAT INFORMACE:
ü Webové stránky Úřadu pro ochranu osobních údajů: www.uoou.cz
TŘI RELEVANTNÍ PRÁVNÍ PŘEDPISY:
ü nařízení Evropského parlamentu a Rady (EU) 2016/679 – „GDPR“
ü zákon č. 110/2019 Sb., o zpracování osobních údajů
ü zákon č. 262/2006 Sb., zákoník práce
Mimo tyto předpisy je samozřejmě problematika ochrany osobních údajů v pracovněprávních vztazích upravena i v dalších právních předpisech (kupř. zákon č. 435/2004 Sb., zákon o zaměstnanosti, zákon č. 133/2000 Sb, o evidenci obyvatel a rodných číslech atd.)
Poznámka: Kde hledat texty právních předpisů na internetu? Mrkněte na: www.zakonyprolidi.cz)
CO JE NUTNÉ SI ZAPAMATOVAT:
- GDPR je přímo aplikovatelný právní předpis, tvoří tedy základní rámec právní úpravy ochrany osobních údajů.
- Při zpracování osobních údajů musí zaměstnavatel respektovat základní principy obsažené v čl. 5 GDPR.
- Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) na svých webových stránkách zveřejnil „Desatero zpracování pro správce osobních údajů“ (k dispozici ZDE):
SPRÁVCE vs. ZPRACOVATEL OSOBNÍCH ÚDAJŮ
Mohou nastat situace, kdy zaměstnavatel jakožto správce osobních údajů pověří třetí osobu zpracováním osobních údajů svých zaměstnanců – o takové osobě pak hovoříme jako o zpracovateli osobních údajů. Zpracovatele ve vztahu k zaměstnavateli může být kupř. externí mzdová účetní, za určitých okolností rovněž poskytovatel IT služeb. Se zpracovatelem osobních údajů je nutné mít uzavřenou zpracovatelskou smlouvu.
Je závodní lékař (poskytovatel pracovně lékařských služeb) ve vztahu k zaměstnavateli zpracovatelem osobních údajů?
K tomuto se vyjádřil ÚOOÚ, že nikoliv. Jedná se totiž o vztah správců vykonávajících samostatnou činnost. Skutečnost, že sdílejí pacienty, nezakládá povinnost uzavřít zpracovatelskou smlouvu. Stejně tak GDPR nezakládá povinnost uzavřít smlouvu o zpracování osobních údajů mezi zaměstnavatelem a poskytovatelem pracovně lékařských služeb. Na tuto a na řadu dalších otázek z oblasti zdravotnictví ÚOOU odpovídá ZDE.
CO JSOU TO CITLIVÉ OSOBNÍ ÚDAJE?
O tzv. citlivých osobních údajích GDPR hovoří jako o „zvláštní kategorii osobních údajů“ (čl. 9 GDPR). Jde o údaje, jejichž zpracování je až na výjimky zakázáno. Patří sem údaje, které vypovídají o:
Patří sem rovněž zpracování:
TIPY PRO NAŠI PRAXI
Problematika ochrany osobních údajů je velmi obsáhlá, přesto se pokusíme alespoň ve zkratce poskytnout vám tipy pro vaši praxi.
Vybíráme zaměstnance
Nejen při výběru zaměstnanců je třeba dbát na to, aby nedocházelo k diskriminaci, která je v pracovněprávních vztazích zakázána napříč různými právními předpisy. Zaměstnavatel nesmí při výběru zaměstnanců vyžadovat následující údaje (§ 12 odst. 2 zákona o zaměstnanosti):
- informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace (není-li jejich vyžadování v souladu s antidiskriminačním zákonem),
- dále informace, které odporují dobrým mravům, a
- osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem (na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje).
Uchazeč se stal naším zaměstnancem
Zaměstnavatelé často osobní údaje od zaměstnanců získávají tak, že požadované informace zaměstnanci uvedou do osobního dotazníku, který jim dá zaměstnavatel k vyplnění. V této souvislosti si dovolím z vlastní zkušenosti uvést, v čem zaměstnavatelé nejčastěji chybují:
ü osobní dotazník předloží už uchazeči o zaměstnání a vyžadují po něm uvedení stejných osobních údajů jako po zaměstnanci (rozlišujme uchazeč x zaměstnanec),
ü osobní dotazník je unifikovaný /vzorový/ a mnohdy je od zaměstnanců vyžadováno více informací, než je třeba (údaje o manželovi/manželce, o počtu dětí apod.).
POZNÁMKA: jednotný vzor osobního dotazníku neexistuje!
Velmi ráda bych upozornila rovněž na ust. § 316 odst. 4 zákoníku práce (ano, i zákoník práce řeší problematiku ochrany osobních údajů), které stanoví:
Zaměstnavatel nesmí vyžadovat od zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem uvedeným v § 3.
Nesmí vyžadovat informace zejména o:
to, s výjimkou písmen c), d), e), f) a g), neplatí, jestliže je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, nebo v případech, kdy to stanoví tento zákon nebo zvláštní právní předpis. Tyto informace nesmí zaměstnavatel získávat ani prostřednictvím třetích osob.
Za určitých výše uvedených podmínek tedy zaměstnavatel může vyžadovat údaje o těhotenství, rodinných a majetkových poměrech a trestněprávní bezúhonnosti.
POZNÁMKA: znáte vyhlášku č. 180/2015 Sb. – tzv. vyhlášku o zakázaných pracích a pracovištích? Tato vyhláška upravuje práce a pracoviště, které jsou zakázány těhotným zaměstnankyním, zaměstnankyním, které kojí, a zaměstnankyním-matkám do konce devátého měsíce po porodu, a dále práce a pracoviště, které jsou zakázány mladistvým zaměstnancům. Upravuje tož podmínky, za nichž mohou mladiství zaměstnanci výjimečně tyto práce konat z důvodu přípravy na povolání (vyhláška o zakázaných pracích a pracovištích)
Rodné číslo
Rodné číslo je osobním údajem. Jeho využití zaměstnavatelem je dáno především zákonnými požadavky – tedy stanoví tak zvláštní právní předpisy (nemocenské, důchodové, zdravotní pojištění atd.).
Rodné číslo v pracovní smlouvě – ano či ne?
Dle mého názoru se jedná o nadbytečný údaj, do pracovní smlouvy bych rodné číslo neuváděla. Zákoník práce ani nic takového nevyžaduje.
Osobní spis zaměstnance
Zákoník práce sice nestanoví zaměstnavateli povinnost vést osobní spis zaměstnance (Ust. § 312 zákoníku práce: Zaměstnavatel je oprávněn vést osobní spis zaměstnance (…)), prakticky si však vedení personální agendy bez osobních spisů zaměstnanců lze představit jen stěží. Je třeba myslet na to, že v osobním spisu smí být obsaženy pouze písemnosti, které jsou nezbytné pro výkon práce v základním pracovněprávním vztahu.
Může zaměstnanec nahlížet do svého osobního spisu?
Ano, může. Jedná se o právo, které je zakotveno přímo v zákoníku práce. Zaměstnanec si může z osobního spisu činit výpisy a pořizovat stejnopisy dokladů, které jsou v něm obsaženy, a to vše na náklady zaměstnavatele. Osobně doporučuji o nahlížení do spisu činit záznamy.
Kopie občanského průkazu v osobním spisu zaměstnance
Okopírovat občanský průkaz zaměstnance je možné pouze na základě jeho souhlasu, v souladu se zákonem o občanských průkazech (zákon č. 328/1999 Sb.).
Kromě souhlasu zaměstnance s pořízením kopie občanského průkazu však zaměstnavatel musí prokázat rovněž účel zpracování údajů uvedených v občanském průkazu (včetně kupř. fotografie).
Dle mého názoru nemá opodstatnění, aby součástí osobního spisu zaměstnance byla i kopie jeho občanského průkazu.
Kamery na pracovišti
Provozování kamerového systému na pracovišti je rovněž velmi obsáhlá a složitější problematika. Jak uvádí ÚOOÚ, provozování kamerového systému je považováno za zpracování osobních údajů podléhající povinnostem podle obecného nařízení, pokud je:
Údaje uchovávané v záznamovém zařízení, ať obrazové či zvukové, jsou osobními údaji za předpokladu, že na základě těchto záznamů (informace z obrazových či zvukových nahrávek) lze přímo či nepřímo identifikovat konkrétní fyzickou osobu. Fyzická osoba je identifikovatelná, pokud ze snímku, na němž je zachycena, jsou patrné její charakteristické rozpoznávací znaky (zejména obličej) a na základě propojení rozpoznávacích znaků s dalšími disponibilními údaji je možná plná identifikace osoby.
Nezapomeňte na vnitřní směrnici, která bude zaměstnance o provozování kamerového systému informovat!
Provozování kamerového systému již není třeba registrovat u ÚOOÚ. Registrace zpracování podle zákona o ochraně osobních údajů byla ukončena. Obecné nařízení již podobnou registrační povinnost neukládá.
Podrobnější informace a nejčastější otázky a odpovědi k provozování kamerového systému zpracované ÚOOÚ najdete na ZDE.
Souhlas zaměstnance se zpracováním osobních údajů
Využití souhlasu se zpracováním osobních údajů v pracovněprávních vztazích může být mnohdy problematické, na druhou stranu je třeba si uvědomit, že k většině zpracování osobních údajů zaměstnavatel nepotřebuje souhlas zaměstnance, protože osobní údaje zpracovává na základě jiných právních důvodů pro zpracování – zejména na základě plnění zákonné/smluvní povinnosti či na základě oprávněného zájmu. Souhlas je navíc odvolatelný. O možnosti souhlas odvolat navíc musí být zaměstnanec poučen.
A kdy v praxi využíváme souhlas se zpracováním osobních údajů jako právní důvod zpracování osobních údajů? Typicky je to kupříkladu využívání fotografií zaměstnanců (webové stránky apod.).
Autorka: Klára Gottwaldová