Nařízení, účinné od 25.5.2018 se dotkne všech zaměstnavatelů, neboť jako správci osobních údajů zpracovávají osobní
údaje svých zaměstnanců.
Zaměstnavatelé by měli před nabytím účinnosti nařízení zmapovat zpracování osobních údajů, revidovat právní tituly pro
zpracování (souhlas zaměstnance - více k nutnosti jeho souhlasu se zpracováním osobních údajů viz níže x plnění povinností
vyplývajících z právních předpisů x plnění smlouvy x oprávněné zájmy správce), proškolit zaměstnance, kteří s osobními
údaji nakládají a zajistit bezpečnost zpracování osobních údajů.
Každý zaměstnavatel by měl vést Záznam o činnosti zpracování osobních údajů. Výjimka z povinností vedení záznamů
o činnostech zpracování se týká menších a středních firem s méně než 250 zaměstnanci.
Ze stanoviska WP 29 ke zpracování údajů na pracovišti (plné znění k dispozici na
https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=28322):
Zaměstnavatelé by vždy měli pamatovat na základní zásady ochrany osobních údajů bez ohledu na použitou
technologii;
Na obsah elektronické komunikace posílané z pracovních prostor se vztahují stejná základní práva ochrany jako na
komunikace analogové;
Je vysoce nepravděpodobné, že souhlas by mohl být právním důvodem pro zpracování dat na pracovišti, ledaže
by zaměstnanci měli možnost odmítnout, aniž by to pro ně mělo neblahé důsledky; V případech, kdy zaměstnavatel
souhlas požaduje a případný zaměstnancův nesouhlas by vedl ke skutečné nebo možné újmě (což v souvislosti se
zaměstnáním může být vysoce pravděpodobné, hlavně týká-li se to průběžného sledování zaměstnance
zaměstnavatelem), pak souhlas není a ani nemůže být svobodný. Takže pro většinu případů zpracování
zaměstnaneckých dat nemůže a neměl by být zaměstnancův souhlas právním důvodem, jinými slovy je nutné mít
jiný právní základ. Zaměstnanci nejsou v postavení, vzhledem k nerovnováze sil, kdy by mohli dát zaměstnavateli
svobodný souhlas se zpracováním svých osobních údajů, a pokud by zpracování nebylo proporcionální, neměl by
zaměstnavatel právní důvod.
V některých případech se lze odvolat na plnění smlouvy a oprávněné zájmy za předpokladu, že zpracování je
skutečně nezbytné pro zákonné účely a je v souladu se zásadou proporcionality a subsidiarity;
Zaměstnanci by o probíhajícím monitorování měli být účinným způsobem informováni.
Zaměstnavatelé by měli zajistit, aby data byla zpracována pro konkrétní a zákonné účely, jež jsou proporcionální
a nezbytné; pamatovat na zásadu účelového omezení a zajistit, aby údaje byly přiměřené, relevantní a omezené
na nezbytný rozsah ve vztahu k účelu; uplatňovat zásady proporcionality a subsidiarity bez ohledu na uplatnitelný
právní důvod; být transparentní vůči zaměstnancům ohledně použití a účelů sledovacích technologií; umožnit
subjektům údajů výkon svých práv, včetně práva na přístup a, v náležitých případech, práva na opravu, výmaz nebo
zablokování osobních údajů; udržovat data přesná a neuchovávat je déle než je nutné; a učinit veškerá nezbytná
opatření k ochraně dat před neoprávněným přístupem a zajistit, aby si zaměstnanci byli dostatečně vědomi
povinností v oblasti ochrany dat.
Obecné nařízení v článku 25 vyžaduje od správců zavedení záměrné a standardní ochrany osobních údajů. Příklad:
poskytuje-li zaměstnavatel svým zaměstnancům nějaké přístroje, které jsou vybaveny sledovacími technologiemi,
měl by zvolit ty, jež jsou co nejšetrnější z hlediska ochrany soukromí. Vzít v úvahu je třeba také minimalizaci údajů.
Obecné nařízení v článku 35 ukládá správcům zpracovat posouzení vlivu na ochranu osobních údajů („posouzení
vlivu“), pokud určitý druh zpracování, zejména při využití nových technologií a s přihlédnutím k povaze, rozsahu,
kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob.
Zaměstnanci nejsou téměř nikdy v postavení, aby mohli dát souhlas svobodně nebo ho odmítnout či odvolat, což
je dáno závislostí vyplývající ze vztahu zaměstnavatel/zaměstnanec. Vzhledem k nerovnováze sil mohou
zaměstnanci udělit svobodný souhlas jen za výjimečných okolností, kdy souhlas nebo odmítnutí nevyvolá žádné
následky.
Oprávněný zájem zaměstnavatelů může být někdy uplatněn jako zákonný důvod, avšak jen pokud zpracování je
skutečně nutné pro tento oprávněný zájem a splňuje zásady proporcionality a subsidiarity. Test proporcionality
by měl být proveden před nasazením jakéhokoliv monitorovacího nástroje, aby se zvážilo, zda jsou všechna data
potřebná, zda dané zpracování nepřevažuje nad obecnými právy ohledně soukromí, kterých zaměstnanci požívají i
na pracovišti a jaká opatření je třeba učinit pro zajištění, že zásahy do práva na soukromý život a práva na důvěrnost
komunikace budou omezeny na nezbytné minimum.
Zaměstnanci by měli být účinným způsobem informováni o jakémkoliv na pracovišti probíhajícím sledování, jeho
účelech a okolnostech, jakož i o možnostech, jak mohou předcházet záznamu svých dat sledovacími technologiemi.
Politiky a pravidla ohledně zákonného sledování musí být jasné a snadno dostupné.
Zpracování dat na pracovišti musí být proporcionální odpovědí na rizika, kterým zaměstnavatel čelí. Například
zneužívání internetu lze odhalit bez nutnosti analyzovat obsah webové stránky. Jde-li zneužití předejít (např.
použitím webových filtrů), nemá zaměstnavatel na monitorování žádné obecné právo.
Plošný zákaz komunikace pro osobní účely je nepraktický a jeho prosazování by mohlo vyžadovat neproporcionální
míru sledování. Větší důraz by měl být kladen na prevenci, než na odhalování – zájmům zaměstnavatele poslouží
lépe prevence zneužití internetu prostřednictvím technických prostředků, než vynakládání zdrojů na jeho
odhalování.
Informace zaznamenávané cestou nepřetržitého sledování, stejně jako informace, které jsou zaměstnavateli
předkládány, by měly být co možná nejvíce minimalizovány. Zaměstnanci by měli mít možnost, za důvodných
okolností, dočasně vypnout sledování polohy. Systémy, které sledují například polohu vozidel, mohou být řešeny
tak, aby údaje o poloze registrovaly, aniž by je dále poskytovaly zaměstnavateli.
Zaměstnavatelé musí při rozhodování o nasazení nových technologií brát v úvahu minimalizaci údajů. Informace
by měly být uchovány jen po skutečně nezbytnou, konkrétně stanovenou dobu. Vždy, kdy už informace není
potřeba, měla by být smazána.
Obecně:
Zaměstnavatel jako správce osobních údajů smí zpracovávat pouze takové osobní údaje, které jsou nezbytné pro
naplnění stanoveného účelu (tedy plnění povinností zaměstnavatele, které ostatně vyplývají z právních
předpisů).
Nakládání s osobními údaji začíná ve chvíli, kdy zaměstnavatel poprvé získá osobní údaje od uchazeče o
zaměstnání. S těmito údaji může v nezbytném rozsahu nakládat i bez souhlasu uchazeče o zaměstnání (pokud se
uchazeč nestane zaměstnancem, je zaměstnavatel povinen tyto údaje zlikvidovat nebo disponovat písemným
souhlasem uchazeče).
Dle převažujícího názoru není nezbytně nutné uchovávat kopii dokladu totožnosti zaměstnance, pro tento případ
by měl zaměstnavatel disponovat písemným souhlasem zaměstnance.
Výslovný souhlas zaměstnance není třeba při vedení evidence pracovních úrazů nebo nemocí z povolání (byť se
jedná o citlivé informace o zdravotním stavu zaměstnanců), protože vedení takové evidence ukládá zaměstnavateli
zákon. Výslovný souhlas pochopitelně není třeba ani při zpracování osobních údajů v souvislosti s vedením
personální a mzdové agendy zaměstnance, neboť i to je plněním zákonné povinnosti zaměstnavatele.
Osobní spis – obsahuje osobní údaje zaměstnanců, jeho součástí mohou být pouze dokumenty, které jsou nezbytné
pro výkon práce. V rámci ochrany osobních údajů zaměstnanců musí být tyto údaje zabezpečeny a mohou být
přístupné pouze oprávněným osobám!
Po skončení pracovního poměru může zaměstnavatel uchovávat osobní údaje zaměstnance pouze v omezeném
rozsahu (údaje, jejichž uchování vyžadují právní předpisy, údaje nutné pro vedení soudního sporu se
zaměstnancem) a pouze po nezbytnou dobu.
Zaměstnavatel je povinen informovat zaměstnance o tom, jaké jeho osobní údaje zpracovává a k jakému účelu,
vymezit své oprávněné zájmy (pokud by například používal kamerové systémy nebo monitoring e-mailů, protože
taková opatření může zaměstnavatel přijmout pouze v případě, kdy k tomu má oprávněný zájem a přijaté opatření
není v nepoměru k právům zaměstnance na soukromí), sdělit zaměstnanci své kontaktní údaje.
V případě konkrétních dotazů klientů na konkrétní opatření (např. kamerové záznamy, sledování pohybu vozidel, systémy
docházky, sledování e-mailové komunikace apod.) poskytneme podrobnější informace k tomu, jaká opatření jsou z pohledu
ochrany osobních údajů, oprávněných zájmů zaměstnavatelů a práv zaměstnanců přiměřená. Tato opatření je totiž nutné
posuzovat individuálně ve vztahu ke zvoleným prostředkům.