Zaměstnavatelé jsou povinni chránit osobní údaje nejen svých současných zaměstnanců, ale také uchazečů o zaměstnání a bývalých zaměstnanců. V některých případech zaměstnavatel potřebuje souhlas se zpracováním osobních údajů zaměstnanců a v některých nikoliv. Vzhledem k tomu, že 25. 5. 2018 nabývá účinnosti Obecné nařízení Evropské unie o ochraně osobních údajů (GDPR), které upravuje povinnosti osob nakládajících s osobními údaji, tedy i zaměstnavatelů, nabízíme stručný náhled problematiky ochrany osobních údajů v rovině zaměstnavatel – pracovník.
Již nyní pro zaměstnavatele platí, že musí vhodným způsobem informovat zaměstnance o těchto skutečnostech:
Nařízení GDPR tyto povinnosti rozšiřuje o povinnosti:
Pověřence je nezbytné jmenovat v případech:
V souvislosti s GDPR se rozšířila od 1. 7. 2017 i pravomoc inspektorátu práce, které mohou nově zjišťovat, zda zaměstnavatelé dodržují povinnosti:
Během trvání pracovního poměru zaměstnavatel zpracovává osobní údaje svých zaměstnanců pro účely výpočtu mzdy, úhrady zdravotního a sociálního pojištění, daní apod. V těchto případech zaměstnavatel nepotřebuje výslovný souhlas zaměstnance se zpracováním jeho osobních údajů.
S citlivými údaji zaměstnavatel nakládá například při evidování pracovních úrazů a nemocí z povolání, kdy pracuje s údaji o zdravotním stavu zaměstnance. Ovšem i zde právní předpisy výslovně stanoví povinnost vést tuto evidenci, proto i tomto případě zaměstnavatel nepotřebuje výslovný souhlas zaměstnance.
Zákoník práce vypočítává dokumenty a písemnosti, které jsou nezbytné pro výkon práce (např. pracovní smlouva, mzdový výměr, potvrzení o dosaženém vzdělání, absolvovaných kurzech, životopis, dohoda o hmotné odpovědnosti...) a proto mohou být součástí osobního spisu zaměstnance. V rozporu s GDPR je shromažďování informací o sexuální orientaci zaměstnance, jeho původu, národnosti nebo o jeho členství v politických stranách či příslušnosti k církvi.
Omezení soukromí zaměstnance na pracovišti:
E-mailová pošta: E-mailová adresa zaměstnance na freemailovém serveru (např. seznam.cz, gmail.com), je vždy považována za soukromou poštu a proto do ní nemá právo zaměstnavatel vstupovat.
Pracovní e-mail (např. jan.maly@firma.cz), který má zaměstnanec zřízen k výkonu své práce, je však také považován za soukromý. Otevřít jej však opravňuje např. dlouhodobá absence pracovníka, kdy hrozí nebezpečí z prodlení s následkem škod.
Zvláštní režim mají e-maily s obecnou firemní adresou (např. info@firma.cz). Taková pošta není považována za soukromou, a proto do nich může vstupovat i zaměstnavatel.
Sledování aktivity zaměstnanců na internetu: Existuje mnoho nástrojů k monitorování aktivity zaměstnanců na internetu. Obecně však platí, že zaměstnavatel musí zaměstnance na případný monitoring upozornit a jeho kontrola musí být přiměřená a odůvodněná. Pokud zaměstnavatel nestanoví žádné podmínky pro využívání svěřených věcí pro osobní potřebu zaměstnance, ani jim k tomu nedá souhlas, platí, že zaměstnanec nesmí tyto věci k osobním účelům využívat.
Kamery na pracovišti: K instalaci kamer musí existovat legitimní důvod např. ochrana majetku zaměstnavatele, zajištění bezpečí na pracovišti či ochrana zdraví a života zaměstnanců. Další důležitou podmínkou pro umístění kamer na pracovišti je přiměřenost monitoringu. Kamery mohou sledovat pouze cíl, pro který byly na pracoviště umístěny. Je zakázáno, aby kamery sledovaly prostory jako jsou šatny, sprchy a WC. Pokud je instalován kamerový systém se záznamem, je nutné jeho provoz předem oznámit úřadu pro ochranu osobních údajů.
Pokud dochází k monitorování pracoviště, musí být zaměstnanci předem informováni o rozsahu a způsobu zpracování jejich osobních údajů a taky o tom, kdo bude mít k jejich osobním údajům přístup. Zaměstnavatelé by proto měli vydat vnitřní předpis, ve kterém budou potřebné informace obsaženy a s tímto předpisem prokazatelně (např. proti podpisu) seznámí své zaměstnance.
GPS ve služebních vozidlech: Stejně jako u kamer na pracovišti i GPS mohou být ve vozidlech, jen pokud sledují zvláštní zájem zaměstnavatele (např. ochranu majetku, vedení elektronické knihy jízd ...), pokud je kontrola přiměřená a pokud je zaměstnanec upozorněn na rozsah takové kontroly. Pokud je vozidlo se souhlasem zaměstnavatele používáno i k soukromým účelům zaměstnance, nelze jej monitorovat mimo jeho pracovní dobu.
Po skončení pracovního poměru může zaměstnavatel uchovávat osobní údaje zaměstnance pouze v rozsahu stanoveným právními předpisy – evidenční listy (3 roky), účetní podklady (5 let), záznamy o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti (6 let) a mzdové listy nebo účetní záznamy o údajích potřebných pro účely důchodového pojištění (30 let).
Pro účely výběrového řízení může zaměstnavatel osobní údaje zpracovávat bez souhlasu uchazeče o zaměstnání. Pokud není uchazeč přijat, musí zaměstnavatel osobní údaje uchazeče bez odkladu zlikvidovat. V případě, že chce zaměstnavatel uchovávat osobní údaje pro další výběrová řízení musí k tomu mít předchozí výslovný písemný souhlas uchazeče se specifikací: jaké údaje budou zpracovávány, kdo je bude zpracovávat, na jaké období je souhlas vydáván, včetně poznámky, že svůj souhlas může uchazeč kdykoliv odvolat. Zaměstnavatel tak nesmí vyžadovat informace týkající se původu, vyznání, těhotenství, rodinných a majetkových poměrů, sexuální orientace, členství v odborech a politických stranách.
Zpracování a uchovávání osobních údajů zaměstnanců vyžadovaných platnými právními předpisy nepodléhá povinnosti informovaného souhlasu zaměstnance. Není proto nutné doplňovat pracovní smlouvy a vyžadovat písemný souhlas se zpracováním osobních údajů pro účely mzdové agendy.
Povinností zaměstnavatele je informovat zaměstnance v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány => plnění zaměstnavatelových povinností dle platné legislativy, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny => zpracovatel mzdové agendy, po jakou dobu budou osobní údaje uchovávány => po dobu trvání pracovního poměru a dále podle požadavků jednotlivých předpisů. Také musí být pracovník seznámen s případným použitím prostředků omezujících soukromí zaměstnanců (kamerový systém, GPS ve vozech, kontrola přístupu na internet či firemní e-mailové pošty atd.). Současně je nutné zaměstnance informovat o jeho právech => o právu přístupu k osobním údajům, právu na opravu osobních údajů, či právu na vysvětlení ohledně zpracování osobních údajů.
Z důvodu prokazatelnosti se doporučuje nechat zaměstnance poskytnutí informací podpisem potvrdit i když GDPR písemný souhlas nevyžaduje. Jako samozřejmost se považuje podpis při používání prostředků omezujících soukromí.