Sledování zaměstnanců a právo na ochranu soukromí

Mgr. Jiří Salač LL.M. (Kiel)

JUDr. Michal Dvořák

Vydáno: 24 minut čtení

Zaměstnavatelé vnímají kontrolu plnění pracovních povinností zaměstnanci, včetně kontroly řádného hospodaření s majetkem zaměstnavatele, jako jedno ze svých stěžejních práv. Vskutku, dle zdravého rozumu je legitimní, aby zaměstnavatel zaměstnance při užívání svěřeného majetku určeného k plnění pracovních úkolů kontroloval. Tato kontrola a jiné sledování jsou ovšem zaměstnavatelem velice často vykonávány, ač nevědomky a možná i s dobrým úmyslem, v rozporu se zákonem. Rozsah práva zaměstnavatele kontrolovat totiž není bezbřehý, jelikož právo zaměstnavatele na kontrole zaměstnanců je ve střetu s právem zaměstnance na ochranu jeho osobnosti a soukromí.

Česká právní úprava je v této oblasti velice úsporná, zaměstnavatelé se mohou v zásadě opřít pouze o ustanovení § 316 zákoníku práce; stejně tak rozhodnutí českých soudů v této oblasti není mnoho. Jelikož oprávnění zaměstnavatelů z platného práva jasně nevyplývá, poskytujeme v následujícím textu zaměstnavatelům právní rozbor této problematiky a praktické rady pro některé typické situace, ve kterých se mohou ocitnout.

Právní limity soukromí zaměstnanců

S ohledem na to, že český právní řád nenabízí mnoho vodítek, podle kterých lze posoudit hranice soukromí zaměstnanců, je nutno se pro inspiraci obrátit mimo hranice České republiky, konkrétně především k rozhodovací praxi Evropského soudu pro lidská práva ve Štrasburku („ESLP“), tedy mezinárodního soudu zřízeného za účelem projednávání porušení Úmluvy o ochraně lidských práv a základních svobod z roku 1950. Rozhodovací praxe tohoto soudu je pro české státní orgány závazná, české úřady i soudy tedy musí dle závěrů tohoto soudu posuzovat případy v České republice.

Východiskem pro ochranu soukromí zaměstnanců dle ESLP je tzv. princip legitimního očekávání soukromí zaměstnance na pracovišti. Tento princip začal být používán v 60. letech ve Spojených státech amerických a prostupuje všechny oblasti kontroly zaměstnanců. V souladu s ním je vždy nutno posoudit, zda zaměstnanec v určité situaci může rozumně očekávat soukromí, či nikoliv. Níže nabízíme přehled typických případů, ke kterým na pracovišti dochází, a názor soudu na hranice soukromí zaměstnanců.

ESLP se ke sledování zaměstnanců vyjádřil např. v případech Halford v. United Kingdom a následně Copland v. United Kingdom, když dovodil, že v rámci ochrany soukromí a listovního tajemství jsou chráněny telefonní hovory, e-mailová komunikace včetně té pracovní i internetová aktivita. Zaměstnanec tedy může rozumně očekávat soukromí při užívání těchto prostředků. Dle jednoho z novějších rozhodnutí ESLP k problematice soukromí zaměstnanců ve věci Barbulescu vs. Romania, tedy ve věci zaměstnance, který používal na pracovním počítači tehdy populární Yahoo Messenger, bylo dokonce dovozeno, že jakákoliv komunikace zaměstnance, včetně komunikace na „messengeru“, spadá pod koncept soukromého života a je zahrnuta v ochraně soukromí.

V jiném rozhodnutí (Akhlyustin vs. Russia) se ESLP zabýval otázkou, zda zaměstnanec mohl rozumně očekávat soukromí na pracovišti, kde byl nahráván kamerou se zvukem, když tyto nahrávky poté byly použity proti zaměstnanci v soudním řízení. Mimo jiné s ohledem na skutečnost, že zaměstnanec nebyl informován, bylo dovozeno, že zaměstnavatel postupoval protiprávně a využitím sledovacích zařízení porušil zaměstnancovo právo na soukromí.

Další typická situace byla soudem řešena v rámci stížnosti Peev vs. Bulgaria, když si zaměstnanec stěžoval na prohlídku jeho kanceláře zaměstnavatelem. Situace byla o to choulostivější, že zaměstnanec měl v šuplíku psacího stolu napsanou výpověď, kterou se ovšem rozhodl nepodat. Zaměstnavatel ji ovšem při prohlídce našel a od toho okamžiku zaměstnanci zamezil ve vstupu do jeho kanceláře. ESLP při posuzování tohoto případu vyslovil jasnou nutnost ochrany soukromí ve vztahu k zaměstnancově pracovnímu stolu i šuplíkům a shledal, že zaměstnanec ve vztahu k vlastnímu stolu a šuplíkům soukromí zcela rozumně očekávat může. Ochrana by ovšem přiznána nebyla, pokud by zaměstnavatel zakázal zaměstnancům na stole či v šuplících uchovávat soukromé předměty.

Jak vyplývá z uvedené rozhodovací praxe Evropského soudu pro lidská práva, soukromí zaměstnanců je velice široká množina. Spadá do ní nejen soukromí ve vztahu k pracovním prostředkům zaměstnanců, jako např. počítač, notebook či tablet, ale zahrnuje také komunikační kanály, ať už se jedná o SMS, MMS, e-mail či chatovací aplikace, dále prostory pracoviště, přičemž nejde pouze o snímání zaměstnanců kamerou či odposlech prostor, nýbrž také o pracovní stůl, šuplíky a jiné úložné prostory poskytnuté zaměstnancům.

Lze shrnout, že zaměstnanci jako slabší strany v pracovním poměru mají právo na soukromí, které je hodno ochrany i na pracovišti. Právo zaměstnanců na soukromí ovšem není absolutní a mimo jiné výkonem práva zaměstnavatele na ochranu jeho majetku je nevyhnutelně narušováno.

Kontrola zaměstnanců dle zákoníku práce

Český zákonodárce totiž výslovně v ustanovení § 316 odst. 1 zákoníku práce říká, že zaměstnavatel je oprávněn přiměřeným způsobem kontrolovat, zda zaměstnanci bez jeho souhlasu neužívají pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky a telekomunikačních zařízení. Přestože je česká právní úprava této problematiky velice strohá, výslovné ustanovení, které zaměstnavateli dává právo zaměstnance kontrolovat, tedy nacházíme.

Zákon přitom hovoří o kontrole přiměřené, ovšem co je oním „přiměřeným způsobem“ kontroly již stanoveno není. Přiměřenost je jistě nutno vykládat s ohledem na ochranu soukromí zaměstnance, ovšem nelze ji vykládat ani příliš restriktivně. Jelikož je zaměstnavatel ke kontrole oprávněn nejen dle zdravého rozumu, ale přímo ze zákona, musí mít také možnost tuto kontrolu realizovat efektivním způsobem a získat případně důkaz o nedodržování uvedeného zákazu.

Sledovací opatření aneb invazivní kontrolní mechanismy

Zákonodárce v ustanovení § 316 odst. 2 a 3 zákoníku práce dále vymezuje sledovací prostředky invazivního charakteru podléhající přísnějším pravidlům, neboť aby mohl zaměstnavatel podrobit zaměstnance na pracovišti či ve společných prostorách (i) otevřenému nebo skrytému sledování, (ii) odposlechu a záznamu telefonických hovorů, (iii) kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci, musí být splněna nejen informační povinnost vůči zaměstnancům, nýbrž také další požadavky.

Předně musí existovat závažný důvod (účel) spočívající ve zvláštní povaze činnosti zaměstnavatele. Mezi závažné důvody, tedy účely sledování, řadíme ochranu života a zdraví zaměstnavatele, zaměstnance či jiných osob na pracovišti, dále ochranu majetku těchto osob.

Při zavádění sledovacích opatření je vždy nutno přísně hlídat rozsah sledovaných a zaznamenávaných informací. Ten je předně ovlivněn samotným důvodem sledování, pro který se sledovací opatření zavádějí. Jak bude dále rozebráno, je též nutné řídit se minimalizací údajů a zpracovávat ten nejmenší počet informací, který dostačuje k naplnění účelu sledování.

Upozorňujeme, že zaměstnavatel je primárně oprávněn provádět pouze tzv. otevřené sledování, tzn. takové, o kterém je zaměstnanec dopředu informován. Dle názoru Nejvyššího soudu1) tzv. skryté sledování sice možné je, ovšem pouze v případě, kdy dokazovanou skutečnost nelze prokázat jinak. Zvolený způsob sledování musí být ten nejméně invazivní, který je schopen naplnit účel sledování.

Ochrana osobních údajů zaměstnanců

Než přistoupíme ke konkrétním doporučením pro zaměstnavatele, považujeme za vhodné připomenout, že celá problematika kontroly, resp. sledování zaměstnanců, je úzce spjata s ochranou osobních údajů zaměstnanců. Nesmíme totiž zapomínat, že zaměstnavatel je správcem osobních údajů svých zaměstnanců dle GDPR platného od roku 2018.

Ke zpracování jakéhokoliv osobního údaje musí mít zaměstnavatel právní důvod, jinak se jedná o nezákonné zpracování, které může být podle GDPR tvrdě sankcionováno. Většina osobních údajů zaměstnanců je zaměstnavatelem zpracovávána (i) ke sjednání a naplňování pracovněprávního vztahu nebo (ii) pro účely plnění zákonem stanovených povinností, tedy v souladu s článkem 6 odst. 1 písm. b) a c) GDPR. Sem spadá např. zpracování osobních údajů v rámci agendy sociálního a zdravotního pojištění, výpočtu mzdy, dovolené či problematiky daňové.

Zákonnost zpracování osobních údajů při kontrole či jiném sledování zaměstnanců ovšem není založena ani na jednom z těchto právních důvodů zpracování. Oprávnění zaměstnavatele zpracovávat při kontrole zaměstnanců jejich osobní údaje vyplývá ze skutečnosti, že zpracování je nezbytné pro účely oprávněných zájmů zaměstnavatele dle čl. 6 odst. 1 písm. f) GDPR. Oprávněný zájem potom spočívá v ochraně majetku, života a zdraví, přičemž vždy je nutno zvážit proporcionalitu oprávněného zájmu a posoudit, zda zaměstnavatel již nevybočuje z hranic oprávněného zájmu a nadmíru nezasahuje do základních práv a svobod svých zaměstnanců – je tedy nutné provedení tzv. balančního testu.

Výsledkem tohoto balančního testu má být odpověď na otázku, zda před oprávněnými zájmy zaměstnavatele nemá spíše přednost ochrana osobních údajů, soukromí a listovního tajemství zaměstnanců. Balanční test bude proveden typicky za pomoci právních poradců, přičemž by měl být zaznamenán a jeho výsledky případně použity k odůvodnění oprávněného zájmu v případě kontroly ze strany Úřadu pro ochranu osobních údajů („ÚOOÚ“) či Státního úřadu inspekce práce.

Při posouzení aktuálně používaných nebo zavádění nových metod kontroly, resp. sledování zaměstnanců je nutné dbát na povinnost zpracovávat pouze osobní údaje „přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány“. V souladu s touto zásadou minimalizace údajů mají tedy být zpracovávány vždy pouze ty osobní údaje, které jsou nezbytné pro sledovaný účel zpracování, ostatní naopak zpracovávány být nesmějí.

Souhlas zaměstnance se zpracováním osobních údajů

Souhlasem dle GDPR se rozumí svobodný, konkrétní, informovaný, jednoznačný a kdykoliv odvolatelný projev vůle. S ohledem na specifický vztah zaměstnance a zaměstnavatele charakterizovaný nadřízeností zaměstnavatele a existenční závislostí zaměstnance na zaměstnavateli se dovozuje, že zaměstnanci nemohou souhlas svobodně udělit, odmítnout či odvolat v zásadě nikdy. Jedinou výjimkou, kdy zaměstnanec svobodný souhlas platně udělit může, je „nekonfliktní“ situace, kdy odmítnutí nebo odvolání tohoto souhlasu zaměstnancem nevyvolá žádné následky – půjde například o uveřejnění fotografie zaměstnance na webu zaměstnavatele.

Použití souhlasu zaměstnance jako právního titulu ke zpracování osobních údajů za účelem kontroly a sledování možné není. Často se bohužel setkáváme s nesprávným dojmem zaměstnavatelů, dle kterého méně závažné formy sledování zaměstnanců souhlas nepotřebují, naopak je ovšem nutno „pojistit“ souhlasem zaměstnance invazivnější formy, jako např. implementaci tzv. keyloggerů – softwaru snímajícího stisky jednotlivých kláves – či tzv. real time – sledování polohy mobilního telefonu pomocí GPS.

Skutečnost je ovšem taková, že zpracování osobních údajů při kontrole zaměstnanců má dle současného výkladu GDPR zásadně pouze dva režimy. Pokud forma kontroly (sledování) projde „balančním testem“, tedy nadmíru nezasahuje do základních práv a svobod zaměstnanců, poté spadá pod tzv. nezbytné zpracování pro účely oprávněných zájmů zaměstnavatele dle čl. 6 odst. 1 písm. f) GDPR.

Pokud ovšem určitý zásah do soukromí zaměstnanců balančním testem neprojde, jedná se o nepřiměřený, a tedy protiprávní zásah do práv zaměstnanců, který je možné sankcionovat vysokými pokutami. Toto zpracování osobních údajů poté zcela jistě nelze legitimizovat poskytnutím souhlasu zaměstnance, jelikož jak bylo výše řečeno, zaměstnanec svobodný souhlas nemůže platně udělit z důvodu hrozby následků.

Sankce za porušení povinností při ochraně soukromí zaměstnanců

Počínaje červnem roku 2000 bylo za porušení povinností v oblasti kontroly a sledování zaměstnanců možno uložit sankce pouze dle dnes již zrušeného zákona o ochraně osobních údajů. S ohledem na akcentovanost ochrany soukromí osobních údajů v posledních letech ovšem začaly přibývat případy, kdy Státní úřad inspekce práce řešil nezákonné sledování zaměstnanců. Nejen z tohoto důvodu byla zákonem č. 206/2017 Sb. s účinností od července 2017 provedena novela zákona o inspekci práce, která do českého právního řádu implementovala dříve neexistující přestupky na úseku ochrany soukromí a osobních práv zaměstnanců.

Zaměstnavatelům může být dle ustanovení § 11a (resp. § 24a) zákona o inspekci práce Státním úřadem inspekce práce uložena pokuta (i) za porušení zákazu bezdůvodně narušovat soukromí zaměstnanců dle ustanovení § 316 odst. 2 zákoníku práce ve výši až 1 000 000 Kč a (ii) za porušení notifikační povinnosti zaměstnancům ve smyslu § 316 odst. 3 zákoníku práce ve výši až 100 000 Kč. Státní úřad inspekce práce řeší každoročně trojmístný počet případů v této oblasti.

ÚOOÚ jako druhá zainteresovaná instituce má taktéž oprávnění trestat prohřešky v předmětné oblasti, a to udělováním sankcí dle GDPR v hypotetické výši až 20 milionů eur (zhruba 500 milionů korun).

Jak posuzovat oprávněnost kontrolních opatření

Kontrolní opatření mají být dle zákoníku práce přiměřená. Vymezit zcela konkrétní mantinely přiměřenosti je obtížné, jelikož každá situace má svá specifika. V obecné rovině se ovšem lze opřít o některá základní vodítka ze soudní praxe a aplikační praxe ÚOOÚ, přičemž dále také poskytneme konkrétní doporučení ve vztahu k jednotlivým způsobům kontroly.

Vycházet lze zejména z rozsudku Nejvyššího soudu ze dne 16. 8. 2012, sp. zn. 21 Cdo 1771/2011 a také z relativně nedávného a již výše zmiňovaného rozhodnutí ESLP ve věci Barbulescu vs. Romania, kde jsou předepsána kritéria k posuzování přiměřenosti kontroly zaměstnanců.

Při zavádění nových či posuzování stávajících kontrolních a sledovacích opatření je zejména nutno vzít v potaz, zda se jedná o kontrolu průběžnou, či následnou, jakou má kontrola délku, jaký je její rozsah a zda vůbec, případně do jaké míry, omezuje zaměstnance v jejich činnosti. Podstatné je také, jaké jsou prostorové limity kontroly, zda by bylo možné vytvořit méně invazivní monitorovací systém, jaké měl zaměstnavatel důvody k zavedení kontrolních opatření, kolik osob má přístup k výsledku kontroly (záznamy o toku internetových dat apod.) a zda byly výsledky použity k dosažení deklarovaného cíle opatření. S ohledem na tyto principy nyní přistoupíme k jednotlivým formám kontroly a sledování zaměstnanců.

Kontrola telefonních hovorů

Přípustná kontrola telefonních hovorů je založena nikoliv na kontrole obsahu, nýbrž pouze toku telefonních hovorů. Podle Nejvyššího soudu2) může zaměstnavatel provádět jednorázové kontroly toho, zda jeho zaměstnanec dodržuje zákaz užívání telefonu pro soukromé účely. Takové kontroly má zaměstnavatel primárně provádět tak, že z výpisu hovorů zjistí telefonní čísla, na která pracovník volal, a porovná je s databází klientů, dodavatelů a zaměstnanců, čímž se dopátrá toho, zda šlo o pracovní hovory.

Pokud zaměstnanec telefonoval na čísla neodpovídající záznamům v databázi, zejména pokud se některá čísla opakují pravidelně, může po něm nadřízený zaměstnanec požadovat vysvětlení a případně z toho vyvodit důsledky. Utajované odposlouchávání obsahu telefonních hovorů je vyloučeno.

Kontrola e-mailů a jiné elektronické korespondence zaměstnanců

Při kontrole e-mailů je vždy nutno rozlišovat, zda se jedná o e-maily konkrétních zaměstnanců (josef.novak@firma.cz), či e-maily všeobecné, které obsluhuje více lidí (recepce@firma.cz). U všeobecných e-mailů nemohou zaměstnanci rozumně očekávat v zásadě žádnou míru soukromí. Naopak pracovní e-maily konkrétních zaměstnanců jsou osobními údaji daných zaměstnanců a jsou tak chráněny včetně veškeré komunikace, která přes e-mail projde, včetně e-mailů čistě pracovních.

Jelikož se dle názoru soudů i ÚOOÚ na soukromé e-maily zaslané zaměstnancem vztahuje právo na ochranu listovního tajemství, kterého se zaměstnanec nemůže vzdát, zaměstnavatel nesmí soukromé e-maily číst ani otevírat, jelikož každý e-mail by teoreticky mohl být e-mailem soukromým. Není ovšem sporu o tom, že zaměstnavatel smí sledovat počet e-mailů zaměstnanců a v případě podezření ze zneužití může zaměstnavatel také z hlavičky e-mailu zjistit druhou stranu, se kterou si zaměstnanec dopisuje.

V již zmiňovaném případě Barbulescu vs. Romania dokonce zaměstnavatel vstoupil do soukromého účtu zaměstnance na Yahoo Messenger, který používal na pracovním počítači, přičemž ESLP toto akceptoval, neboť zaměstnavatel na účet přistupoval s oprávněným předpokladem, že se dozví informace související s pracovními úkoly zaměstnance. Toto je liberální přístup, který dle našeho názoru ještě státními orgány v ČR nebyl zcela přijat a i v judikatuře ESLP je poněkud výjimečným, v budoucnu bude proto nutno sledovat další vývoj této problematiky.

V současnosti lze doporučit ustanovení výslovného zákazu používání pracovního e-mailu k osobní korespondenci, jelikož ovšem i tak může zaměstnancům na osobní e-mail přijít soukromý e-mail bez jejich vůle, doporučujeme zákaz doplnit povinností obratem mazat veškeré případné soukromé e-maily nacházející se na e-mailu pracovním. Takto je v případě nutnosti vstupu do e-mailové schránky zaměstnanců minimalizováno nebezpečí narušení jejich soukromí.

Zmíněné opatření doporučujeme nejen z důvodu případné nutnosti kontroly zaměstnance, ale také pro zajištění oprávněného přístupu do e-mailové schránky bývalých zaměstnanců či e-mailové schránky zaměstnanců dlouhodobě nemocných, přičemž pro případ nemoci doporučujeme zaměstnancům také nařídit, aby dopředu ustanovili kolegu, který bude mít do e-mailové schránky v případě pracovní neschopnosti přístup.

Monitoring používání počítače a internetu

Kontrola užívání výpočetní techniky zaměstnanci je častým tématem, mimo jiné také proto, že pro tento účel existuje řada sofistikovaných softwarových nástrojů. Dle rozsudku Nejvyššího soudu3) jsou tyto nástroje v zásadě přípustné, pokud ovšem nezaznamenávají obsah toku dat. Je tedy v pořádku kontrolovat dobu strávenou na internetu včetně přehledu o navštívených internetových stránkách nebo kontrolovat, jaké aplikace zaměstnanec používá, jak často a jak dlouho.

S ohledem na zásadu minimalizace údajů ovšem nedoporučujeme tyto programy využívat plošně za účelem neustálého monitorování a vyhodnocování činnosti veškerých zaměstnanců, spíše lze doporučit zjištěná data používat pouze pro cílené kontroly v případě podezření na zneužívání výpočetní techniky.

Z takových kontrol je následně nutné vyvodit důsledky a zavést opatření, která ochranu majetku zaměstnavatele zajistí lépe, např. zablokování přístupu na frekventované weby, se kterými zaměstnavatel nesouhlasí. Naopak programy jako již zmíněné „keyloggery“ nebo automatické ukládání snímků obrazovek zaměstnanců považujeme za nepřiměřené.

Sledování prostor zaměstnavatele kamerovým systémem

V případě zavádění kamerového systému na pracovišti je obzvláště nutné odůvodnit jeho existenci přítomností tzv. závažného důvodu, jelikož narušování soukromí zaměstnanců na pracovišti a ve společných prostorách sledováním kamerou je extrémním zásahem do soukromí zaměstnanců.

Častým oprávněným důvodem pro zavedení kamerového systému je předcházení škodám při opakovaných krádežích, s čímž se setkáváme například v obchodech. Nepřekročitelným tabu je zákaz instalovat kamery na místech, kde je ohroženo soukromí zaměstnanců, tedy na toaletách, ve sprchách, šatnách či v převlékárnách. Tato místa není možné monitorovat ani v případě, že v nich dochází např. k opakovaným krádežím nebo je ohrožena bezpečnost pracovníků. K nápravě této hrozby musí dojít jiným způsobem.

V souladu se zákonem je také zavádění kamer pro zajištění bezpečnosti zaměstnanců a předcházení pracovních úrazů. Nepřípustné ovšem je namíření kamer na zaměstnance přítomné na pracovišti pouze za účelem kontroly výkonnosti jednotlivých zaměstnanců či evidence jejich příchodů a odchodů.

Sledování polohy zaměstnanců

Většina automobilů i řada druhů výpočetní techniky je dnes vybavena GPS technologií. Rozsáhlé monitorování polohy zaměstnanců vyzkoušela v minulosti Česká pošta, která vybavila tisíce svých motorizovaných i pěších doručovatelů GPS lokátory, jež dlouhodobě a plošně zaznamenávaly údaje o poloze. ÚOOÚ tuto praktiku neoznačil za vhodnou, naopak, považoval ji za nedůvodný zásah do soukromí zaměstnanců a uložil nápravná opatření, včetně pokuty ve výši 80 000 Kč. Dle vyjádření tehdejšího předsedy ÚOOÚ by monitorování takového rozsahu bylo možné pouze ve výjimečných případech, jelikož účely tohoto monitoringu (kontrola zaměstnanců a optimalizace doručovacích tras) mohla být dosažena méně invazivními metodami.

Otázka plošného monitorování pohybu zaměstnanců je tedy vyloučena, k opatření spočívajícím ve sledování po krátkou dobu jen některých zaměstnanců doporučujeme taktéž přistupovat s velkou opatrností. Všeobecně ovšem zákaz sledování pomocí GPS neplatí, například běžně používané elektronické knihy jízd založené na sledování automobilů prostřednictvím GPS technologie jsou v pořádku. Pokud zaměstnanec ovšem služební vozidlo používá i k soukromým účelům, je zaměstnavatel povinen GPS lokátor přepnout z režimu služebních jízd na soukromé tak, aby soukromí zaměstnance zůstalo zachováno.

Využívání biometrických údajů zaměstnanců

Zaměstnavatelé často využívají biometrické údaje zaměstnanců pro účely kontroly vstupu, přítomnosti a přístupů zaměstnanců. Jedná se o praktiku, která je s rozvojem technologií každým rokem efektivnější, levnější a rozšířenější. Technologie založené na biometrické autentizaci, jejíž nedílnou součástí je identifikace nositele biometrického údaje, jsou na pracovišti dle současného právního stavu v šedé zóně, ne-li přímo v rozporu se zákonem.

Biometrické údaje spadají mezi tzv. zvláštní kategorie osobních údajů, jejichž zpracování není možné na základě právních titulů dle čl. 6 GDPR, tedy ani na základě oprávněného zájmu zaměstnavatele. Je totiž nutno naplnit jeden z právních důvodů zpracování osobních údajů stanovených v článku 9 odst. 2 GDPR. Toto ustanovení sice na zaměstnavatele pamatuje, ovšem nikoliv paušálně. Povoleno je jen nezbytné zpracování pro účely plnění povinností či výkon některých zvláštních práv, kam asi nejčastější důvod pro použití biometrických údajů – evidence docházky – podřadit nelze. Zaměstnavatelé se snaží tuto situaci zhojit obstaráním souhlasu od zaměstnance, což je ovšem nepřijatelné s ohledem na výše vysvětlené podmínky pro udělení svobodného souhlasu dle GDPR.

Nezdá se ovšem, že by ÚOOÚ zaměstnavatele za používání biometrických údajů sankcionoval. Naopak, úřad sám ministerstvu práce a sociálních věcí v červenci 2019 navrhl novelizaci zákoníku práce tak, aby zaměstnavatelé biometrické údaje zaměstnanců mohli využívat. K novelizaci v tomto ohledu ovšem, alespoň prozatím, nedošlo.

Informování zaměstnanců o sledování a možnosti kontroly

Klíčové doporučení, které lze zaměstnavatelům poskytnout, se týká dodržování jejich informační povinnosti. Zaměstnavatelé jsou povinni v souladu s čl. 13 a 14 GDPR a také případně dle ustanovení § 316 odst. 3 zákoníku práce zaměstnance ve vztahu ke kontrolním a sledovacím mechanismům dopředu informovat. V rámci této informace musí být především uveden právní titul zpracování osobních údajů, kterým budou ve vztahu ke sledování a kontrole oprávněné zájmy zaměstnavatele, a také účel zpracování osobních údajů, který zahrnuje konkrétní oprávněné zájmy zaměstnavatele hodné ochrany (majetek, zdraví, život).

Současně je zaměstnavatel povinen informovat zaměstnance o rozsahu a způsobu sledování, tedy o tom, jaké údaje budou shromažďovány a jak. Pod způsob spadá např. to, kde a po jakou dobu budou shromážděné údaje uschovány, kdo k nim bude mít přístup, kdo bude provádět kontrolu, které údaje se budou dlouhodobě archivovat a po jakou dobu, jaká jsou bezpečnostní opatření pro zabránění neoprávněného přístupu k těmto údajům apod.

Takováto informace by měla být součástí širšího vnitřního předpisu, kterým zaměstnavatel, jako správce osobních údajů zaměstnanců, vůči zaměstnancům plní svoji informační povinnost ve smyslu již zmíněných čl. 13 a 14 GDPR. V některých případech, např. v případě zavádění kamerového systému, je vhodné umístit do bezprostředního okolí kamer taktéž informační cedule. S účinností GDPR byla zrušena povinnost správců osobních údajů oznamovat dle zákona o ochraně osobních údajů jejich zamýšlené zpracování ÚOOÚ.

Jak se vyhnout případným sankcím

Závěrem je nutno zdůraznit, že přestože zaměstnavatel zasahuje do soukromí zaměstnanců, činí tak k ochraně svého majetku v rámci kontroly zaměstnanců, případně za účelem ochrany života, zdraví či majetku svého, zaměstnanců i jiných osob. Primárním účelem nikdy nesmí být narušování soukromí zaměstnanců, to je jen prostředek, který má být využit v co nejužší možné míře tak, aby byl dosažen zmíněný vyšší účel.

Případná stížnost ohledně nezákonnosti kontroly a sledování zaměstnanců může přijít přímo od zaměstnanců samotných, resp. odborových organizací, stále častější jsou také správní řízení zahájená státními orgány, tedy ÚOOÚ či Státním úřadem inspekce práce. V každém případě lze doporučit stížnost či výzvu neignorovat, se státními orgány spolupracovat a po projednání s právními poradci sjednat nápravu, neboť dle naší zkušenosti ve většině případů sjednání nápravných opatření dostačuje a k ukládání pokut z důvodu spolupráce a nápravy nedochází.

Použité zdroje

  • Rozsudek Nejvyššího soudu ze dne 16. 8. 2012, sp. zn. 21 Cdo 1771/2011
  • Rozsudek Nejvyššího soudu ze dne 07. 8. 2014, sp. zn. 21 Cdo 747/2013
  • Rozsudek Nejvyššího soudu ze dne 04. 8. 2016, sp. zn. 21 Cdo 3998/2016
  • Rozhodnutí ESLP ze dne 25. 6. 1997 ve věci Halford v. United Kingdom
  • Rozhodnutí ESLP ze dne 03. 4. 2007 ve věci Copland v. United Kingdom
  • Rozhodnutí ESLP ze dne 05. 3. 2018 ve věci Akhlyustin vs. Russia
  • Rozhodnutí ESLP ze dne 26. 10. 2007 věci Peev vs. Bulgaria
  • Rozhodnutí ESLP ze dne 5. 9. 2017 ve věci Barbulescu vs. Romania

 

Související dokumenty

Související pracovní situace

Doba pojištění (příspěvková, povinná)
Doba pojištění (příspěvková, dobrovolná)
Náhradní doba důchodového pojištění, vyloučená doba
Odchod do starobního důchodu
Odchod do „předčasného“ starobního důchodu
Odchod do invalidního důchodu
Vyrovnávací příspěvek v těhotenství a mateřství
Ošetřovné
Určení daňové rezidence dle SZDZ
Závislá činnost a SZDZ
Prohlášení poplatníka k uplatnění měsíčních slev na dani
Sleva na poplatníka a sleva na manželku (manžela)
Výpočet mzdy
Snížení základu daně: úvěr
Nevyčerpaná dovolená při skončení pracovního poměru
Délka pracovní doby (obecně)
Délka pracovní doby při dvousměnném pracovním režimu
Délka pracovní doby při vícesměnném a nepřetržitém pracovním režimu
Evidence pracovní doby
Nařízení práce přesčas

Související články

Pre-employment background screening
Osobní údaje zpracovávané zaměstnavatelem a GDPR
Povinnosti zaměstnavatele při ochraně osobních údajů zaměstnanců dle GDPR
Soulad s GDPR při zajišťování BOZP a PO
Daňové aktuality
GDPR - nové nařízení EU o ochraně osobních údajů
Pověřenec pro ochranu osobních údajů
Zpracování fotografií zaměstnanců v souladu s GDPR
Nařízené testování zaměstnanců z pohledu GDPR
Osobní údaje v elektronické podobě a GDPR
Ochrana osobních údajů zaměstnanců od A (přes GDPR) do Z
Přeshraniční předávání osobních údajů zaměstnanců
Compliance program jako nezbytný pomocník společnosti
Ochrana majetkových zájmů zaměstnavatele, ochrana osobních práv zaměstnance a inspekce práce
Zaměstnanecké benefity a jak na ně - sestavení funkčního portfolia
Doručování v režimu zákoníku práce - opravdu se nemůže stát chyba?
Diskriminace na pracovišti
Příčiny, prevence a řešení konfliktů v práci
Mentální zdraví zaměstnanců

Související otázky a odpovědi

Uchování kopií dokladů
Archivace HR dokladů
Kamerový systém na pracovišti a GDPR
Skartace a archivace z hlediska GDPR
Poskytování osobních údajů zaměstnanců zákazníkům
Součinnost zaměstnavatele s insolvenčním správcem
Potvrzení o zdanitelných příjmech - elektronicky
Uchovávání dokumentů - archivační lhůty
Archivace docházky
GDPR
Kamery na pracovišti
Mzdové dokumenty - kopie nebo posílání emailem
Archivace pracovních smluv
Rodné listy dětí
Zaměstnanecký benefit - rybářský lístek
Příplatek za vedení u řadového zaměstnance
Dvě odborové organizace
Externí vedoucí pracovník
Pracovní smlouvy uzavřené na různou dobu u jednoho zaměstnavatele
Bezplatný asistenční program pro zaměstnance

Související předpisy

262/2006 Sb., zákoník práce
209/1992 Sb. o Úmluvě o ochraně lidských práv a základních svobod ve znění protokolů č. 3, 5 a 8
101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů
206/2017 Sb. , kterým se mění zákon č. 435/2004 Sb., o zaměstnanosti, ve znění pozdějších předpisů, a další související zákony

Související judikáty

Pracovní poměr; skončení pracovního poměru; okamžité zrušení pracovního poměru
Ochrana majetku zaměstnavatele a soukromí zaměstnance