GDPR a ochrana osobních údajů – ačkoliv se může zdát, že jde o témata minulého roku, není tomu tak. V praxi existuje stále řada pochybností a otázek. Podívejme se na některé z nich.
1. Lze monitorovat služební vozidla pomocí GPS?
Monitorování služebních vozidel při pracovních cestách pomocí GPS v rozsahu a způsobem potřebným pro ochranu a správu majetku je oprávněným zájmem zaměstnavatele, tedy zpracováním osobních údajů dle článku 6 odst. 1 písm. f) GDPR.
Umožní-li zaměstnavatel využívat služební vozidlo zaměstnanci i k soukromým účelům, jde o určitý druh benefitu. Úprava vzájemných práv a povinností se bude řídit dohodou o použití vozidla. Zaměstnanec by měl být na použití GPS sledování upozorněn, a to v rozsahu informace podle čl. 13 GDPR. Využije-li zaměstnanec vozidlo i v rámci svých soukromých aktivit, je nadále oprávněným zájmem zaměstnavatele chránit svůj majetek prostřednictvím GPS. Pokud podmínku zaměstnavatele ohledně GPS zaměstnanec neakceptuje, nedojde k uzavření smlouvy o použití vozidla, a nebude tak oprávněn předmětný benefit čerpat.
Je důležité však zdůraznit, že zaměstnavatel je oprávněn dále zpracovávat osobní údaje v rámci účelu, pro který byly shromážděny. Tedy zejména za účelem ochrany a správy majetku, vedení evidence jízd (knihy jízd), kterou je zaměstnavatel povinen vést k prokázání daňové uznatelnosti výdajů na pohonné hmoty, oprávněnosti odpisů auta či pro prokázání bezpečnostních přestávek zaměstnanců. Nikoliv však k intenzivní či stálé kontrole (zaměstnanců), která by byla v rozporu s § 316 odst. 2 a 3 zákoníku práce.
2. Jaký je právní důvod pro zpracování osobních údajů zaměstnance při poskytování benefitů?
Zpracování osobních údajů zaměstnance vychází z dohody se zaměstnavatelem o poskytnutí benefitu, v rámci které se zaměstnavatel zaváže k poskytnutí benefitu. Pokud zaměstnanec projeví o benefit zájem, dochází k účelnému zpracování osobních údajů v souvislosti s poskytovaným benefitem, tj. i k předání osobních údajů zaměstnance dalšímu příjemci, poskytovateli služby, pokud je jím benefit zajišťován. Právním důvodem pro předmětné zpracování je článek 6 odst. 1 písm. b) GDPR, tedy plnění smlouvy, a to i případě, že k poskytnutí benefitu se zaměstnavatel zavázal v kolektivní smlouvě či právo na benefity stanovil v rámci vnitřního předpisu zaměstnavatele. V závislosti na různých druzích benefitů je nutné podle čl. 13 GDPR poskytnout zaměstnancům adekvátní informaci o nutném předání osobních údajů poskytovateli benefitu a též i o rozsahu, v jakém budou předány.
3. Může zaměstnavatel požadovat a uchovávat výpis z rejstříku trestů zaměstnance?
Dle článku 10 GDPR se zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů může mimo jiné provádět, pokud je oprávněné dle členského státu poskytujícího vhodné záruky, pokud jde o práva a svobody subjektu údajů.
Údaje z evidence Rejstříku trestů slouží dle zákona č. 269/1994 Sb., o Rejstříku trestů, pro potřebu trestního, občanskoprávního nebo správního řízení a k prokazování bezúhonnosti.
Ve smyslu ustanovení § 316 odst. 4 zákona č. 262/2006 Sb., zákoník práce, jestliže je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, nebo v případech, kdy to stanoví tento zákon nebo zvláštní právní předpis, je zaměstnavatel oprávněn vyžadovat od zaměstnance informace o trestněprávní bezúhonnosti.
Vzhledem k výše uvedenému je zaměstnavatel v některých případech při splnění předmětných podmínek oprávněn vyžadovat výpis z rejstříku trestů a po účelem zpracování odůvodněnou dobu jej uchovávat. To samé platí i o poznámkách, které si na základě předloženého výpisu z Rejstříku trestů zaměstnavatel pořídí. Z výše uvedené dikce zákoníku práce současně vyplývá, že potřebnost výpisu ve vztahu k určité pracovní pozici si musí zaměstnavatel řádně (věcně) ujasnit.
4. Lze pořídit a zveřejnit fotografie zaměstnanců?
Předně si je nutné uvědomit, že ne každé pořízení a zveřejnění fotografie osoby je zpracováním osobních údajů podle GDPR.
Základní právní úpravou pro zacházení s fotografií člověka je zákon č. 89/2012 Sb., občanský zákoník. Zachytit podobu člověka tak, aby podle zobrazení bylo možné určit jeho totožnost, je možné až na výjimky jen s jeho svolením (§ 84 a násl. zákona č. 89/2012 Sb., občanský zákoník). Dle občanského zákoníku lze dále zachytit podobu člověka bez jeho souhlasu i pro výkon či ochranu jiných práv nebo právem chráněných zájmů jiných osob.
Zveřejňuje-li zaměstnavatel fotografie zaměstnanců z pořádaných firemních akcí na svých webových stránkách, jde o záležitost nespadající do GDPR, ale do práva občanského.
V rámci zpracování osobních údajů zaměstnavatelem jsou typickými situacemi, kdy zaměstnavatel pracuje s fotografiemi: vyhotovení zaměstnaneckých průkazů nebo uvedení pracovních pozic na internetových stránkách. Typickým právním důvodem pro taková zpracování fotografií jsou oprávněné zájmy zaměstnavatele podle čl. 6 odst. 1 písm. f) GDPR. Zaměstnavatel musí vždy zaměstnanci vysvětlit okolnosti, které vedou zaměstnavatele k vyžadování fotografie a sdělit mu způsoby jejího využití.
5. Jaké osobní údaje může vyžadovat potenciální zaměstnavatel v rámci výběrového řízení?
Dle ustanovení § 30 odst. 2 zákona č. 262/2006 Sb., zákoník práce, smí zaměstnavatel vyžadovat v souvislosti s jednáním před vznikem pracovního poměru od fyzické osoby, která se u něj uchází o práci, nebo od jiných osob jen údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy. Údaje, které jsou pro zaměstnavatele relevantní, jsou informace vztahující se ke kvalifikaci, pracovní praxi, dovednostem a znalostem dotyčného uchazeče o zaměstnání. Obdobné ustanovení obsahuje i § 12 odst. 2 zákona č. 435/2004 Sb., o zaměstnanosti, který stanovuje, že zaměstnavatel nesmí při výběru zaměstnanců vyžadovat informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace, není-li jejich vyžadování v souladu se zvláštním právním předpisem, dále informace, které odporují dobrým mravům, a osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem. Na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje.
6. Zaměstnavatel hodlá kontrolovat elektronickou poštu a přenos dat svých zaměstnanců. Má na to právo?
Dle ustanovení § 316 zákona č. 262/2006 Sb., zákoník práce, zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování zákazu podle věty první je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat. Za přiměřené lze považovat např. to, když zaměstnavatel sleduje množství a velikost odeslané a přijaté pošty zaměstnancem nebo domény navštívených internetových stránek. V případě zavedení sledovacích nástrojů je však zaměstnavatel povinen o tom zaměstnance přímo informovat.
7. Jaké jsou základní podmínky pro zpracování firemních i zaměstnaneckých dat v tzv. "cloudu"?
Správce osobních údajů, který s údaji primárně nakládá, rozhoduje o druzích prostředků, které budou pro zpracování osobních údajů použity. Jedním z technických prostředků může být právě varianta cloud computingu, tedy jakéhosi pronájmu výpočetního výkonu či úložného prostoru poskytovatele této služby. Z hlediska správce osobních údajů lze důrazně doporučit přistupovat k poskytovateli cloud computingu jako ke zpracovateli ve smyslu článku 4 odst. 8 GDPR. To však nezbavuje správce osobních údajů (tedy subjekt, který si cloud najímá) povinností, které jsou na něj GDPR kladeny, a v této souvislosti je nutné zmínit zejména povinnost stanovenou v článku 32 GDPR, která se týká zabezpečení osobních údajů. Je tak na správci, aby analyzoval dopady cloud computingu (analýza rizik), zajistil adekvátní opatření na své straně (např. šifrování dat) a aby si uzavřením smluvních vztahů s případným poskytovatelem služeb cloud computingu ošetřil veškeré podmínky zpracování (zajištění odpovídající úrovně zabezpečení; odpovědnost poskytovatele služeb/zpracovatele za jeho případná selhání s dopady do oblasti ochrany osobních údajů, garantování nevratné likvidace údajů apod.).
Z hlediska zákonných pravidel a záruk požadovaných pro předávání osobních údajů lze doporučit využívat pouze webové služby a cloudová úložiště, které se nacházejí na území EU a jsou plně pod jurisdikcí evropského práva, v takovém případě by pak měly být splněny i požadavky GDPR.