Aby mohli zaměstnavatelé efektivně vykonávat personální agendu svých zaměstnanců, je nutné, aby měli přístup k jejich osobním údajům. V době informačních technologií a sociálních sítí je však zároveň třeba chránit soukromí zaměstnanců a integritu předávaných dat. Vzhledem k nárůstu shromažďovaných a zpracovávaných dat se ale jejich dostatečná ochrana stává úkolem, který je čím dál větší výzvou jak po technické, administrativní, tak i právní stránce.
V případě, že jsou navíc osobní údaje předávány do zahraničí, je nutno zohlednit specifika jednotlivých států, čímž se celá věc dále komplikuje. Z těchto důvodů bychom vám v následujícím textu rádi představili základní zákonný rámec přeshraničního předávání osobních údajů zaměstnanců, a to jak v mezích Evropské unie, tak do třetích států.
Osobní údaje a jejich zpracování
Za osobní údaje jsou považovány informace, z nichž lze přímo či nepřímo identifikovat konkrétní osobu (tedy typicky jméno, příjmení, za určitých okolností emailová adresa atd.). Zaměstnavatel jako správce osobních údajů svých zaměstnanců smí shromažďovat pouze osobní údaje zaměstnanců nezbytné pro naplnění povinností zaměstnavatele. Tedy zejména jméno, příjmení, dřívější příjmení, datum a místo narození, rodné číslo, číslo občanského průkazu, místo trvalého pobytu, dosažené vzdělání, počet dětí a rodná čísla dětí, dále jméno, příjmení a adresu zaměstnavatele manžela pro účely uplatnění daňového zvýhodnění, zdravotní pojišťovnu pro účely placení zdravotního pojištění apod.
Bez souhlasu zaměstnance nesmí zaměstnavatel použít jeho osobní údaje pro jiné účely než zákonem stanovené (výpočet mzdy, komunikace se zaměstnancem, možnosti povýšení, ohlášení na sociálním úřadě, odvody sociálního a zdravotního pojištění atd.). Osobní spisy zaměstnanců je zaměstnavatel povinen chránit a zabránit jejich zpřístupnění neoprávněným osobám. O každém zpracování osobních údajů (včetně nahlížení) musí být veden záznam.
Citlivé osobní údaje
Zvláštní kategorii osobních údajů tvoří citlivé osobní údaje1), jejichž zpracováním může dojít k zásahu do osobní integrity zaměstnance. Zpracování citlivých osobních údajů zaměstnanců je možné jen v případě, že je to nezbytné pro dodržení povinností a práv zaměstnavatele dle zvláštního zákona nebo s výslovným souhlasem zaměstnance. Zaměstnavatel nesmí od zaměstnance vyžadovat informace, které bezprostředně nesouvisí s výkonem práce a pracovněprávním vztahem.
Kdy je nutné získat se zpracováním souhlas zaměstnance
Ke zpracování osobních údajů zaměstnanců za jinými účely, než je splnění právní povinnosti zaměstnavatele (tedy např. zasílání obchodních sdělení), musí zaměstnavatel vždy získat souhlas zaměstnanců a splnit oznamovací povinnost vůči Úřadu pro ochranu osobních údajů (dále jen ÚOOÚ). Zaměstnavatel je navíc povinen zaměstnance o takovém zpracování dostatečným a prokazatelným způsobem informovat (např. emailem).
Kdy je nutné podat oznámení ÚOOÚ
Na zpracování osobních údajů zaměstnanců v rámci sjednávání pracovního vztahu a pro účely personální a mzdové agendy se vztahuje výjimka z oznamovací povinnosti. Zaměstnavatel není povinen zpracování těchto údajů ÚOOÚ oznamovat. Oznamovací povinnost se na zaměstnavatele vztahuje pouze v tom případě, že zpracovává osobní údaje svých zaměstnanců i pro jiné účely, než je mu uloženo zákonem. I v případě, že zaměstnavatel nemá oznamovací povinnost, nezbavuje ho to plnění ostatních povinností při zpracování osobních údajů stanovených zákonem o ochraně osobních údajů (dále jen ZOOU).
Osobní údaje zaměstnanců jsou často podkladem pro další činnosti, např. pro hodnocení efektivity práce a plány dalšího vývoje zaměstnavatele. Aby tento účel zpracování nemusel být oznamován ÚOOÚ, musí být osobní údaje zaměstnanců anonymizovány. Pokud jsou údaje plně anonymizovány a není možné je spojit s konkrétní osobou, nejedná se vůbec o osobní údaje a nevztahují se na ně zásady ochrany osobních údajů.
V praxi mnohdy zaměstnavatelé vyžadují souhlas zaměstnanců se zpracováním jejich osobních údajů zbytečně i tehdy, kdy souhlas není ze zákona požadován. A naopak leckdy neplní dostačujícím způsobem svou zákonnou informační povinnost vůči zaměstnancům ohledně zpracování jejich osobních údajů (tzn. zejména povinnost informovat zaměstnance o tom, v jakém rozsahu a pro jaký účel budou jeho osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat, komu mohou být zpřístupněny, o právu zaměstnance na přístup k osobním údajům, na jejich opravu, na vysvětlení a odstranění). Tímto porušením může být naplněna skutková podstata přestupku či správního deliktu a ÚOOÚ může uložit pokutu až do výše jednoho milionu korun zaměstnavateli fyzické osobě a pěti milionů korun právnickým osobám. I proto je třeba věnovat nakládání s osobními údaji zaměstnanců zvýšenou pozornost.
Situace, kdy není získán souhlas, ač je ho dle ZOOU zapotřebí, je vcelku pochopitelná. Co se týče nadbytečného vyžadování souhlasu zaměstnanců, může dle ÚOOÚ2) vyžadování souhlasu zaměstnance se zpracováním osobních údajů tehdy, kdy tyto údaje je zaměstnavatel oprávněn zpracovávat i bez souhlasu, vést k situaci, že zaměstnanec svůj souhlas odvolá, ale zaměstnavatel je povinen jeho údaje zpracovávat i po tomto odvolání. Poté se zaměstnanec mylně domnívá, že zaměstnavatel už jeho osobní údaje dále nezpracovává a ztratí tak kontrolu nad svými osobními údaji.
Předávání osobních údajů zaměstnanců do zahraničí
V praxi jsou zaměstnavatelé často smluvně zavázáni předávat osobní údaje zaměstnanců svým řídícím orgánům nebo specializovaným útvarům do zahraničí. V těchto případech je na prvním místě nutné zajistit dostatečnou ochranu předávaných údajů. Vzhledem k tomu, že míra takovéto ochrany se v různých státech značně liší, je vždy třeba především zjistit, zda daný stát poskytuje stejné standardy ochrany osobních údajů jako Česká republika, respektive Evropská unie. Pokud nikoliv, je nutné tuto minimální ochranu zajistit smluvně.
V mnoha případech předávání osobních údajů do jiných států je nutné uzavřít smlouvu mezi správcem (zaměstnavatelem) a zpracovatelem (pracovištěm mateřské společnosti v zahraničí).
Předávání osobních údajů do zahraničí bez povolení ÚOOÚ
Předávání osobních údajů do zahraničí až na výjimky podléhá povolení3) ÚOOÚ.
Na prvním místě je třeba zdůraznit, že povolovacímu režimu nepodléhá předávání osobních údajů v rámci Evropské unie. K předání osobních údajů do jiného členského státu Evropské unie nemusí tedy zaměstnavatel žádat žádný zvláštní souhlas ani povolení, neboť členské státy zajišťují požadovanou úroveň ochrany a vstupem do Evropské unie byla ČR zahrnuta do prostoru volného pohybu osobních údajů.4) I v tomto případě ale musí zaměstnavatel zaměstnance, o jehož údaje se jedná, vždy informovat, komu mohou být jeho údaje zpřístupněny – zaměstnanec tedy musí být informován i o případných příjemcích údajů v Evropské unii.
Povolovacímu režimu nepodléhá ani předávání osobních údajů do států mimo Evropskou unii, pokud jsou tyto státy vázány mezinárodní smlouvou5) zajišťující dostatečnou ochranu osobních údajů. Takovými státy jsou např. Rusko, Turecko, Ukrajina nebo Srbsko.
Povolení ÚOOÚ není potřeba ani v případě předání osobních údajů do státu, jehož standardy ochrany byly Evropskou komisí prohlášeny za dostatečné. V případě některých států Evropská komise svým rozhodnutím přímo stanoví, že daný stát poskytuje dostatečný standard ochrany a lze do něj tedy osobní údaje předávat bez dalšího. Příkladem takových států jsou Švýcarsko, Izrael nebo Nový Zéland.
V jiných případech se rozhodnutí Komise nevztahuje na konkrétní stát, ale přímo na určitou kategorii příjemců osobních údajů. Je-li příjemce osobních údajů zařazen do této kategorie, je předání možné bez dalšího. V ostatních případech je třeba získat povolení od ÚOOÚ. Příkladem budiž ochrana dříve poskytovaná v USA podle tzv. zásad „Safe Harbour“ (k předávání osobních údajů do USA a zrušení Safe Harbour viz kapitola níže).
Předávání osobních údajů do zahraničí na základě povolení ÚOOÚ
Pokud není naplněna žádná z výjimek popsaných výše, je možné předávat osobní údaje do států mimo Evropskou unii pouze po předchozím povolení ÚOOÚ.
V takovém případě musí zaměstnavatel požádat ÚOOÚ o udělení povolení k předání. V žádosti je třeba uvést zejména zdroj a kategorie předávaných osobních údajů, účel jejich zpracování, dobu předávání osobních údajů, výčet států, do nichž budou osobní údaje předávány (včetně státu konečného určení osobních údajů), a výčet zahraničních subjektů, jimž budou osobní údaje předány. V neposlední řadě musí zaměstnavatel v žádosti prokázat, že je splněna některá z podmínek pro předání osobních údajů, tedy především:
- subjekt údajů, jehož osobní údaje mají být předány (tedy např. zaměstnanec), vyslovil s takovým předáním výslovný souhlas. Subjekt osobních údajů může však tento souhlas kdykoliv odvolat, což je např. z pohledu zaměstnavatele značně nepraktické;
- subjekty, které si osobní údaje předávají (tedy zaměstnavatel jako správce a např. mateřská společnost jako příjemce údajů), uzavřou smlouvu o předání osobních údajů, která obsahuje tzv. standardní smluvní doložky. Standardní smluvní doložky tvoří vzor základních ustanovení dohody o předání osobních údajů vypracovaný Evropskou komisí;
- správce osobních údajů (zaměstnavatel) zavede tzv. závazná podniková pravidla (Binding Corporate Rules) obsahující zásady a povinnosti při nakládání s osobními údaji. Závazná podniková pravidla jsou vhodná především pro nadnárodní skupiny společností. Jejich nevýhodou je totiž nutnost jejich schválení ze strany všech národních úřadů ve všech dotčených zemích Evropské unie a jejich přijetí je tedy velmi zdlouhavé a administrativně náročné.
ÚOOÚ žádost přezkoumá a buď povolení k předání vydá, nebo rozhodne o nepovolení. Pokud ÚOOÚ předání povolí, stanoví v rozhodnutí také dobu, po kterou může správce předání provádět. Rozhodnutí by mělo být vydáno ve lhůtě 30 dnů, nicméně ve složitých případech může ÚOOÚ lhůtu prodloužit až na 60 dnů. Proti negativnímu rozhodnutí může žadatel podat rozklad, o němž rozhodne předseda ÚOOÚ.
Předávání osobních údajů do USA nově aneb Bezpečný přístav 2.0?
Vzhledem k objemu dat předávaných z Evropské unie do USA, měly USA, resp. společnosti z USA, po dlouhou dobu v této oblasti privilegované postavení, neboť Evropská unie pro ně vytvořila režim tzv. bezpečného přístavu (Safe Harbour). Společnostem z USA, které získaly certifikaci Safe Harbour, bylo umožněno předávat osobní údaje z Evropské unie za mírnějších podmínek, než je tomu u společností z jiných třetích zemí. Tato možnost byla využívána zejména v rámci skupin společností, kdy americká mateřská společnost např. zpracovává personální agendu pro celou skupinu společností. Tento režim byl však dlouhodobě kritizován pro opakované porušování práv subjektů údajů, zejména s ohledem na možnost přístupu amerických bezpečnostních agentur k těmto údajům. Koncem loňského roku Soudní dvůr EU předávání osobních údajů ze zemí Evropské unie do USA výrazně zkomplikoval, neboť Safe Harbour zrušil.
Vše odstartoval rakouský student Maximilian Schrems stížností, kterou podal k irskému komisaři pro ochranu osobních údajů proti společnosti Facebook. Vzhledem ke zjištěním, která publikoval Edward Snowden, poukazoval Schrems na rozsáhlou sledovací činnost amerických zpravodajských služeb, které měly přístup k osobním údajům spravovaným řadou amerických společností. Schremsovu stížnost irský komisař zamítl a věc se postupně dostala až k Soudnímu dvoru EU.
Soudní dvůr EU konstatoval, že rozhodnutí Evropské komise, na základě kterého mohly americké společnosti získat certifikaci Safe Harbour, je neplatné. Tzv. bezpečný přístav se totiž vztahoval pouze na společnosti, které se k němu připojily, a nezavazoval veřejné orgány Spojených států. Ty mohou po amerických společnostech bez ohledu na režim bezpečného přístavu přístup k osobním údajům vyžadovat a v takovém případě jsou tyto společnosti povinny režim bezpečného přístavu neuplatnit. Ze strany amerických úřadů proto mohlo v důsledku Safe Harbour podle Soudního dvora EU docházet k zásahům do základních lidských práv.
Současná situace
V současné době tak USA mají totožnou pozici jako kterýkoli jiný stát mimo Evropskou unii a existují pouze výše uvedené tři možnosti, jak předávat osobní údaje z Evropské unie do USA – tedy na základě souhlasu zaměstnance, standardních smluvních doložek nebo zavedením závazných podnikových pravidel.
Vzhledem k administrativní náročnosti uvedených možností zahájili zástupci USA a Evropské unie ihned po zrušení režimu Safe Harbour jednání o platformě, která by jej měla nahradit. K dosažení dohody došlo 2. února 2016, kdy strany dohody oznámily, že režim Safe Harbour bude nahrazen dohodou o tzv. Privacy Shield, neboli tzv. štítu pro ochranu údajů mezi Evropskou unií a USA. Právní texty, které umožní vznik nového systému, zveřejnila Evropská komise 29. února 2016 spolu s návrhem rozhodnutí o přiměřenosti ochrany a texty, které budou štít tvořit. Patří sem zásady pro zúčastněné společnosti, písemné závazky vlády USA ohledně vymahatelnosti ujednání, včetně ujištění americké strany o zárukách a omezeních týkajících se přístupu veřejných orgánů k údajům.
Privacy Shield aneb Bezpečný přístav 2.0
„Privacy Shield rozhodnutí“ odráží požadavky stanovené Soudním dvorem EU při zrušení Safe Harbour a poskytuje záruky pro předávání osobních údajů na úrovni rovnocenné evropským standardům ochrany. Zejména má ale americkým společnostem uložit, aby osobní údaje Evropanů střežily bedlivěji, a také stanoví nové a přísnější povinnosti americkým úřadům, co se týká přístupu k osobním údajům.
V rámci Privacy Shield americká vláda vůbec poprvé Evropskou unii písemně ujistila, že veškerý přístup veřejných orgánů k údajům za účelem zajištění národní bezpečnosti bude podléhat jasným omezením, zárukám a kontrolním mechanismům a že všeobecný přístup k osobním údajům nebude povolen. To se však nebude vztahovat na situace, kdy před ochranou podle Privacy Shield převáží např. požadavek na národní bezpečnost nebo jiný veřejný zájem. V takovém případě, tedy např. při hrozbě teroristických útoků, bude moci být ochrana osobních údajů ze strany amerických bezpečnostních agentur prolomena. Nabízí se tedy samozřejmě otázka, zdali budou americké úřady skutečně omezeny v možnosti masově a bez souhlasu a vědomí občanů států EU monitorovat jejich osobní údaje.
Zásady Privacy Shield a z nich vyplývající požadavky na certifikaci amerických společností se příliš neliší od Safe Harbour kritérií. Proto by pro společnosti, které skutečně Safe Harbour principy dodržovaly, neměl přechod ze Safe Harbour pod Privacy Shield představovat příliš velkou administrativní zátěž. Přihlásit se k principům Privacy Shield nebude pro americké společnosti povinné, ale pokud se k principům nepřihlásí, nebudou moci na jejich základě data občanů států Evropské unie zpracovávat. Americké společnosti, které chtějí získávat osobní údaje z Evropy na základě Privacy Shield, budou muset své závazky zveřejnit, což je podle práva USA činí vymahatelnými Federální obchodní komisí. Kromě toho se každá společnost zpracovávající osobní údaje z Evropy musí zavázat k dodržování rozhodnutí evropských orgánů pro ochranu osobních údajů.
Občané států Evropské unie si budou moci navíc stěžovat na zacházení s jejich osobními údaji. Americké společnosti pak budou mít 45 dní na to, aby se se stížností vypořádaly. V případě, že budou občané s vypořádáním stížnosti nespokojeni, budou mít občané několik možností dalšího postupu k nápravě.
Fungování štítu pro ochranu osobních údajů, včetně závazků a záruk ohledně přístupu k údajům pro účely vymáhání práva a zajištění národní bezpečnosti, pak bude podléhat každoročnímu přezkumu ze strany orgánů Evropské unie a USA.
Dokumenty publikované Komisí nejsou doposud závazné. V následujících týdnech bude vypracován návrh rozhodnutí, který by měl být následně základem budoucího, již závazného dokumentu. V mezidobí budou mít USA čas na to, aby se připravily na nové postupy.
Závěr
Vzhledem k výše uvedenému je zřejmé, že ať již zpracováváte osobní údaje zaměstnanců, či je dokonce předáváte do zahraničí, je v každém případě nutné věnovat této problematice zvýšenou pozornost. V tomto ohledu zdůrazňujeme především problematiku souhlasu zaměstnanců, oznámení nebo povolení ÚOOÚ a právní a technické podmínky předávání osobních údajů do zahraničí. Co se týče předávání osobních údajů do USA, mají USA momentálně stejné povinnosti jako kterýkoli jiný stát mimo Evropskou unii, který neposkytuje dostatečný standard ochrany osobních údajů. Na zjednodušení tohoto režimu ve prospěch USA však v současné době jak Evropská unie, tak USA intenzivně pracují.