GDPR v pracovněprávních vztazích

Vytisknout

Klára Gottwaldová, TSM

Čtyři „tajemná“ písmena GDPR jsou v praxi skloňována stále častěji. Na toto téma vyšlo již mnoho článků, my se ale pojďme na ona „tajemná“ písmena podívat zase z jiného, nicméně opravdu základního, úhlu pohledu. O co se tedy vlastně jedná?

Jde o Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 (v ČR účinné od 25. 5. 2018). O tomto Nařízení se hovoří jako o nejvýznamnějším legislativním počinu v oblasti ochrany osobních údajů za posledních několik (snad i desítek) let.

Jedná se o (na tyto poměry) opravdu rozsáhlý právní předpis, který přináší přísnější úpravu ochrany osobních údajů, než jak ji známe dnes. S ohledem na tuto skutečnost je tedy nutné, aby i personální oddělení u zaměstnavatelů (a nejen ta) byla s touto právní úpravou seznámena.

Stávající právní úprava ochrany osobních údajů je zakotvena v zákoně č. 101/2000 Sb., o ochraně osobních údajů, který ale s nástupem GDPR pozbude účinnosti (aktuálně je projednáván návrh nového zákona o zpracování osobních údajů). Nicméně Úřad pro ochranu osobních údajů stále bude plnit funkci dozorového, kontrolního orgánu.

Dopadne GDPR skutečně na všechny zaměstnavatele?

Ano, obecně se toto nařízení vztahuje na všechny fyzické nebo právnické osoby, orgány veřejné moci či jiné subjekty, které shromažďují nebo zpracovávají osobní údaje (pozor, jedná se osobní údaje fyzických osob).

Co tedy jako zaměstnavatel musím udělat?

Povinností pro zaměstnavatele přináší GDPR mnoho, nicméně tou základní a primární je dle mého názoru posoudit, jaké osobní údaje zaměstnavatel zpracovává, za jakým účelem je zpracovává a jak jsou tyto údaje chráněny/jaká přijmout opatření pro jejich ochranu. Podle čl. 6 GDPR je zpracování zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

  1. subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
  2. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
  3. zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
  4. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
  5. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
  6. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

Velmi důležité je upozornit na to, co se prolíná celou novou právní úpravou ochrany osobních údajů, a to je, že souhlas se zpracováním osobních údajů již není primárním účelem (důvodem) zpracování osobních údajů.

Vyjádření souhlasu se zpracováním osobních údajů by navíc vůbec nemělo představovat právní důvod pro zpracování osobních údajů v situacích, kdy mezi subjektem údajů a správcem/zpracovatelem není vyvážený vztah, což jsou typicky pracovněprávní vztahy (vztah zaměstnavatele a zaměstnance je vztahem nadřízenosti a podřízenosti).

Základní doporučení pro zaměstnavatele ve zkratce:

  1. Jak již bylo uvedeno výše, ze všeho nejdříve doporučuji udělat „generální úklid“ v osobních údajích, tedy posoudit, jaké osobní údaje zaměstnavatel shromažďuje a zpracovává a k jakému účelu (Je zpracování nezbytné pro splnění právní povinnosti? Je zpracování nezbytné pro plnění smlouvy? Potřebujeme ke zpracování osobních údajů souhlas zaměstnance?).
    Dobrou zprávou pro zaměstnavatele dle mého názoru je, že většinu osobních údajů skutečně zpracovává pro to, že je to nezbytné pro splnění právní povinnosti, pro splnění smlouvy či je zpracování nezbytné pro účely oprávněných zájmů zaměstnavatele (pozor je ale třeba si dát kupř. u pořizování fotografií zaměstnanců pro nejrůznější účely).
  2. Provést revizi dokumentů – pracovních smluv, osobních dotazníků, interních směrnic, sdělení o monitorování pracoviště kamerovým systémem apod., vytvořit kodexy chování pro osoby, které s osobními údaji pracují, vytvořit kvalitní smlouvy se zpracovateli osobních údajů (kupř. i s externí mzdovou účetní), případně i s pověřencem pro ochranu osobních údajů, pokud zaměstnavatel má povinnost pověřence jmenovat.
  3. Dále je třeba vyhodnotit, jaká rizika může zaměstnanci přinést to, že zaměstnavatel zpracovává jeho osobní údaje (Kdo má přístup k osobním spisům zaměstnanců? Jsou přístupy k počítačům možné pouze na základě hesla, které se skládá z kombinace malých, velkých písmen, číslic a ideálně i speciálních znaků? Jak budeme postupovat v případě krádeže počítače?).
    Rovněž tak by měl zaměstnavatel zvážit, jaká opatření přijme za účelem zmírnění rizik zpracování osobních údajů zaměstnance (Osobní spisy zaměstnanců uzamknout do pancéřové skříně a zvolit dobré heslo jsou ta nejmenší, ale často velmi efektivní opatření, která může učinit každý zaměstnavatel bez ohledu na počet zaměstnanců, množství zpracovávaných osobních údajů či finančních prostředků, které má pro uvádění vnitropodnikových směrnic a kodexů chování do souladu s GDPR). Vše je třeba pravidelně kontrolovat, vyhodnocovat a aktualizovat.

Výše uvedené představuje opravdu jen výsek a základní minimum toho, co by zaměstnavatel měl v souvislosti s GDPR učinit. Rozsah přípravy na účinnost GDPR bude u každého zaměstnavatele bezesporu jiný. Důležité je přípravu na květen 2018 nepodcenit, nenechat vše na poslední chvíli a již nyní začít na revizi vnitropodnikových dokumentů a celkově na přizpůsobení se GDPR pracovat, protože všichni dobře víme, že kdo je připraven, nebude překvapen!

Autor článku

Obsah byl připraven ve spolupráci

Zaujal Vás tento článek? Objednejte si služby tohoto dodavatele na EduCity.cz a jako členové Klubu EduCity můžete získat něco navíc.

Komentáře k článku

Tento článek zatím nikdo neokomentoval. Přidejte komentář jako první.
Tento web používá k poskytování služeb, personalizaci reklam a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte.
Další informace