GDPR a některé povinnosti zaměstnavatelů

20.10.2017

Autor Mgr. Bc. Petra Františová, advokátka

Nová právní úprava nakládání s osobními údaji stanovená GDPR[1] sice začne být účinná až ode dne 25. května 2018, již nyní je však potřeba se na nové požadavky připravit. Zpracování osobních údajů se netýká pouze "velkých společností", které shromažďují údaje od svých klientů a zákazníků, ale dotkne se prakticky všech podnikatelů, kteří mají zaměstnance.

V současné době je nakládání s osobními údaji na úrovni EU upraveno Směrnicí Evropského parlamentu a Rady 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Implementace této směrnice byla v České republice provedena zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen "zákon o ochraně osobních údajů"). Zaměříme-li se výlučně na ochranu osobních údajů v rámci pracovněprávního vztahu, tedy povinností zaměstnavatele vůči jeho zaměstnancům, právní úpravu nalezneme rovněž v pracovněprávních předpisech (např. v zákoně č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů).

GDPR vstoupilo v platnost 24. května 2016, použije se však až ode dne 25. května 2018. GDPR nahradí současnou právní úpravu ochrany osobních údajů v podobě Směrnice 95/46/ES. Jelikož má GDPR formu nařízení, právní úprava bude přímo použitelná ve všech státech EU. Členské státy EU nebudou GDPR implementovat do národního právního řádu tak, jako tomu bylo u Směrnice 95/46/ES.

GDPR dává členským státům právo stanovit národním právním předpisem nebo kolektivními smlouvami konkrétnější pravidla k zajištění ochrany práv a svobod ve vztahu ke zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním.[2]

Cílem tohoto článku je vymezit některé povinnosti zaměstnavatelů v souvislosti se zpracováním osobních údajů. Upozorňuji, že v současné době je výklad některých ustanovení GDPR nejasný a je potřeba vyčkat na novelizaci zákona o ochraně osobních údajů a sledovat výkladová stanoviska Úřadu pro ochranu osobních údajů.

Základní povinnosti zaměstnavatele

Úvodem je potřeba zdůraznit základní zásady zpracování osobních údajů stanovené GDPR. Osobní údaje musí být: a) ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem; b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány; d) přesné a v případě potřeby aktualizované; e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; a f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením (čl. 5 GDPR).

Základní povinností zaměstnavatele je získat v určitých případech souhlas se zpracováním osobních údajů. Souhlas není nutný v případě, že zpracování osobních údajů je nezbytné pro splnění právních povinností zaměstnavatele nebo pro splnění pracovněprávní smlouvy (čl. 6 odst. 1 písm. b) a c) GDPR). Jako příklad lze uvést situaci, kdy pro správný výpočet mzdy zaměstnance musí zaměstnavatel vědět vzdělání zaměstnance a jeho předchozí praxi. Ke zpracovávání osobního údaje tohoto typu nepotřebuje zaměstnavatel souhlas zaměstnance. Souhlas je naopak nutný v případě, kdy bude zaměstnavatel chtít zpracovávat jiný osobní údaj, než který je nezbytný pro splnění právních povinností zaměstnavatele nebo pro splnění pracovněprávní smlouvy, příp. chce osobní údaj využít k jinému účelu (čl. 6 odst. 1 písm. a), odst. 4 GDPR). Taková situace může nastat například v případě pořizování fotografií obličeje zaměstnance při vzniku pracovněprávního poměru, kdy fotografie zaměstnanců zaměstnavatel zpracovává ve svém vnitropodnikovém systému a používá je např. na firemních identifikačních kartách.

GDPR stanovuje, že souhlas musí být svobodný, určitý, informovaný a jednoznačný. Žádost o vyjádření souhlasu musí být srozumitelná, a pokud je souhlas součástí jiného dokumentu (např. pracovní smlouvy), musí být zřetelně oddělen. GDPR dává zaměstnavateli, jako správci osobních údajů, povinnost být schopen vždy udělení souhlasu doložit a zaměstnanci dává možnost souhlas kdykoli odvolat (čl. 4 odst. 11, čl. 7 GDPR).

GDPR zakazuje zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Jedná se o tzv. citlivé údaje[3] (čl. 9 odst. 1 GDPR). Zpracování některých citlivých údajů je zaměstnavateli povoleno, pokud je zpracování nezbytné pro účely plnění povinností v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany či pro posouzení pracovní schopnosti zaměstnance (čl. 9 odst. 2 písm. b) a h) GDPR).

Zaměstnavatel je povinen poskytnout zaměstnanci v okamžiku získání osobních údajů informace o totožnosti zaměstnavatele, včetně jeho kontaktních údajů, účelu zpracování, pro který jsou osobní údaje určeny, a právním základu pro zpracování, oprávněných zájmů zaměstnavatele, případných příjemců osobních údajů a případném úmyslu zaměstnavatele předat osobní údaje do třetí země nebo mezinárodní organizace. Dalšími informacemi, které musí zaměstnavatel zaměstnanci sdělit (jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování), jsou doba, po kterou budou osobní údaje zpracovávány, existence práva požadovat od zaměstnavatele přístup k osobním údajům, jejich opravu nebo výmaz, popřípadě omezení zpracování, a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů, pokud je zpracování založeno na souhlasu zaměstnance se zpracováním osobních údajů. Dále informace o existenci práva odvolat kdykoli souhlas, existenci práva podat stížnost u Úřadu pro ochranu osobních údajů a skutečnosti, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má zaměstnanec povinnost osobní údaje poskytnout. V neposlední řadě pak informace ohledně možných důsledků neposkytnutí těchto údajů. Výše uvedené neplatí v případě, že zaměstnanec již uvedené informace má, a do té míry, v níž je má (např. povinnost zaměstnavatele zpracovávat určité osobní údaje je stanovená zvláštním právním předpisem), (čl. 13 GDPR).

Neméně významnou povinností zaměstnavatele je povinnost umožnit zaměstnanci přístup k osobním údajům, včetně povinnosti vydat potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, poskytnout přístup k těmto osobním údajům a informacím stanoveným GDPR a vydat kopii zpracovávaných osobních údajů (čl. 15 GDPR). Opravit nepřesné osobní údaje nebo doplnit neúplné osobní údaje zaměstnance je zaměstnavatel povinen bez zbytečného odkladu poté, co se o skutečnostech dozví (čl. 16 GDPR).

Novinkou, kterou přineslo GDPR, je povinnost zaměstnavatele vymazat ve stanovených případech osobní údaje o zaměstnanci. Jedná se o situaci, kdy osobní údaje již nejsou potřebné pro účely, pro které byly zpracovány, zaměstnanec odvolá souhlas ke zpracování a neexistuje žádný další právní důvod pro zpracování, zaměstnanec vznese námitky proti zpracování podle GDPR nebo případ, kdy osobní údaje byly zpracovány protiprávně. Uvedené neplatí v případě, kdy zaměstnavatel zpracovává osobní údaje z důvodu plnění právních povinností stanovených zvláštním zákonem (zejm. pracovněprávními předpisy), (čl. 17 GDPR).

Povinnosti zaměstnavatele související se zabezpečením osobních údajů

Zaměstnavatel je povinen chránit osobní údaje zaměstnanců za využití vhodných technických a organizačních opatření, aby byla zajištěna úroveň zabezpečení odpovídající danému riziku (čl. 32 GDPR). V současně době není zcela zřejmé, co je možné považovat za vhodná technická a organizační opatření, která by zajistila úroveň zabezpečení odpovídající danému riziku. Do doby, než bude tento pojem objasněn, je vhodné se inspirovat např. ISO normami upravující zabezpečení informací.

Další významnou povinností je povinnost ohlašovat Úřadu pro ochranu osobních údajů případy porušení zabezpečení osobních údajů zaměstnanců. Lhůtu GDPR stanovuje "bez zbytečného odkladu, pokud možno do 72 hodin" (čl. 33 GDPR). Výjimku tvoří situace, kdy je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob. Dle názoru autorky článku bude riziko v případě zpracovávání osobních údajů zaměstnanců vždy existovat!

Je-li pravděpodobné, že porušení zabezpečení osobních údajů zaměstnance bude mít za následek vysoké riziko pro práva a svobody zaměstnance, zaměstnavateli je uložena povinnost informovat zaměstnance o případech porušení zabezpečení jeho osobních údajů. GDPR opět stanovuje výjimky, např. situace, kdy zaměstnavatel zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování (čl. 34 GDPR).

GRPR stanovuje některé další povinnosti pro zaměstnavatele, které by se však neměly vztahovat na "běžné zaměstnavatele". Jedná se o povinnost zaměstnavatele jmenovat pověřence pro ochranu osobních údajů. Tato povinnost se týká orgánů veřejné moci, veřejných subjektů (s výjimkou soudů), správců osobních údajů, jejichž hlavní činností je rozsáhlé pravidelné a systematické monitorování subjektů údajů, a správců, kteří rozsáhle zpracovávají zvláštní kategorii údajů (čl. 37 GDPR).

Na závěr je třeba poznamenat, že se nejedná o úplný výčet povinností zaměstnavatele ve vztahu ke svým zaměstnancům v oblasti zpracování osobních údajů. Všem zaměstnavatelům doporučuji obrátit se na odborníka zabývající se uvedenou problematikou a již nyní přizpůsobit zpracovávání osobních údajů nové právní úpravě.


[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů); z anglického označení "General Data Protection Regulation"
[2] "zejména za účelem náboru, plnění pracovní smlouvy včetně plnění povinností stanovených zákonem nebo kolektivními smlouvami, řízení, plánování a organizace práce, za účelem zajištění rovnosti a rozmanitosti na pracovišti, zdraví a bezpečnosti na pracovišti, ochrany majetku zaměstnavatele nebo majetku zákazníka, dále za účelem individuálního a kolektivního výkonu a požívání práv a výhod spojených se zaměstnáním a za účelem ukončení zaměstnaneckého poměru." - čl. 88 GRPR
[3] GDPR nazývá citlivé údaje jako "zvláštní kategorie osobních údajů"

Tento článek byl dne 20. 10. 2017 publikován na portále epravo.cz.