ochrana osobních údajů

Zaměstnankyně obdržela od insolvenčního správce "Výzvu insolvenčního správce dlužníka k součinnosti" s tím, že tuto výzvu měla odevzdat do mzdové účtárny. Mimo jiných povinností, které uložil insolvenční správce dlužnici, je ve výzvě uvedeno, že žádá mzdovou účtárnu o pravidelné zasílání výplatních pásek dlužnice na uvedený e-mail, a to od měsíce vydání usnesení. Zaměstnavatel ale dosud žádné usnesení ani výzvu k součinnosti neobdržel. Prosím o odpověď na otázku, zda máme i v takovém případě zasílat výplatní pásky dlužnice insolvenčnímu správci a zda vůbec máme povinnost takovýmto způsobem, tj. na e-mail, pásky po každém zúčtování mezd, zasílat. Zdůrazňuji, že ještě není insolvenční řízení ukončeno a ani v insolvenčním rejstříku není zveřejněno Usnesení, kterým by insolvenční správce ukládal zaměstnavateli povinnost provádění srážek ze mzdy. Vzhledem k ochraně osobních údajů si nejsme jisti, zda vůbec můžeme výplatní pásky zasílat především z důvodu dalších údajů, které jsou na nich uvedené (hodinové průměry, zůstatky dovolené, výše odměn apod.).

Jsme IT telco společnost a někteří naši zákazníci požadují osobní údaje našich zaměstnanců (dat. nar., číslo pasu apod.), aby jim umožnili přístup do jejich systémů a mohli dělat podporu našim produktům přímo v systémech u zákazníka (zákazníci jsou ze zahraničí - Norsko, Německo atd.). Je možné něco takového poskytnout z hlediska GDPR apod.?

Mnoho zaměstnavatelů pravděpodobně řešilo otázku, jak z hlediska zpracování osobních údajů přistupovat ke zpracování fotografií jejich zaměstnanců pořízených a používaných v souvislosti s výkonem práce (např. používání a šíření fotografií zaměstnanců na vstupních kartách, na intranetu zaměstnavatele či internetu), k pořizování fotografií z firemních akcí a jejich případnému sdílení na sociálních sítích. Od účinnosti nové evropské legislativy upravující ochranu osobních údajů (GDPR) uplynul více než rok a půl, a za tuto dobu se již značně vyvinula praxe jak Evropského sboru pro ochranu osobních údajů („EDPB“), tak národních úřadů dohlížejících na ochranu osobních údajů na území členských států a potažmo celé Evropské unie. Nicméně i přes posun v interpretaci GDPR kompetentními orgány stále není zcela jasné, jaký právní důvod zpracování osobních údajů pro pořizování a zveřejňování fotografií zaměstnanců mohou zaměstnavatelé v jednotlivých případech legitimně použít.

Zaměstnavatelé vnímají kontrolu plnění pracovních povinností zaměstnanci, včetně kontroly řádného hospodaření s majetkem zaměstnavatele, jako jedno ze svých stěžejních práv. Vskutku, dle zdravého rozumu je legitimní, aby zaměstnavatel zaměstnance při užívání svěřeného majetku určeného k plnění pracovních úkolů kontroloval. Tato kontrola a jiné sledování jsou ovšem zaměstnavatelem velice často vykonávány, ač nevědomky a možná i s dobrým úmyslem, v rozporu se zákonem. Rozsah práva zaměstnavatele kontrolovat totiž není bezbřehý, jelikož právo zaměstnavatele na kontrole zaměstnanců je ve střetu s právem zaměstnance na ochranu jeho osobnosti a soukromí.

Zaměstnavatel plánuje zřídit na pracovišti (zámečnická dílna) kamerový systém ke sledování zaměstnanců, zejména ke sledování dodržování pracovní doby, přestávek v práci a nakládání se zpracovávaným materiálem. Jak by se to dalo co nejjednodušeji ošetřit z pohledu GDPR? Dodatky k pracovním smlouvám nebo informované souhlasy zaměstnanců? Existuje někde jednoduchý vzor? 

Dokumentaci u zaměstnanců vedeme následovně: 10 let – doklady ke srážkám ze mzdy, doklady k pracovní neschopnosti, přehledy zdravotní pojišťovny a PSSZ, vyúčtování daní z příjmů, potvrzení o zdanitelných příjmech, potvrzení o příjmech pro bankovní účely, přihlášky/odhláš­ky/změny PSSZ/ZP, oznámení o plnění povinného podílu OZP, měsíční mzdové výstupy, osobní spisy ukončených DPP/DPČ 3 roky - ELDP 4 roky – podklady pro výpočet mezd (prémie, dovolenkové lístky, rekapitulace docházky apod.) 30 let – mzdové listy, docházkové listy, osobní spisy ukončených HPP. Je takto v pořádku nebo máme něco změnit? 

Osobní automobily a jiná motorová vozidla jsou dnes již nedílnou součástí našich životů. Je proto pochopitelné, že hrají velmi důležitou roli též ve vztazích mezi zaměstnavateli a zaměstnanci. Vzhledem k tomu, že užití firemních či vlastních vozů zaměstnanci při výkonu práce má mnohé dopady do pracovněprávních vztahů, je vhodné tyto právní aspekty shrnout. Cílem tohoto příspěvku je proto takové shrnutí a obecný výklad k právnímu režimu užívání firemních vozidel zaměstnanci.

Podle průzkumů společnosti Lendedu 34 % lidí neuvádí na svém profilu LinkedIn pravdu. K „přikrášlování“ či „zušlechťování“ pracovních zkušeností, vzdělání, schopností či jazykových znalostí se v internetovém průzkumu OnlinePrace.cz přiznalo dokonce téměř 50 % všech respondentů. Není proto divu, že zaměstnavatelé často nepovažují informace uváděné uchazeči v jejich životopisech za důvěryhodné a přistupují k jejich ověřování. Tento proces se v praxi označuje anglickým názvem pre-employment background screening nebo pre-employment background check (dále jen „PBS“) – volně přeloženo do češtiny prověrka životopisu nebo šířeji prověrka minulosti uchazeče o zaměstnání.

Je možné archivovat pracovní smlouvy elektronicky, tzn. naskenované v počítači bez uchování papírových podob? Dále jsem se chtěla zeptat, které dokumenty máme archivovat z pohledu GDPR v pracovních a osobních složkách současných i bývalých zaměstnanců? Vím, že mzdové listy 30 let, ale nevím co pracovní smlouvy, prohlášení, podklady k výpočtu daně apod. 

Které kopie dokladů musíme v personální složce u zaměstnance držet, abychom neporušili GDPR? Jedná se mi např. o potvrzení o zaplaceném životním pojištění, smlouva o životním pojištění, rodný list dětí, rozhodnutí o svěření dítěte do péče apod. Musíme mít tyto doklady v papírové podobě anebo nám stačí elektronická verze (pdf v počítači)? 

Vedení mzdové agendy v souvislosti s GDPR Generální finanční ředitelství vydalo sdělení pro plátce daně z příjmů fyzických osob ze závislé činnosti, kterým blíže specifikuje aplikaci Nařízení Evropského parlamentu...

V pátek 25. května 2018 nabyla účinnosti nová právní úprava ochrany osobních údajů - Nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zkráceně nazývané GDPR (obecné nařízení o ochraně osobních údajů). Toto nařízení se dotýká i zajišťování BOZP a PO. V BOZP dokonce dochází ke zpracování zvláštní kategorie osobních údajů (dříve „citlivých údajů“).

Dne 25. 5. 2018 nabývá účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Veřejnosti je známo z denního tisku i odborných článků pod uváděnou anglickou zkratkou GDPR - General Data Protection Regulation. Od uvedeného data nařízení nahradí valnou část právní úpravy obsažené nyní v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Tento zákon bude zrušen a nahrazen novým zákonem o zpracování osobních údajů (vládní návrh je v současné době ve schvalovacím procesu), který bude upravovat dále organizaci a činnost Úřadu pro ochranu osobních údajů (ÚOOÚ) jako státního dozorového orgánu a některé záležitosti ochrany osobních údajů, které nejsou zmíněným nařízením konkretizovány nebo je jím umožněno upravit je na vnitrostátní úrovni.

Jednou z hlavních novinek, kterou přináší Nařízení, je zavedení funkce tzv. pověřence pro ochranu osobních údajů (Data Protection Officer - DPO). Tuto funkci budou povinni zřídit ti správci a zpracovatelé osobních údajů, u kterých to nařízení vyžaduje. Správci a zpracovatelé, kteří chtějí proklamovat soulad své činnosti s GDPR, mohou však pověřence ustanovit i tehdy, jestliže se jich tato povinnost netýká.

Tento článek navazuje na problematiku nastíněnou v předchozí části a dále komentuje jednotlivé zásadní novelizační body provedené zákonem č. 206/2017 Sb., kterým se mění zákon č. 435/2004 Sb., o zaměstnanosti, ve znění pozdějších předpisů, a další související zákony.

Tímto článkem navazujeme na text z předchozího čísla s úmyslem seznámit čtenáře se základními povinnostmi zaměstnavatele, které pro něj vyplývají ve vztahu k zaměstnancům z Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů, dále také „GDPR“ nebo „Nařízení“).1)

Ochrana osobních údajů v pracovněprávních vztazích je významnou oblastí práva, která je však do značné míry ze strany zaměstnavatelů opomíjena. V dnešní technologické době, kdy jsme téměř neustále pod dohledem kamer na ulici nebo na pracovišti, nakupujeme přes internet, své životy sdílíme na sociálních sítích, je nezbytné důkladně chránit naše osobní údaje. Úřad pro ochranu osobních údajů, ale také Evropská komise proto kladou značné nároky na jejich ochranu a ukládají řadu povinností, které dopadají také na zaměstnavatele.

V roce 2016 bylo přijato nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů, dále také „GDPR“). GDPR představuje nový právní rámec ochrany osobních údajů v evropském prostoru a od 25. května 2018 bude přímo stanovovat pravidla pro zpracování osobních údajů i pro Českou republiku.

Již za necelý rok bude účinné obecné nařízení EU č. 2016/679 o ochraně osobních údajů (GDPR - General Data Protection Regulation), které zavede pravidla přímo použitelná na celém území Evropské unie.1) Jaké novinky nařízení přinese, jak se změní povinnosti správců a zpracovatelů údajů a jaké sankce jim budou hrozit v případě porušení nařízení?

S pojmem compliance či s compliance programy se setkáváme především v korporátním prostředí, zejména u nadnárodních společností, které tento koncept přinášejí také do českých společností. V následujících řádcích naleznete odpověď na otázky, co compliance znamená, jak se změnil v čase význam compliance programů a v jakých oblastech se s nimi můžeme setkat.