Tímto článkem navazujeme na text z předchozího čísla s úmyslem seznámit čtenáře se základními povinnostmi zaměstnavatele, které pro něj vyplývají ve vztahu k zaměstnancům z Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů, dále také „GDPR“ nebo „Nařízení“).1)
Řadu z povinností uvedených v tomto textu mají zaměstnavatelé již nyní dle zákona č. 101/2000 Sb., o ochraně osobních údajů, ale s ohledem na různou úroveň jejich plnění ze strany zaměstnavatelů, připomínáme i tyto. Nařízení vedle toho přináší i povinnosti nové nebo staré modifikuje. Příkladem první kategorie je povinnost ohlásit porušení zabezpečení Úřadu pro ochranu osobních údajů (dále jen „úřad“) nebo povinnost oznámit takové porušení subjektu údajů (tedy zaměstnanci). Příkladem druhé je povinnost vést záznamy o činnostech zpracování, která modifikuje současnou oznamovací povinnost, která s účinností Nařízení odpadne.
Zároveň připomínáme, že za účelem plnění povinností zaměstnavatele dle Nařízení musí zaměstnavatel (jako správce osobních údajů svých zaměstnanců) především vědět, jaké údaje zpracovává, proč je zpracovává, kde je uchovává, kdo k nim má přístup a zda jsou údaje zabezpečené odpovídajícím způsobem. Teprve poté má k dispozici dostatek dat, aby mohl plnit také následující povinnosti dané Nařízením.
Povinnosti zaměstnavatele
Na úvod představujeme staronovou povinnost zaměstnavatele informovat zaměstnance o všech podstatných okolnostech zpracování jeho osobních údajů (dle čl. 13 a násl. Nařízení). Aby zaměstnavatel dostál této povinnosti, musí informovat zaměstnance ještě před samotným zpracováním. V praxi by poskytnutí těchto informací mělo být optimálně součástí procesu nástupu zaměstnance. Podoba předání těchto informací může být různá (vnitřní předpis, informační leták, instruktážní video, kombinace různých prostředků).
Informace, které musí zaměstnavatel zaměstnanci poskytnout vždy:
- informace o totožnosti a kontaktních údajích správce a jeho případného zástupce,
- o kontaktních údajích případného pověřence pro ochranu osobních údajů,
- o účelech zpracování osobních údajů a právním základu pro zpracování,
- uvedení konkrétních oprávněných zájmů, pokud je zpracování založeno na nezbytnosti pro účely těchto oprávněných zájmů správce (či třetí strany, kromě případů, kdy převáží zájmy, základní práva a svobody zaměstnance) ve smyslu čl. 6 odst. 1 písm. f) Nařízení,
- informace o případných příjemcích nebo případném úmyslu předání osobních údajů do třetí země.
Další okruh informací je nutné poskytnout, pokud je to nezbytné za účelem zajištění spravedlivého a transparentního zpracování. Z opatrnosti je vhodné zaměstnance proto informovat také:
- o době, po kterou budou osobní údaje zaměstnanců uloženy (například trvání pracovního poměru),
- o existenci práv (vyjmenovaných níže) včetně práva odvolat souhlas, je-li vyžadován, a práva podat stížnost úřadu,
- o skutečnosti, že dochází k automatizovanému rozhodování vč. profilování,
- zda jsou osobní údaje poskytnuty na základě smluvního nebo zákonného požadavku a je-li subjekt povinný tyto údaje poskytnout.
Pokud osobní údaje získá zaměstnavatel z jiného zdroje než od samotného zaměstnance, musí navíc informovat zaměstnance, z jakého zdroje informace pocházejí. Součástí této povinnosti je také způsob předání informací, který by dle Nařízení měl být jednoduchý a pro zaměstnance srozumitelný.
Povinnost informovat uchazeče o zaměstnání
Stejné informace jako zaměstnanci musí zaměstnavatel poskytnout i potenciálnímu zaměstnanci, tedy uchazeči o zaměstnání. Opět platí, že by měl informace poskytnout ještě před zpracováním osobních údajů uchazeče. Zaměstnavatel může informace poskytnout například jako součást dotazníku, který uchazeč vyplňuje v rámci procesu náboru, při zaslání e-mailem může přiložit informační leták v reakci na zaslaný životopis (osobní údaje) a stejně tak lze předat informační leták při fyzickém převzetí životopisu od uchazeče. Používají-li zaměstnavatelé portály typu www.jobs.cz, kde uchazeči nahrávají životopisy a zaměstnavatel k nim má přístup přes svůj profil, pak by informace měl uchazeči poskytnout daný portál při nahrávání osobních údajů (prostřednictvím všeobecných obchodních podmínek apod.).
Nejasná situace může nastat s personální agenturou, kde není zřejmá hranice mezi tím, kdy je agentura ještě zpracovatel a pracuje dle pokynů zaměstnavatele a kdy je již samostatným správcem spolupracujícím se zaměstnavatelem. Určujícím je to, zda agentura „určuje účel a prostředky ke zpracování“ osobních údajů uchazečů (pak je správcem). Může nastat také situace, kdy budou agentura práce a zaměstnavatel v roli společných správců dle čl. 26 Nařízení, a to především pokud agentura k zaměstnavateli (uživateli) dočasně přidělí vlastní zaměstnance, a v takovém případě si mezi sebou musí vymezit podíly na odpovědnosti. O spolupráci dvou správců jde dle pracovní skupiny WP29, která je nezávislým poradním orgánem Evropské komise a podává nezávazná výkladová stanoviska k problémům souvisejícím s ochrannou osobních údajů, i když mezi sebou subjekty uzavřely zpracovatelskou smlouvu. A to v případě, kdy personální agentura fakticky určí vlastní prostředky a účel zpracování například tak, že porovná životopisy od zaměstnavatele i s vlastní databází uchazečů, tím zvýší možný počet nových zaměstnanců, což je z jejího pohledu samostatný účel zvýšení svého zisku (pokud je odměňována dle počtu nabraných zaměstnanců).2) V tomto případě je agentura zodpovědná za zpracování jako správce a musí plnit veškeré povinnosti i bez pokynu zaměstnavatele.
Další povinnosti vyplývají zaměstnavateli z práv zaměstnance, tj. z práv v čl. 15 až 23 Nařízení. Pokud zaměstnanec využije práva, které mu náleží, zaměstnavatel je povinen postupovat v souladu s Nařízením. V praxi to může znamenat:
- Požádá-li zaměstnanec o opravu ve svých údajích (čl. 16 Nařízení; např. v databázi velikosti pracovního oblečení zaměstnanců), zaměstnavatel ji musí bez zbytečného odkladu provést. Právo na opravu tak má zaměstnanec v případě zpracování nepřesných nebo neúplných údajů, například tehdy, pokud by se ukázalo, že v personálním systému je překlep v adrese zaměstnance.
- Zaměstnanec má také právo na výmaz osobních údajů (čl. 17 Nařízení) v souladu s principem minimalizace zpracování, pokud již správce údaje nepotřebuje k žádnému účelu, pro které byly shromážděny, pokud zaměstnanec odvolá souhlas, nebo se jedná o protiprávní zpracování, dále když zaměstnanec vznese námitku proti zpracování a nepřevažují oprávněné důvody, pokud musí být vymazány ke splnění právní povinnosti, a nakonec pokud byly shromážděny v souvislosti s nabídkou služeb informační společnosti (tedy například rozesílání newsletterů). Právo na výmaz odpadá, když jsou údaje třeba k výkonu práva na svobodu projevu a informace, pro splnění právní povinnosti, v oblasti veřejného zdraví z důvodu veřejného zájmu, pro účely archivace ve veřejném zájmu anebo pro určení, výkon či obhajobu právních nároků. Prakticky zaměstnavatel nemůže smazat daňové a účetní údaje, které uchovává na základě povinnosti ze zákona. Naopak by měl smazat údaje bývalého zaměstnance v evidenci velikostí pro pracovní oblečení nebo z databáze rozesílání interních newsletterů. Co se týká například kamerových záběrů, na kterých zaměstnanec vstupuje do budovy zaměstnání, zaměstnavatel je smaže, pokud pro něj záběry nejsou nezbytné, například pokud je na záběrech kromě zaměstnance i domnělý zloděj. Dle našeho názoru zaměstnavatel nemusí smazat záběry po určitou oprávněnou dobu (např. 14 dnů), kdy se může teprve objevit potřeba uchování záběrů. Po této době ale v podstatě odpadá účel, pro který byly údaje shromážděny.
- Požádá-li zaměstnanec o omezení zpracování (čl. 18 Nařízení) z Nařízením daných důvodů, zaměstnavatel na to musí navázat. Například pokud zaměstnanec požádal o opravu údajné nepřesnosti údajů, zaměstnavatel nebude s údaji pracovat po dobu, než ji ověří. Podobně by měl postupovat, než ověří převažující zájmy, pokud zaměstnanec vznesl námitku proti zpracování.
- Právo na přenositelnost údajů (čl. 20 Nařízení) pravděpodobně nebude u zaměstnanců často vykonávaným oprávněním. Obecně by jej zaměstnanec mohl využít, pokud zaměstnavatel zpracovává tyto údaje na základě souhlasu, smlouvy nebo automatizovaně, tedy bez lidského zásahu. Zaměstnanec může požadovat, aby byly údaje zaslány přímo e-mailem od bývalého zaměstnavatele budoucímu zaměstnavateli. Za důležité považujeme zmínit, že se jedná o údaje, které zaměstnavateli poskytl zaměstnanec a které jsou zpracovávány na základě souhlasu zaměstnance nebo pro plnění smlouvy mezi nimi. Nikoliv údaje zpracovávané zaměstnavatelem pro plnění právní povinnosti.
- Pokud zaměstnavatel zpracovává osobní údaje zaměstnanců ve veřejném zájmu nebo pro svůj oprávněný zájem, může zaměstnanec vznést námitku (čl. 21 Nařízení), což pro zaměstnavatele znamená, že musí přezkoumat důvody a účel zpracování. Pokud odůvodněně převáží zájmy zaměstnavatele nad zájmy zaměstnance, může údaje zpracovávat nadále. Pokud převáží zájmy zaměstnance, musí zpracování ukončit. Příkladem situace, kdy bude zaměstnavatel zpracovávat údaje na základě svého oprávněného zájmu, může být provozování kamerového systému, který slouží k ochraně jeho majetku (např. skladových zásob). V takovém případě by mohl například skladník, který je tímto systémem pravidelně snímán, námitku proti zpracování vznést.
- Poslední povinností odpovídající právu subjektu údajů je nerozhodovat o zaměstnancích pouze na základě automatizovaného zpracování včetně profilování (čl. 22 Nařízení). Profilováním je použití osobních údajů (o pohybu, o pracovních výstupech zaměstnance atd.) k vyhodnocení chování zaměstnance nebo jeho předvídání - například se jedná o rozbor pracovního výkonu. Automatizovaným rozhodováním by bylo například, pokud by žádost zaměstnance o dovolenou podaná prostřednictvím například zaměstnaneckého portálu elektronicky byla zamítnuta automaticky generovaným e-mailem na základě toho, že již tentýž měsíc jednu dovolenou absolvoval. V takovém případě má být rozhodnuto k tomu určeným vedoucím zaměstnancem, i kdyby ten měl dojít ke stejnému závěru.
Většina zaměstnavatelů spolupracuje či využívá služeb jiných společností ke správě povinností ve vztahu mezi zaměstnavatelem a zaměstnancem. Typicky se jedná o poskytovatele služby externího (mzdového) účetnictví, společnosti zpracovávající benefitní systémy, dodavatele osobních ochranných pracovních pomůcek, služby personálních agentur nebo executive search, vzdělávací a konzultační agentury apod. Tyto společnosti získávají osobní údaje zaměstnanců a určitým způsobem je zpracovávají. Jak je uvedeno výše, pokud se tak děje na pokyn zaměstnavatele, jsou tyto společnosti tzv. zpracovateli, pro které také platí stejné principy a pravidla Nařízení. Navíc jelikož nejsou samostatnými správci, musí být mezi nimi a zaměstnavatelem (jako správcem) uzavřena tzv. zpracovatelská smlouva (písemně, což bude splňovat i elektronická forma). Zpracovatelská smlouva musí dle čl. 28 Nařízení obsahovat tyto náležitosti: závazek zpracovávat osobní údaje na základě doložených pokynů správce, povinnost mlčenlivosti o osobních údajích, závazek zpracovatele přijmout všechna potřebná opatření a další ustanovení o spolupráci zaměstnavatele a zpracovatele. Ujednání o těchto náležitostech samozřejmě mohou být součástí standardní smlouvy upravující veškerá vzájemná práva a povinnosti. Pokud zaměstnavatel v současnosti nemá uzavřeny zpracovatelské smlouvy, měl by je uzavřít i se současnými zpracovateli. Praktické bude předmětné ujednání sjednat jako dodatek ke stávající smlouvě, na jejímž základě spolupráce probíhá.
Nařízení stanoví jako další povinnost vést záznamy o činnostech zpracování (čl. 30 Nařízení) všem zaměstnavatelům, kteří zaměstnávají 250 a více osob. Menších podniků se tato povinnost také dotkne, pokud jejich zpracování představuje riziko pro práva a svobody zaměstnanců (nebo jiných osob), zpracování není příležitostné, nebo zahrnuje citlivé osobní údaje či údaje o rozsudcích v trestních věcech a trestných činů (zaměstnanců nebo jiných osob). Nařízení nespecifikuje konkrétně, jak mají záznamy vypadat, ale stanoví minimální povinné náležitosti: identifikace správce, jeho zástupce a případného pověřence pro ochranu osobních údajů, účely zpracování, popis kategorií subjektů údajů a samotných osobních údajů, kategorie příjemců, informace o předání osobních údajů do třetí země, lhůtu pro výmaz a popis přijatých technických a organizačních bezpečnostních opatření. Zpracovatelé musí vést tyto záznamy také, ale na rozdíl od správců ve stručnější formě. Postačí identifikace zpracovatele a správce, kategorie zpracování, informace o předání osobních údajů do třetí země a popis přijatých technických a organizačních bezpečnostních opatření. Záznamy musí zaměstnavatel uchovávat a být připraven je na vyžádání úřadu poskytnout. Tato povinnost je asi nejblíže dosavadní oznamovací povinnosti podle § 16 zákona o ochraně osobních údajů, kterou od účinnosti Nařízení již zaměstnavatelé naopak nemají.
Následující povinnost mají pouze ti zaměstnavatelé, jejichž zpracování osobních údajů nese vysoké riziko pro práva a svobody fyzických osob. Tito zaměstnavatelé musí před samotným zpracováním posoudit jeho vliv na ochranu osobních údajů (čl. 35 Nařízení). Zaměstnanec je z pohledu pracovní skupiny WP29 zranitelný subjekt ve vztahu k zaměstnavateli.3) Proto WP29 mezi riziková zpracování zařadila například profilování zaměstnanců na základě jejich výkonů v zaměstnání nebo údaje vyplývající z monitorování zaměstnanců. Pro snazší orientaci úřad může připravit seznam zpracování, u kterých bude posouzení vlivu povinné. Pozitivní je v tomto případě možnost sdílet posouzení vlivu u shodných plánovaných zpracování. Tedy v případě poboček nebo členů skupiny, jejichž zaměstnanecká politika je stejná a vyžaduje posouzení vlivu, postačí jedno společné posouzení.
Pokud po posouzení vlivu dané zpracování ponese znaky rizikového zpracování a zaměstnavatel nemá k dispozici opatření ke zmenšení rizika, musí záměr o zpracování konzultovat s úřadem (čl. 36 Nařízení). Úřad ve lhůtě osmi týdnů (s možností prodloužení o šest týdnů) reaguje a informuje žadatele o konzultaci o případném porušení Nařízení.
Zvláštní povinnosti zaměstnavateli nastanou v případě porušení zabezpečení ochrany osobních údajů. Pokud se nejedná o porušení bez rizika pro zaměstnance, zaměstnavatel musí bezodkladně úřadu oznámit, že k porušení došlo (čl. 33 Nařízení). Součástí tohoto ohlášení musí být popis povahy daného případu, identifikace případného pověřence, popis pravděpodobných důsledků a popis opatření, která zaměstnavatel už přijal nebo chce přijmout. K takovému případu může dojít velice snadno jak při selhání fyzické osoby (která informace vynese nebo umožní jejich vynesení), tak při selhání technických opatření. O těchto porušeních musí být zaměstnavatelem vedena evidence. Druhou povinností je v tomto případě oznámení porušení zabezpečení zaměstnanci (čl. 34 Nařízení), pokud z něho plyne vysoké riziko pro jeho práva a svobody. Výjimkou z povinnosti oznámení zaměstnanci je situace, kdy zaměstnavatel již zavedl náležitá opatření, která údaje činí nesrozumitelnými nebo která zajistí, že vysoké riziko se již neprojeví. Oznámení není také nutné, pokud by vyžadovalo nepřiměřené úsilí, což ve vztahu k zaměstnanci spíše nenastane.
Zaměstnavatel má také povinnost zavést vhodná technická a organizační opatření, která odpovídají úrovni rizika daných osobních údajů. Nařízení sice dává některé konkrétní případy takových opatření, avšak obecně se jedná o širokou paletu organizačních nebo technických opatření, jejichž volba bude záležet mimo jiné na podmínkách konkrétního zaměstnavatele, na počtu zaměstnanců, na kategoriích osobních údajů, které zpracovává, a na jeho technických možnostech. Mezi potenciální organizační opatření řadíme například jasnou strukturu odpovědností za ochranu osobních údajů a vymezení přístupových práv k systémům, ve kterých jsou osobní údaje uchovávány, popsání a zavedení procesů pro zpracování osobních údajů a jejich dodržování, dále informovanost zaměstnanců a případné jmenování pověřence. Z možných technických opatření Nařízení zmiňuje například pseudonymizaci,4) a dále šifrování osobních údajů, které v případě úniku údajů zabrání jejich využití. Zaměstnavatel by měl všechna zavedená opatření pravidelně kontrolovat a reagovat na aktuální situaci, nelze se tak spoléhat na jednou zavedený postup a již jej neaktualizovat.
To ostatně platí i pro celý systém ochrany osobních údajů zaměstnavatelem. Zaměstnavatel by měl postupovat v souladu s principy Nařízení při zpracování osobních údajů zaměstnanců, vést k tomu zaměstnance a provádět pravidelnou kontrolu těchto procesů jako preventivní ochranu před případy porušení zabezpečení jejich ochrany. Pokud bude dodržovat své povinnosti a bude zpracovávat údaje v souladu s Nařízením, pak mu nehrozí obávané pokuty, jejichž horní hranice byla Nařízením zvýšena.
Některé specifické situace
Skupina WP29 vydala v roce 2017 stanovisko zaměřené přímo na některé vybrané situace, kdy jsou zaměstnavateli zpracovávány osobní údaje a které zároveň představují zvýšené riziko pro soukromí zaměstnanců.5) Na tomto místě stručně představíme některé z podstatných doporučení tohoto stanoviska.
Pokud bude zaměstnavatel získávat informace o potenciálním zaměstnanci prostřednictvím sociálních sítí, je do značné míry určující, zda tak činí z profesního profilu (např. LinkedIn) nebo profilu na sociální síti určeného k jinému účelu (např. Facebook). Zatímco zpracování relevantních informací o uchazeči z profesní sítě by v zásadě nemělo být problematické, zpracování informací ze soukromého profilu může být již v rozporu s GDPR, zejména tehdy, pokud by byla zpracovávána data, která nemají pro výběr zaměstnance relevanci. Zároveň by však měli být uchazeči předem informováni o tom, že potenciální zaměstnavatel může informace z jejich veřejného profilu v rámci výběrového řízení zpracovat za účelem výběru vhodného uchazeče. Informace může být poskytnuta například v inzerátu volného pracovního místa.
Hodlá-li zaměstnavatel provádět screening profilů na sociálních sítích u stávajících zaměstnanců za legitimním účelem (např. dodržování povinnosti mlčenlivosti) a zaměstnanci budou o takové možnosti předem informováni, může zaměstnavatel takovou činnost provádět. V opačném případě by tak činit neměl.
Pokud by zaměstnavatel poskytoval zaměstnanci služební vozidlo se zařízením umožňujícím monitoring pohybu (GPS), a vozidlo by zaměstnanec zároveň mohl užívat i k soukromým účelům, měla by existovat možnost pro dobu využití vozidla k soukromé jízdě sledování vypnout.
V posledním článku našeho třídílného miniseriálu se budeme věnovat pověřenci pro ochranu osobních údajů, jeho postavení, právům a povinnostem a zejména tomu, kteří zaměstnavatelé jej mít musejí a kteří nemusejí.