Klára Gottwaldová - osobní údaje v pracovněprávních vztazích

Jistě mi dáte za pravdu, že na HR oddělení jsou u zaměstnavatelů kladeny často náročné požadavky, kdy hlavně v souvislosti s událostmi posledního roku HR oddělením nepochybně přibyla nejen na poli ochrany osobních údajů v pracovněprávních vztazích další agenda. Pojďme se společně podívat na některé informace, zásady a tipy pro praxi související s ochranou osobních údajů v pracovněprávních vztahů.

KDE HLEDAT INFORMACE:

ü Webové stránky Úřadu pro ochranu osobních údajů: www.uoou.cz

TŘI RELEVANTNÍ PRÁVNÍ PŘEDPISY:

ü nařízení Evropského parlamentu a Rady (EU) 2016/679 – „GDPR“

ü zákon č. 110/2019 Sb., o zpracování osobních údajů

ü zákon č. 262/2006 Sb., zákoník práce

Mimo tyto předpisy je samozřejmě problematika ochrany osobních údajů v pracovněprávních vztazích upravena i v dalších právních předpisech (kupř. zákon č. 435/2004 Sb., zákon o zaměstnanosti, zákon č. 133/2000 Sb, o evidenci obyvatel a rodných číslech atd.)

Poznámka: Kde hledat texty právních předpisů na internetu? Mrkněte na: www.zakonyprolidi.cz)

CO JE NUTNÉ SI ZAPAMATOVAT:

- GDPR je přímo aplikovatelný právní předpis, tvoří tedy základní rámec právní úpravy ochrany osobních údajů.

- Při zpracování osobních údajů musí zaměstnavatel respektovat základní principy obsažené v čl. 5 GDPR.

- Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) na svých webových stránkách zveřejnil „Desatero zpracování pro správce osobních údajů“ (k dispozici ZDE):

1. Zpracování údajů, ať je nařízeno zákonem, prováděno z vůle správce nebo po dohodě či se souhlasem dotčených osob, musí být legitimní a nesmí být v rozporu s právními předpisy či morálkou.
2. Každé zpracování údajů musí být založeno na některém ze základních důvodů (právních titulů pro zpracování), nejčastěji se jedná o smluvní plnění, výkon právních povinností či plnění zákonného oprávnění, výkon veřejné moci nebo zpracování na základě souhlasu dotčené osoby.
3. Každý, kdo shromažďuje, dále zpracovává a uchovává osobní údaje, musí jasně vymezit (stanovit a být schopen vysvětlit) sledovaný záměr - účel zpracování údajů.
4. Všechny způsoby a formy, rozsah zpracování a doba uchovávání údajů musí být vždy přiměřené účelu zpracování.
5. Pokud detaily zpracování stanoví veřejnoprávní předpis, nelze se od nich většinou odchýlit. Každé zpracování ve veřejném sektoru musí mít jasný zákonný podklad, takové zpracování nelze nahradit souhlasem se zpracováním údajů.
6. Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit a chránit organizačními a technickými opatřeními – v míře odpovídající rizikovosti zpracování.
7. Zpracování by mělo být vůči dotčeným fyzickým osobám prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci.
8. Zpracování nesmí nadměrně zasahovat do soukromí. Správci mohou volit různé přiměřené prostředky zpracování, v případě moderních technologií jsou však povinni zvážit nová rizika i dopady do soukromí jednotlivců. Zejména musí uvážit důvodnost a oprávněnost každého sdílení či zveřejnění negativních či jinak citlivých údajů.
9. Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat. Delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů (státní statistická služba, nemocenské a důchodové pojištění apod.).
10. V rámci EU je v každé členské zemi zaručena unifikovaná ochrana osobních údajů, kterou stanoví obecné nařízení (GDPR). Předávat osobní údaje mimo Evropskou unii lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů.

SPRÁVCE vs. ZPRACOVATEL OSOBNÍCH ÚDAJŮ

Mohou nastat situace, kdy zaměstnavatel jakožto správce osobních údajů pověří třetí osobu zpracováním osobních údajů svých zaměstnanců – o takové osobě pak hovoříme jako o zpracovateli osobních údajů. Zpracovatele ve vztahu k zaměstnavateli může být kupř. externí mzdová účetní, za určitých okolností rovněž poskytovatel IT služeb. Se zpracovatelem osobních údajů je nutné mít uzavřenou zpracovatelskou smlouvu.

Je závodní lékař (poskytovatel pracovně lékařských služeb) ve vztahu k zaměstnavateli zpracovatelem osobních údajů?

K tomuto se vyjádřil ÚOOÚ, že nikoliv. Jedná se totiž o vztah správců vykonávajících samostatnou činnost. Skutečnost, že sdílejí pacienty, nezakládá povinnost uzavřít zpracovatelskou smlouvu. Stejně tak GDPR nezakládá povinnost uzavřít smlouvu o zpracování osobních údajů mezi zaměstnavatelem a poskytovatelem pracovně lékařských služeb. Na tuto a na řadu dalších otázek z oblasti zdravotnictví ÚOOU odpovídá ZDE.

CO JSOU TO CITLIVÉ OSOBNÍ ÚDAJE?

O tzv. citlivých osobních údajích GDPR hovoří jako o „zvláštní kategorii osobních údajů“ (čl. 9 GDPR). Jde o údaje, jejichž zpracování je až na výjimky zakázáno. Patří sem údaje, které vypovídají o:

• rasovém či etnickém původu,
• politických názorech,
• náboženském vyznání či filozofickém přesvědčení,
• členství v odborech, a 

Patří sem rovněž zpracování:

• genetických údajů,
• biometrických údajů za účelem jedinečné identifikace fyzické osoby,
• údajů o zdravotním stavu,
• údajů o sexuálním životě nebo sexuální orientaci fyzické osoby.

TIPY PRO NAŠI PRAXI

Problematika ochrany osobních údajů je velmi obsáhlá, přesto se pokusíme alespoň ve zkratce poskytnout vám tipy pro vaši praxi.

Vybíráme zaměstnance

Nejen při výběru zaměstnanců je třeba dbát na to, aby nedocházelo k diskriminaci, která je v pracovněprávních vztazích zakázána napříč různými právními předpisy. Zaměstnavatel nesmí při výběru zaměstnanců vyžadovat následující údaje (§ 12 odst. 2 zákona o zaměstnanosti):

- informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace (není-li jejich vyžadování v souladu s antidiskriminačním zákonem),

- dále informace, které odporují dobrým mravům, a

- osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem (na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje).

Uchazeč se stal naším zaměstnancem

Zaměstnavatelé často osobní údaje od zaměstnanců získávají tak, že požadované informace zaměstnanci uvedou do osobního dotazníku, který jim dá zaměstnavatel k vyplnění. V této souvislosti si dovolím z vlastní zkušenosti uvést, v čem zaměstnavatelé nejčastěji chybují:

ü  osobní dotazník předloží už uchazeči o zaměstnání a vyžadují po něm uvedení stejných osobních údajů jako po zaměstnanci (rozlišujme uchazeč x zaměstnanec),

ü  osobní dotazník je unifikovaný /vzorový/ a mnohdy je od zaměstnanců vyžadováno více informací, než je třeba (údaje o manželovi/manželce, o počtu dětí apod.).

POZNÁMKA: jednotný vzor osobního dotazníku neexistuje!

Velmi ráda bych upozornila rovněž na ust. § 316 odst. 4 zákoníku práce (ano, i zákoník práce řeší problematiku ochrany osobních údajů), které stanoví:

Zaměstnavatel nesmí vyžadovat od zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem uvedeným v § 3.

Nesmí vyžadovat informace zejména o:

1. a) těhotenství,
2. b) rodinných a majetkových poměrech,
3. c) sexuální orientaci,
4. d) původu,
5. e) členství v odborové organizaci,
6. f) členství v politických stranách nebo hnutích,
7. g) příslušnosti k církvi nebo náboženské společnosti,
8. h) trestněprávní bezúhonnosti;

to, s výjimkou písmen c), d), e), f) a g), neplatí, jestliže je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, nebo v případech, kdy to stanoví tento zákon nebo zvláštní právní předpis. Tyto informace nesmí zaměstnavatel získávat ani prostřednictvím třetích osob.

Za určitých výše uvedených podmínek tedy zaměstnavatel může vyžadovat údaje o těhotenství, rodinných a majetkových poměrech a trestněprávní bezúhonnosti.

POZNÁMKA: znáte vyhlášku č. 180/2015 Sb. – tzv. vyhlášku o zakázaných pracích a pracovištích? Tato vyhláška upravuje práce a pracoviště, které jsou zakázány těhotným zaměstnankyním, zaměstnankyním, které kojí, a zaměstnankyním-matkám do konce devátého měsíce po porodu, a dále práce a pracoviště, které jsou zakázány mladistvým zaměstnancům. Upravuje tož podmínky, za nichž mohou mladiství zaměstnanci výjimečně tyto práce konat z důvodu přípravy na povolání (vyhláška o zakázaných pracích a pracovištích)

Rodné číslo

Rodné číslo je osobním údajem. Jeho využití zaměstnavatelem je dáno především zákonnými požadavky – tedy stanoví tak zvláštní právní předpisy (nemocenské, důchodové, zdravotní pojištění atd.).

Rodné číslo v pracovní smlouvě – ano či ne?

Dle mého názoru se jedná o nadbytečný údaj, do pracovní smlouvy bych rodné číslo neuváděla. Zákoník práce ani nic takového nevyžaduje.

Osobní spis zaměstnance

Zákoník práce sice nestanoví zaměstnavateli povinnost vést osobní spis zaměstnance (Ust. § 312 zákoníku práce: Zaměstnavatel je oprávněn vést osobní spis zaměstnance (…)), prakticky si však vedení personální agendy bez osobních spisů zaměstnanců lze představit jen stěží. Je třeba myslet na to, že v osobním spisu smí být obsaženy pouze písemnosti, které jsou nezbytné pro výkon práce v základním pracovněprávním vztahu.

Může zaměstnanec nahlížet do svého osobního spisu?

Ano, může. Jedná se o právo, které je zakotveno přímo v zákoníku práce. Zaměstnanec si může z osobního spisu činit výpisy a pořizovat stejnopisy dokladů, které jsou v něm obsaženy, a to vše na náklady zaměstnavatele. Osobně doporučuji o nahlížení do spisu činit záznamy.

Kopie občanského průkazu v osobním spisu zaměstnance

Okopírovat občanský průkaz zaměstnance je možné pouze na základě jeho souhlasu, v souladu se zákonem o občanských průkazech (zákon č. 328/1999 Sb.).

Kromě souhlasu zaměstnance s pořízením kopie občanského průkazu však zaměstnavatel musí prokázat rovněž účel zpracování údajů uvedených v občanském průkazu (včetně kupř. fotografie).

Dle mého názoru nemá opodstatnění, aby součástí osobního spisu zaměstnance byla i kopie jeho občanského průkazu.

Kamery na pracovišti

Provozování kamerového systému na pracovišti je rovněž velmi obsáhlá a složitější problematika. Jak uvádí ÚOOÚ, provozování kamerového systému je považováno za zpracování osobních údajů podléhající povinnostem podle obecného nařízení, pokud je:

• automatizovaně prováděn záznam monitorovaného veřejného prostoru,
• zároveň je účelem pořizovaných informací a záznamů využití k identifikaci fyzických osob v souvislosti s určitým jednáním.

Údaje uchovávané v záznamovém zařízení, ať obrazové či zvukové, jsou osobními údaji za předpokladu, že na základě těchto záznamů (informace z obrazových či zvukových nahrávek) lze přímo či nepřímo identifikovat konkrétní fyzickou osobu. Fyzická osoba je identifikovatelná, pokud ze snímku, na němž je zachycena, jsou patrné její charakteristické rozpoznávací znaky (zejména obličej) a na základě propojení rozpoznávacích znaků s dalšími disponibilními údaji je možná plná identifikace osoby.

Nezapomeňte na vnitřní směrnici, která bude zaměstnance o provozování kamerového systému informovat!

Provozování kamerového systému již není třeba registrovat u ÚOOÚ. Registrace zpracování podle zákona o ochraně osobních údajů byla ukončena. Obecné nařízení již podobnou registrační povinnost neukládá.

Podrobnější informace a nejčastější otázky a odpovědi k provozování kamerového systému zpracované ÚOOÚ najdete na ZDE.

Souhlas zaměstnance se zpracováním osobních údajů

Využití souhlasu se zpracováním osobních údajů v pracovněprávních vztazích může být mnohdy problematické, na druhou stranu je třeba si uvědomit, že k většině zpracování osobních údajů zaměstnavatel nepotřebuje souhlas zaměstnance, protože osobní údaje zpracovává na základě jiných právních důvodů pro zpracování – zejména na základě plnění zákonné/smluvní povinnosti či na základě oprávněného zájmu. Souhlas je navíc odvolatelný. O možnosti souhlas odvolat navíc musí být zaměstnanec poučen.

A kdy v praxi využíváme souhlas se zpracováním osobních údajů jako právní důvod zpracování osobních údajů? Typicky je to kupříkladu využívání fotografií zaměstnanců (webové stránky apod.).


Autorka: Klára Gottwaldová