V roce 2016 bylo přijato nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů, dále také „GDPR“). GDPR představuje nový právní rámec ochrany osobních údajů v evropském prostoru a od 25. května 2018 bude přímo stanovovat pravidla pro zpracování osobních údajů i pro Českou republiku.
Nahradí tedy zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále jen „ZOOÚ“), respektive očekává se novela ZOOÚ, který by napříště měl upravovat jen některé aspekty týkající se činností a fungování Úřadu pro ochranu osobních údajů a některé dílčí záležitosti, které nejsou v GDPR upraveny, nebo je poskytnut prostor českému zákonodárci je upravit na vnitrostátní úrovni.
Nařízení se dotýká těch, kteří systematicky zpracovávají do evidencí údaje o fyzických osobách, s výjimkou osobního nebo domácího užití (mj. údaje zaměstnanců, zákazníků, dodavatelů zboží nebo služeb, pacientů). Prakticky bez výjimky se nařízení bude vztahovat ve větší či menší míře na každého, kdo zaměstnává zaměstnance, a tedy zpracovává jejich osobní údaje. Tento článek je prvním ze série textů, které zaměstnavatele seznámí s povinnostmi, které jim GDPR ukládá ve vztahu k ochraně osobních údajů zaměstnanců.
Zpracováním se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení (čl. 4 odst. 2 GDPR).
GDPR nepředstavuje revoluci v právní úpravě ochrany osobních údajů. Je do značné míry postaveno na principech, které fungovaly již za stávající regulace. Hlavním přínosem má být unifikace právní úpravy ve všech státech EU přinášející zjednodušení postupů správců, kteří zpracovávají údaje ve více státech. Hlavním rizikem pro správce může být zavedení možnosti národních dozorových úřadů ukládat velmi vysoké pokuty. Obecně lze říci, že každý zaměstnavatel by měl ještě předtím, než bude GDPR přímo použitelné:
- provést audit stávajícího zpracování osobních údajů a uvést procesy, předpisy a zabezpečení ochrany dat do souladu s GDPR (zejména z pohledu toho, jaké osobní údaje jsou zpracovávány, pro jaký účel a na základě jakého zákonného titulu ve smyslu čl. 6 GDPR);
- odpovědět si na otázku, zda musí mít pověřence pro ochranu osobních údajů, a pokud ano, ustanovit jej a nastavit pravidla jeho fungování v souladu s GDPR;
- odpovědět si na otázku, zda musí vést záznamy o činnostech zpracování, a pokud ano, zajistit jejich vedení;
- nastavení zabezpečení (technické řešení) práce se stávajícími údaji;
- nastavení pravidel pro předávání osobních údajů jiným subjektům (jiným zpracovatelům - tj. například externí mzdové účetní; osobám, které tvoří se správcem koncern).
V tomto článku se budeme zabývat tím, co je to osobní údaj, za jakým účelem a za jakých podmínek je zaměstnavatel oprávněn osobní údaje zpracovávat. Navazovat budou články, které čtenáře seznámí s dalšími povinnostmi zaměstnavatele a s osobou pověřence pro ochranu osobních údajů.
Co je osobním údajem?
Osobním údajem jsou ve smyslu čl. 4 odst. 1 GDPR veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Jakýkoliv údaj, který umožňuje identifikovat konkrétní osobu, je tedy osobním údajem. To, co je u jedné fyzické osoby osobním údajem, protože ji to jasně identifikuje, ještě nemusí být osobním údajem pro další fyzickou osobu. Proto jméno samo o sobě nebo dokonce e-mail ve spojení se jménem nebude osobním údajem, pokud podle něj není možné určitou osobu označit. Osobním údajem může být jeden nebo i více údajů dohromady. Správce přitom může mít tyto údaje v jedné databázi nebo ve více oddělených databázích či seznamech. Níže poskytujeme seznam nejčastějších údajů, které mohou být osobními údaji podle zákona o ochraně osobních údajů.
Nařízení dále rozlišuje tzv. zvláštní kategorie osobních údajů, což jsou podle čl. 9 GDPR takové, „které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.“
Osobní údaje zpracovávané zaměstnavateli
Zaměstnavatelé typicky zpracovávají následující obecné osobní údaje svých zaměstnanců: jméno a příjmení, adresa (trvalé bydliště, doručovací adresa), pohlaví, věk, datum narození, místo narození, rodné číslo, osobní stav, zdravotní znevýhodnění, fotografie, video záznam, audio záznam, e-mailová adresa (zvláště pokud obsahuje například jméno a firmu), telefonní číslo - soukromé i pracovní, různé identifikační údaje vydané státem (číslo občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu apod.), vzdělání, kvalifikace, příjem ze zaměstnání (mzda, plat), příjem z důchodu, pracovní výkon, informace o porušení povinností zaměstnance plynoucích z pracovněprávních předpisů, číslo bankovního účtu, informace o důchodovém připojištění, zdravotní pojištění apod.
Mezi osobní údaje spadající do zvláštní kategorie osobních údajů, které mohou zaměstnavatelé častěji zpracovávat, patří národnost, členství v odborech (zprostředkovaně skrze srážky členských příspěvků), zdravotním stavu - údaje o tělesném nebo duševním zdraví (například při pracovních úrazech, nemocech z povolání, těhotenství), trestní delikty, pravomocná odsouzení, krevní skupina, Rh faktor krve nebo biometrické údaje (zejména to mohou být biometrický snímek obličeje, otisk prstu nebo biometrický podpis).
S ohledem na právní definici pojmu osobní údaj nemůže být tento výčet úplný a mohou existovat zaměstnavatelé, kteří zpracovávají další osobní údaje.
Za jakých podmínek může zaměstnavatel osobní údaje zpracovávat
GDPR, podobně jako ZOOÚ, poskytuje pouze omezený výčet důvodů, pro které lze osobní údaje zpracovávat zákonně (čl. 7 GDPR):
- subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů (musí se jednat o odvolatelný, svobodný, výslovný, vědomý a jednoznačný projev vůle, daný prostřednictvím prohlášení nebo jasnou souhlasnou akcí);
- zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
- zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
- zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
- zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
Zakázáno je pak zpracování zvláštních kategorií osobních údajů (čl. 9 GDPR) s následujícími výjimkami:
- subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů;
- zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany;
- zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas;
- zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami zvláštní subjekty (např. odborová organizace) za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli;
- zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů;
- zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud soudy jednají v rámci svých soudních pravomocí;
- zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů;
- zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče;
- zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví;
- zpracování je nezbytné pro účely archivace ve veřejném zájmu.
Zaměstnavatel je před zpracováním osobních údajů jakékoliv kategorie povinen stanovit účel zpracování, informovat zaměstnance o zpracování a době uložení osobních údajů (čl. 13 GDPR) a nesmí, až na výjimky, zpracovávat osobní údaje za jiným než stanoveným účelem. Vhodným způsobem, jak zaměstnance o těchto záležitostech informovat, je cestou vnitřního předpisu nebo informační brožury, se kterými by byl zaměstnanec seznámen při nástupu do zaměstnání.
Níže poskytujeme základní, a nikoliv vyčerpávající přehled účelů, pro které může zaměstnavatel osobní údaje zpracovávat, spolu s informací o tom, o jaký důvod bude své zpracování opírat, a také době, po jakou může údaj v takovém případě zpracovávat. Je třeba však mít na paměti, že v některých specifických situacích konkrétních zaměstnavatelů, jdoucích nad rámec tohoto textu, se může zákonný důvod nebo doba uložení lišit.
Vybrané účely, pro které může zaměstnavatel osobní údaje zaměstnanců zpracovávat | Zákonný důvod pro zpracování | Doba uložení osobních údajů |
---|---|---|
výběr uchazeče o konkrétní obsazované volné pracovní místo | zpracování nezbytné pro provedení opatření přijatých před uzavřením smlouvy | obecně do ukončení výběrového řízní; kontaktní údaje na nevybrané, ale úspěšné kandidáty déle - například do uplynutí zkušební doby vybraného kandidáta |
zařazení osoby do evidence potenciálních uchazečů o zaměstnání | souhlas subjektu údajů | po dobu, na kterou bude souhlas udělen (typicky 1-3 roky), souhlas lze kdykoliv odvolat |
plnění povinností plynoucích z pracovněprávních vztahů (mj. výplata mzdy, poskytování benefitů) | zpracování nezbytné pro splnění smlouvy | po dobu trvání pracovního poměru, v odůvodněných případech i poté (např. po dobu, po kterou bude zaměstnavatel dále plnit své závazky - například z konkurenční doložky dle § 310 zákoníku práce) |
vedení mzdové a personální agendy zaměstnavatele včetně osobního spisu zaměstnance | zpracování nezbytné pro splnění smlouvy zpracování je nezbytné pro účely oprávněných zájmů příslušného správce zpracování je nezbytné pro splnění (zejména § 312 zákoníku práce) |
po dobu trvání pracovního poměru a přiměřenou dobu poté |
ochrana zájmů zaměstnavatele pro uchování uplatnění práv a povinností z pracovněprávního vztahu (např. v soudním sporu o neplatnost výpovědi z pracovního poměru nebo o náhradu peněžitého plnění) | zpracování je nezbytné pro účely oprávněných zájmů příslušného správce | po přiměřenou dobu po skončení pracovního poměru (např. 4 roky) |
ochrana majetku zaměstnavatele (prostřednictvím videozáznamu kamerovým systémem) | zpracování nezbytné pro účely oprávněných zájmů příslušného správce | po nezbytnou dobu od pořízení (standardně do 1 týdně) |
vedení záznamů pro účely důchodového pojištění (evidenční listy, mzdové nebo účetní záznamy o údajích potřebných pro účel důchodového pojištění - doklady o druhu, vzniku a skončení pracovněprávního vztahu, záznamy o pracovních úrazech a o nemocech z povolání a záznamy o evidenci pracovní doby) | zpracování nezbytné pro splnění právní povinnosti (§ 35a zákona č. 582/1991 Sb.) | různá (3 roky, 6 let, 10 let, 30 let) |
vedení záznamů pro účely nemocenského pojištění (o skutečnostech uvedených v § 95 zákona č. 187/2006 Sb., tj. jméno, příjmení, rodné číslo, vyměřovací základ, doba dočasné pracovní neschopnost, záznam, zdali zaměstnanec pobírá starobní nebo invalidní důchod, a odkdy jej pobírá, plátce tohoto důchodu, název zdravotní pojišťovny, u níž je zaměstnanec zdravotně pojištěn. Za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního vztahu, o pracovním volnu bez náhrady příjmu, evidenci docházky do práce atd.) | zpracování nezbytné pro splnění právní povinnosti (§ 96 zákona č. 187/2006 Sb.) | 10 kalendářních roků následujících po roce, kterého se týkají |
vedení účetních záznamů o údajích potřebných pro stanovení a odvod pojistného na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti | zpracování nezbytné pro splnění právní povinnosti (§ 22c zákona č. 589/1992 Sb.) | 10 kalendářních roků následujících po roce, kterého se týkají |
vedení účetnictví záznamů o údajích potřebných pro stanovení a odvod zdravotního pojištění | zpracování nezbytné pro splnění právní povinnosti (prekluzivní lhůty jsou 10 let) | 10 kalendářních roků následujících po roce, kterého se týkají |
vedení dalších účetních záznamů a daňových dokladů | zpracování nezbytné pro splnění právní povinnosti (§ 31 zákona č. 563/1991 Sb.) | 5 kalendářních roků následujících po roce, kterého se týkají |
zveřejnění kontaktních údajů zaměstnanců v odůvodněných případech (např. vedoucí zaměstnanci, obchodní zástupci, náboráři) | zpracování je nezbytné pro účely oprávněných zájmů příslušného správce | po dobu trvání pracovního poměru |
evidence docházky nebo kontrola vstupu na režimová pracoviště prostřednictvím biometrických údajů (např. otisky prstů) | souhlas subjektu údajů | po dobu trvání pracovního poměru |
propagace zaměstnavatele (například na webových stránkách zaměstnavatele nebo sociálních sítích) prostřednictvím fotografie nebo videa, které neumožňují identifikaci zaměstnance - momentky1 | není zpracováním osobních údajů | není zpracováním osobních údajů |
vedení evidence jízd (shromažďující informace o GPS lokaci, na které se vozidlo nachází) | zpracování nezbytné pro splnění právní povinnosti (§ 24 odst. 2 bod 23. zákona č. 586/1992 Sb.) | po dobu, na kterou bude souhlas udělen |
propagace zaměstnavatele nebo informování ostatních zaměstnanců (například na webových stránkách zaměstnavatele nebo sociálních sítích) prostřednictvím fotografie nebo videa, které umožňují identifikaci zaměstnance2 | souhlas subjektu údajů | po dobu trvání pracovního poměru (např. pro informaci o tom, že zaměstnanec nastoupil k zaměstnavateli) nebo déle (například při využití pro marketingové účely) |
posouzení zdravotní způsobilosti zaměstnance pro výkon práce (lékařské posudky dle zákona č. 373/2011 Sb.) | zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní neschopnosti zaměstnance zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků |
po dobu trvání pracovního poměru po přiměřenou dobu po skončení pracovního poměru pro účely případného sporu (např. 4 roky) |
udržování kontaktu s bývalými zaměsnanci - "Alumni" programy apod. | souhlas subjektu údajů | po dobu, na kterou bude souhlas udělen (například na dobu neurčitou), souhlas lze kdykoliv odvolat |