Ochrana osobních údajů  
2.2.2007, JUDr. Margerita Vysokajová, Zdroj: Verlag Dashöfer
Právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě je uvedeno čl. 10 Listiny základních práv a konkretizováno v zákoně č. 101/2000 Sb., o ochraně osobních údajů.

Právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě  je uvedeno čl. 10 Listiny základních práv a svobod, která je součástí ústavního pořádku České republiky. Podrobně je pak konkretizováno v zákoně č.101/2000 Sb., o ochraně osobních údajů, v platném znění,  který:

– poskytuje ochranu  osobním údajům o fyzických osobách bez rozdílu (tedy i informacím osobního charakteru o zaměstnancích),  

– upravuje práva a povinnosti subjektů, které tyto informace zpracovávají,

– stanoví podmínky, za nichž se uskutečňuje přenos osobních údajů do zahraničí

– zřizuje Úřad pro ochranu osobních údajů, který provádí mimo jiné dozor nad dodržováním povinností při zpracování osobních údajů.

 

Za osobní údaj považuje zákon jakoukoliv informaci, která se týká určeného nebo určitelného subjektu údajů.  Subjekt údajů (v pracovněprávních vztazích zaměstnanec nebo uchazeč o zaměstnání) se považuje za určený nebo určitelný, jestliže jej lze přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, které jsou specifické pro jeho fyzickou, psychickou, ekonomickou, kulturní nebo sociální identitu.  Takto lze např. jedince identifikovat přímo na základě jeho jména, rodného čísla, osobního čísla, ale i nepřímo uvedením některých výrazných osobních charakteristických rysů …“ten vysoký, hubený blonďák se silnými brýlemi, co sedí v účtárně  u prvního stolu“.

 

Osobní údaj, který vypovídá o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě zaměstnance, nebo  jakýkoliv  biometrický či genetický údaj o zaměstnanci je považován za údaj citlivý, pro jehož zpracování platí přísnější pravidla.

 

 

 

Zpracováním osobních údajů je jakákoliv systematická manipulace s nimi (shromažďování, ukládání, uchovávání pro účely pozdějšího zpracování, třídění a kombinování, úprava či pozměňování, vyhledávání, používání, šíření, zveřejňování, zpřístupňování, výměna, ale i jejich blokace (znepřístupnění po určitou dobu znemožňující jejich zpracování) a likvidace (tj. fyzické zničení nosiče –  skartace, vymazání).

 

Režimu ochrany  však nepodléhá  nahodilé shromažďování osobních údajů, k jejichž zjišťování však nedal zaměstnavatel žádný popud (např. nevyžádané údaje o členech rodiny či domácnosti uvedené v životopise zaměstnance), které zaměstnavatel netřídí ani s nimi jinak systematicky nepracuje.

 

Zaměstnavatelé mohou zpracovávat pouze osobní údaje získané podle zákona  (tj. nikoliv nekalým způsobem, např. bez vědomí zaměstnance, jehož se týkají) a jen v souladu s účelem, k němuž byly shromážděny, a v rozsahu nezbytném. Současně je zaměstnavatel povinen –  je-li to nezbytné –  osobní údaje aktualizovat a pokud zjistí, že  nejsou přesné, musí bez zbytečného odkladu provést přiměřená opatření (např. blokování údajů a jejich následnou úpravu či doplnění), o nichž musí informovat všechny jejich případné příjemce.

           

V praxi se občas vyskytuje problém s posouzením „nezbytného rozsahu“ osobních údajů. Shromažďováním údajů nad stanovený rámec by bylo např. zjišťování jmen a rodných čísel rodinných příslušníků zaměstnance, který na tyto osoby neuplatňuje snížení základu daně, nebo vyžadování sdělení čísel bankovních účtů také od zaměstnanců, kterým je celá mzda vyplácena v hotovosti, nebo předložení  výpisu z rejstříku trestů od všech zaměstnanců, ačkoliv pro jejich práci není bezúhonnost podstatným  požadavkem.

 

Pokud má zaměstnavatel možnost volit mezi více údaji s obdobnou vypovídací hodnotou (např. datum narození  a  rodné číslo), měl by zvolit údaj, který představuje menší zásah do soukromí osoby a přitom je z hlediska účelu jeho získávání v daném případě dostačující).

           

Po vzniku pracovního poměru zaměstnavatelé zpravidla vyžadují údaje o:

–         rodinném stavu zaměstnance, jeho manželovi/manželce a  nezaopatřených dětech

–         o rodičích (u mladistvých zaměstnanců),

–         o členství zaměstnance ve výboru odborové organizace (vzhledem k zvýšené ochraně v případě výpovědi či okamžitému zrušení pracovního poměru).

 

            Další povinností uloženou zaměstnavateli je uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Tato doba je některými právními předpisy výslovně stanovena  (např. doba uchovávání mzdových listů zaměstnanců je podle zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení  stanovena na 30 kalendářních roků následujících po roce, kterého se mzdový list týká). Po uplynutí dané doby vzniká zaměstnavateli další povinnost osobní údaje zlikvidovat. Jejich zpracovávání i po uplynutí určené doby je možné pouze pro účely statistické, vědecké nebo archivní podle ustanovení příslušných předpisů.

 

            Zaměstnavatel nesmí sdružovat osobní údaje, které byly získány k rozdílným účelům. Propojením různých evidencí údajů by tak mohl získat kvalitativně odlišné informace, které by však mohly představovat nepřípustný zásah do soukromí evidovaných osob.

 Zaměstnavatel je také povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu třetích osob k osobním údajům zaměstnanců, k jejich změně, zničení či ztrátě, neoprávněným přenosům, zpracování nebo jinému zneužití. Přijatá bezpečnostní opatření budou pochopitelně záviset na velikosti zaměstnavatele (počtu jeho zaměstnanců) a charakteru činnosti, z níž může vyplývat i nutnost předávání osobních údajů do zahraničí (mechanické překážky či elektronické zabezpečení kartoték, přístupová práva u počítačů, bezpečnostní zálohy, šifrování). V této souvislosti je zaměstnavateli uložena též povinnost dokumentovat přijatá a provedená opatření  k zajištění bezpečnosti osobních údajů. 

V případě, že zaměstnanec (oprávněná osoba) zjistí, že došlo k porušení povinností ve vztahu k ochraně informací o jeho osobě, má právo obrátit se na Úřad na ochranu osobních údajů a požadovat:

–         zdržení se dalšího protiprávního jednání, odstranění závad a poskytnutí omluvy nebo jiného zadostiučinění,

–         provedení opravy,

–         zablokování nebo likvidaci údajů

–         zaplacení peněžité náhrady, pokud by tímto porušením povinností bylo vážně narušena jeho lidská důstojnost, čest, dobrá pověst nebo právo na ochranu jména.

Z hlediska zaměstnavatele (povinné osoby) je důležité, zda se mu podaří prokázat, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze na něm požadovat.

Zaměstnavatel může  jiným osobám sdělovat (např. i zveřejnit na webových stránkách) pouze ty osobní údaje zaměstnance, které se týkají výlučně jeho pracovních aktivit a nevypovídají o jeho soukromém životě. Bez souhlasu zaměstnance lze sdělit pouze jeho jméno, funkční zařazení a kontakt na jeho pracoviště (číslo telefonu, faxu, adresu elektronické pošty).