Pojednání na téma povinností zaměstnavatele vůči zaměstnancům v rámci GDPR, tedy „Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)“, bylo zahájeno v minulém čísle časopisu DHK č. 12-13 na s. 54 z pohledu principu zákonnosti a transparentnosti. Podívejme se nyní konkrétněji na některé situace, k nimž v zaměstnání běžně dochází a jakým způsobem je řešit.
GDPR a zaměstnanci – 2. část
Mgr.
Marek
Martinka
Náborový proces
Zpracování osobních údajů začíná už v průběhu přijímacího řízení. Zaměstnavatel obvykle nakládá s osobními údaji, jež obdrží od uchazeče v žádosti o zaměstnání či v rámci jeho životopisu, případně si některé informace o uchazeči vyhledá z veřejně dostupných zdrojů. Takto je zaměstnavatel pochopitelně oprávněn postupovat a nemusí si vyžadovat od uchazeče souhlas se zpracováním osobních údajů, neboť právním základem zpracování je zde tzv. oprávněný zájem zaměstnavatele.
Nicméně i v této souvislosti by neměl zapomínat na princip transparentnosti a měl by uchazeči sdělit, jakým způsobem s jeho osobními údaji naloží a že je po skončení přijímacího řízení v případě neúspěchu kandidáta vymaže. Ideálně tak může učinit v rámci informací o daném pracovním místě, jinou vhodnou formou může být informace uvedená na internetových stránkách zaměstnavatele v kariérní sekci. Pokud by si však zaměstnavatel hodlal ponechat po nějakou dobu životopis některého ze zajímavých neúspěšných kandidátů, je povinen vyžádat si
od daného kandidáta
souhlas se zpracováním, protože jiným právním základem pro takový případ zaměstnavatel chráněn nebude. V praxi jsem se opakovaně setkal se stížností nepřijatého uchazeče, který emočně neunesl, že danou pozici nezískal, proto doporučuji na správný postup v souladu s GDPR brát zvláštní zřetel. Osobní spis zaměstnance
Osobní spis představuje dokumentaci vztahující se k zaměstnanci, která obsahuje písemnosti o zaměstnanci, které jsou nezbytné pro výkon práce v základním pracovněprávním vztahu. Přípustnost vést osobní spis vyplývá přímo ze zákona č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů, zaměstnavatel tak nežádá zaměstnance o souhlas se zpracováním jeho osobních údajů založením do osobního spisu, protože právní základ pro zpracování zde vyplývá ze zákona. Je vhodné o vedení osobního spisu zaměstnance informovat a sdělit mu, jaké písemnosti se v něm vedou. Obsahem spisu jsou obvykle profesní životopis zaměstnance, doklady o dosaženém vzdělání, potvrzení o zaměstnání z předchozího zaměstnání, lékařský posudek o zdravotní způsobilosti, pracovní smlouva atp.
E-mailová adresa
Nepříliš dobré právní povědomí panuje u veřejnosti co do možnosti užití e-mailové adresy zaměstnance. Úřad pro ochranu osobních údajů dovozuje, že je třeba činit rozdíl mezi soukromou a pracovní elektronickou adresou nejen vzhledem k jejímu obsahu, ale také k jejímu názvu. Pokud elektronická adresa obsahuje jméno zaměstnance, jedná se o jeho osobní údaj. Zaměstnavatel ji může na základě svého oprávněného zájmu zpracovávat, zejména uveřejnit a předávat obchodním partnerům či zákazníkům. Nicméně připomeňme, že zaměstnavatel není již oprávněn volně s obsahem doručených zpráv nakládat, neboť zde nastupuje ochrana listovního tajemství a ochrana soukromí zaměstnance.
Platí následující pravidla. Za soukromou adresu je považována vždy ta, která je zřízena na freemailovém serveru a obsahuje jméno zaměstnance (např. jmeno@seznam.cz). Takovou adresu nesmí zaměstnavatel nikdy otevřít bez souhlasu zaměstnance.
Pracovní e-mail (např. jmeno@domena.cz), který má zaměstnanec zřízen k výkonu své práce, je však také považován za soukromý, a to přesto, že adresa patří zaměstnavateli. Zprávy doručené na takovou adresu jsou považovány za soukromou poštu. Zaměstnavatel může pouze za předpokladu, že má důvodné podezření, že dochází k porušování pracovních povinností, např. ke zneužívání pracovních prostředků k soukromým účelům, kontrolovat došlou poštu, ale pouze počet doručených a odeslaných e-mailů nebo hlavičku jednotlivých e-mailů. Otevřít poštu by mohl zaměstnavatel pouze v případě, kdy by nevyřízení určité záležitosti mohlo způsobit zaměstnavateli škodu (např. zaměstnanec je dlouhodobě nemocný nebo je na dovolené).
Po skončení pracovního vztahu si zaměstnavatelé často pro případ potřeby již neaktuální adresy ponechávají, což by mohlo být v souladu s GDPR, pokud zde bude existovat oprávněný zájem na straně zaměstnavatele (např. ochrana majetku, případný soudní spor).
Dodejme, že speciální režim mají také e-mailové adresy s tzv. úřední elektronickou adresou (např. info@domena.cz). Emaily doručené do této schránky nejsou považovány za soukromé, a proto do nich může nahlížet bez dalšího i zaměstnavatel, a to i v případě, že je spravuje pouze jeden zaměstnanec.
Kamerový monitoring
Pořizování kamerových záznamů na pracovišti za účelem ochrany majetku či zajištění bezpečnosti je rovněž nutné považovat za zpracování osobních údajů. Není sice podmíněno souhlasem zaměstnance, ale zaměstnavatel by si měl vyhodnotit, zda a kde je přítomnost kamer nezbytná. Zaměstnavatel má samozřejmě povinnost vhodným způsobem zaměstnance o existenci kamer informovat a sdělit mu, v jakém rozsahu a za jakým účelem bude kamera daný prostor zabírat, a kdo k záběrům může mít přístup. Informační povinnost splní umístěním piktogramů a doprovodného textu. Monitoring nikdy nesmí být excesivní a zejména nesmí probíhat na ryze soukromých místech.
Soudy dále dovozují, že uchovávat takto pořízené záběry by zaměstnavatelé neměli déle než po dobu tří dnů, pokud k tomu nemají opodstatněné důvody. GDPR v této souvislosti přináší změnu, podle které již správci nemusí přítomnost průmyslových kamer na pracovišti předem oznamovat úřadu pro ochranu osobních údajů.
Závěrem
Na pracovišti přirozeně dochází i k řadě dalších případů zpracování osobních údajů, a to dle charakteru činnosti závodu. Vždy je třeba především myslet na správnou informovanost zaměstnanců, opřít se o vhodný právní základ a zpracovávat údaje v nezbytně nutném rozsahu a po nezbytně nutnou dobu. O tom v některém z příštích příspěvků.
GDPR a zaměstnanci - 1. část