oficiální stránky odborného  právnického časopisu české advokacie • oficiální stránky odborného  právnického časopisu české advokacie  
AK Logo Logo
vítejte!
Právě jste vstoupili na Bulletin advokacie online. Naleznete zde obsah stavovského odborného časopisu Bulletin advokacie i příspěvky exklusivně určené jen pro tento portál.
Top banner Top banner Top banner
NEJČTENĚJŠÍ
CHCETE SI OBJEDNAT?
Zákon o advokacii a stavovské předpisy
Wolters Kluwer
Nesporná řízení I
450 Kč
natuzzi sale

Archiv BA

Archiv čísel

anketa

Vítáte zavedení advokátního procesu v záměru CŘS?
PARTNEŘI
SAK ePravo WKCR

Nařízení o ochraně osobních údajů (GDPR) v pracovněprávní praxi

autor: JUDr. Ladislav Jouza
publikováno: 24.07.2018

Nové nařízení EU o ochraně osobních údajů (GDPR) se již od 25. května 2018 uplatňuje v pracovněprávní (zejména personální) praxi. O tom, že je to nařízení velmi potřebné, svědčí skutečnost, že Úřad pro ochranu osobních údajů eviduje ode dne účinnosti nařízení GDPR již přes 600 tisíc stížností občanů na postup správců subjektů (např. zaměstnavatelů) na porušení nařízení. Ze své advokátní praxe mohu uvésti některé příklady, jakých problémů se stížnosti v pracovněprávní oblasti nejčastěji týkají.

Přímá účinnost

Nařízení Evropské unie GDPR (anglicky označované General Data Protection Regulation) z obecného pohledu je právním aktem a nejúplnějším a nejbezprostřednějším opatřením v rámci nástrojů sbližování práva, který mají orgány EU k dispozici. Jako každé nařízení EU má přímou účinnost pro členský stát EU bez ohledu na to, zda byla jeho ustanovení implementována do vnitrostátních předpisů. To je rozdíl od směrnic EU, které musí členský stát do svých předpisů zapracovat.. Nařízení EU jsou tedy pro členské státy závazná a přímo použitelná. Z tohoto pohledu je nutno posuzovat i nařízení GDPR o ochraně osobních údajů, které nabylo účinnosti pro ČR 25. 5. 2018. Bez ohledu na to, kdy bude účinný případně novelizovaný nebo nový zákon o ochraně osobních údajů, který nahradí zákon č. 101/2000 Sb. 

Správci osobních údajů

Nařízení musí v personální činnosti uplatňovat správci údajů. Rozumí se tím i zaměstnavatelé. Podle čl. 4 nařízení se za osobní údaje považují veškeré informace o fyzické osobě, která je subjektem údajů. S tímto článkem nařízení je v souladu i současné znění zákona na ochranu osobních údajů, které osobním údajem rozumí jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů, jestliže lze podle jednoho či více osobních údajů zjistit totožnost občana (subjekt údajů). Za osobní údaj nelze považovat jen obecně známá identifikační data, jako např. jméno, příjmení, datum narození, adresa apod. Patří mezi ně však i údaje, které jsou o určité osobě shromažďovány a zpracovávány. V této souvislosti je nutno považovat za osobní i údaj o mzdě (platu) nebo odměnách zaměstnance. K jeho identifikaci nemusí být uváděno ani jeho jméno, stačí třeba jen označení jeho pracovní pozice.                                                                                

Zpracování osobních údajů

Některé údaje o zaměstnanci zaměstnavatel zaznamenává na počítačové diskety. Vznikají problémy, zda se tím rozumí zpracování osobních údajů.

Zpracováním osobních údajů se podle čl. 4 nařízení rozumí jakákoliv operace nebo soubor operací, která je prováděna s osobními údaji nebo soubory osobních údajů. Je to zejména shromažďování, zaznamenání (ukládání na nosiče informací), uspořádání, uložení, použití a šíření údajů apod. Jde o jakoukoliv manipulaci s údaji, tedy také správu údajů, nakládání s údaji apod. Zpracování se může uskutečňovat nejen technickými prostředky, např. výpočetní technikou, ale také manuálně, např. je to evidence, zakládání dat apod. (Definice osobního údaje viz čl. 4 odst. 1 nařízení).

Typickými zpracováním je např. personální agenda, různé evidenční rejstříky (uchazečů o zaměstnání) apod. 

Bez souhlasu zaměstnance

Zejména v personální práci a při uplatňování zákoníku práce (dále ZP) je velká většina situací, kdy zaměstnavatel souhlas zaměstnance nepotřebuje.

Je tomu např. pro splnění smlouvy, pro splnění právní povinnosti, pro ochranu životně důležitých zájmů subjektu nebo jiné fyzické osoby, pro splnění úkolu prováděného ve veřejném zájmu, při výkonu veřejné moci, kterým je pověřen správce pro účely oprávněných zájmů příslušného správce nebo třetí osoby.

V těchto případech zaměstnavatel souhlas zaměstnance nepotřebuje, neboť zjištění osobních údajů umožňuje právní předpis (zák. práce). 

Souhlas na pracovních smlouvách

Zaměstnanec na pracovní smlouvě uvedl, že souhlasí se zpracováním osobních údajů. Tento doplněk není nutný. Poznámka (doplněk) např. v pracovní smlouvě nebo dohodě o práci že „zaměstnanec souhlasí se zpracováním osobních údajů pro pracovněprávní účely“ je neplatný. Vyvolává u zaměstnance dojem, že jej může kdykoliv odvolat. Přitom důvod ke zpracování těchto údajů je pokryt právním důvodem plnění smlouvy nebo zákonem a jeho uvádění v pracovní smlouvě je nadbytečné. Má-li zaměstnavatel takové pracovní smlouvy již uzavřeny, neznamená to jejich neplatnost či nemožnost zpracovávat osobní údaje, neboť má k tomu právní důvod. 

Osobní údaje

Podle čl. 4 nařízení se „osobními údaji“ rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“). Jde o fyzickou osobu, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. 

Souhlas zaměstnance

Souhlasem subjektu údajů je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Souhlas může být udělen jak písemným prohlášením, tak elektronicky nebo ústně, ovšem musí jít o jednoznačné potvrzení. Za souhlas nelze považovat zejména mlčení, předem zaškrtnuté políčko nebo nečinnost subjektu údajů.

Podmínky vyjádření souhlasu blíže upravuje ust. čl. 7 nařízení, v jehož odst. 1 je stanoveno, že správce je povinen prokázat, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů. Ústně vyjádřený souhlas subjektu údajů, byť ústní forma souhlasu je nařízením výslovně připuštěna, nebude prakticky realizovatelný, neboť správce by v takovém případě nemohl dostát své povinnosti doložit udělení souhlasu se zpracováním osobních údajů ze strany subjektu údajů.

Je však třeba souhlas zaměstnance jakožto právní titul ke zpracování osobních údajů využívat obezřetně a spíše jen sporadicky při vědomí specifik základních pracovněprávních vztahů a v rámci nich působící ochranné funkce pracovního práva a z ní vyplývající zásady zvláštní zákonné ochrany postavení zaměstnance. 

Údaje o mzdě nebo platu

Zpracováním se podle čl. 4 nařízení rozumí jakákoliv operace nebo soubor operací, která je prováděna s osobními údaji nebo soubory osobních údajů. Patří mezi ně i údaje o mzdě a platu konkrétního zaměstnance? 

Zpracování je zejména shromažďování, zaznamenání (ukládání informací na nosiče), uspořádání, uložení, použití, šíření údajů apod. Jde o jakoukoliv manipulaci s údaji, tedy také správa údajů, nakládání s údaji apod.  Jak již bylo řečeno, za osobní údaj nelze považovat jen obecně známá identifikační data, jako např. jméno, příjmení, datum narození adresa apod. Patří mezi ně však i údaje, které jsou o určité osobě shromažďovány a zpracovávány. V této souvislosti je nutno považovat za osobní i údaj o mzdě (platu) nebo odměnách zaměstnance. K jeho identifikaci nemusí být uváděno ani jeho jméno, stačí třeba jen označení jeho pracovní pozice.    

Zjišťování rodného čísla

Rodné číslo zaměstnance je v systému ochrany osobních údajů zvláštní kategorií. Zaměstnavatel je zpravidla uvádí na pracovní smlouvě. Použití rodného čísla, uvádění a zpracování připouští nařízení za určitých podmínek: stanoví-li to zvláštní zákon nebo se souhlasem nositele rodného čísla nebo jeho zákonného zástupce. 

Správce (zaměstnavatel) může uvádět rodné číslo jako osobní údaj, jestliže provádí zpracování nezbytné pro dodržení právní povinnosti zaměstnavatele, nebo jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů (zaměstnanec), nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů. Proto není zjišťování rodného čísla zaměstnance porušením nařízení zaměstnavatelem, neboť tento údaj je nezbytný pro uzavření pracovní smlouvy nebo dohody o práci konané mimo pracovní poměr. Mají-li rodná čísla zaměstnavatelé již napsaná na pracovních smlouvách zaměstnanců, nemusí je z nich mazat. 

Pracovní smlouva slouží rovněž k založení pojistných vztahů, v nichž je uvádění rodného čísla vyžadováno příslušným předpisem. Jde např. o § 10 odstavec 1 zákona o veřejném zdravotním pojištění nebo o § 95 písm. a) zákona o nemocenském pojištění. Kdyby si zaměstnavatel v těchto případech neopatřil rodné číslo zaměstnance v pracovní smlouvě, musel by si je v jednotlivých případech opatřit jinak. 

Zjišťování rodného čísla je rovněž nutné pro evidenci zaměstnanců pro účely důchodového pojištění. V § 37 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení je zaměstnavateli přímo stanovena povinnost, aby v evidenci uváděl rodné číslo zaměstnance. 

Občanský průkaz

Občanský průkaz často bývá používán k identifikaci osoby. Jde např. o ověřování totožnosti občana při vstupu do budovy. Tato praxe není v rozporu s nařízením. V pracovněprávní praxi se mnohdy vyskytuje postup zaměstnavatelů, zejména personálních oddělení, že si usnadňují práci s ověřením a zapsáním údajů o uchazeči o práci, např. budoucím zaměstnanci, kopírováním občanského průkazu. To mohou však provádět jen po souhlasu zaměstnance. Podmínky stanoví nařízení, že souhlas byl učiněn svobodně. Tato podmínka nemusí být v některých případech splněna, bude-li např. uchazeč o zaměstnání jednat ve snaze tuto práci získat, i když s určitou výhradou. Takový souhlas by nebyl svobodný a byl by neplatný. 

Údaje o zdravotním stavu zaměstnance

V některých případech musí zaměstnavatel znát údaje o zdravotním stavu zaměstnanců.

Zjišťování a zpracování údajů o zdravotním stavu zaměstnance bude probíhat ve smyslu čl.9 odst.2 písm. b) nařízení. Např. tehdy, do jde-li k pracovnímu úrazu zaměstnance a je nutno zjistit jeho zdravotní stav nebo zjištění zdravotního stavu u zaměstnance, který bude pracovat v noci, nebo možnost vykonávat určitou práci těhotnou ženou apod. 

Souhlas zaměstnance nemusí zaměstnavatel vyžadovat např. při vstupní lékařské prohlídce uchazeče o práci, kdy si podle zákona o specifických zdravotních službách (zákon
č. 373/2011 Sb,) ověřuje zdravotní stav zaměstnance. Stejně je to např. i při lékařské prohlídce před výkonem noční práce, zaměstnávání mladistvého apod., neboť splnění těchto povinností zaměstnavatelem i zaměstnancem je stanoveno zákonem (viz čl. 9 odst.1 nařízení). 

Právo být zapomenut

Podle čl.17 odst.1 nařízení má subjekt údajů, v pracovněprávních vztazích zaměstnavatel, povinnost ukládat údaje jen po vymezenou dobu.

Ve výkladové praxi se tato skutečnost hodnotí jako „zásada omezení uložení.“ 

Pomine-li účel zpracování dat, je povinností správce je vymazat. Nařízení v čl. 17 uvádí právo na výmaz („právo být „zapomenut“.) Podle tohoto článku správce vymaže údaj bez zbytečného odkladu pokud nastal některý z důvodů:

-           osobní údaje již nejsou potřebné,

-           subjekt údajů odvolal souhlas nebo vznesl námitky proti zpracování,

-           osobní údaje byly zpracovány protiprávně,

-           osobní údaje byly vymazány ke splnění právní povinnosti. 

V pracovněprávních vztazích jde o vymazání (likvidaci) údajů, které jsou např. uloženy v osobním spise zaměstnance. Zaměstnavatel však nemusí tuto povinnost splnit, pokud právní předpis stanoví jinou (maximální) lhůtu pro uložení dat nebo zpracování je nadále nezbytné pro splnění právní povinnosti, která se na správce vztahuje (čl.17 odst. 3 nařízení). Právní povinnost je uvedena např. v zákoně o účetnictví, který předepisuje postup při zpracování (uschovávání) těchto údajů. 

Lhůty (právní povinnost) platí pro zaměstnavatele pro uschování dokladů podle zákona o nemocenském a důchodovém pojištění. Zaměstnavatel je povinen uschovávat záznamy o poskytování a výplatě nemocenských dávek, včetně evidence doby zaměstnání a evidence lhůt a podpůrčích dob po dobu 10 kalendářních roků následujících po roce, kterého se týkají. Za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního poměru, záznamy o úrazech a nemocech z povolání a záznamy o evidenci pracovní doby, včetně doby pracovního volna bez náhrady přijmu. 

Pro účely důchodového pojištění jsou zaměstnavatelé povinni uschovávat mzdové listy nebo účetní záznamy po dobu 30 kalendářních roků následujících po roce, kterého se týkají. Mezi doklady zůstávající v osobním spise však rozhodně nepatří osobní dotazník, žádost o zasílání výplaty na účet, případně i doklady o bezúhonnosti (výpis z rejstříku trestů).  

Pověřenec pro ochranu osobních údajů

Mnoho zaměstnavatelů se v souladu s nesprávnými informacemi domnívá, že musí mít pověřence pro ochranu osobních údajů.

Nařízení stanoví tuto povinnost v čl. 37 odst. 1, jen pro správce a zpracovatele pokud:

- zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů,

- hlavní činnosti spočívají v operacích zpracování, které s ohledem na svou povahu, rozsah nebo účel vyžadují rozsáhlé, pravidelné a systematické monitorování nebo spočívají v rozsáhlém zpracování zvláštních kategorií údajů,

- hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

Na „běžné“ zaměstnavatele, kteří nevykazují uvedené znaky nebo činnosti, se tedy povinnost zřizovat pověřence nevztahuje. 

V podmínkách ČR se bude pověřenec uplatňovat zejména v územních samosprávných celcích, jako jsou obce, města, kraje, městské části apod. Dále by měl být ustaven, kdy zpracování údajů bude vlastní činností zaměstnavatele (správce) nebo zpracovatele. V důvodové zprávě k nařízení se uvádí příklad nemocnice, u které je hlavní činností poskytování zdravotní péče. S tím je spojeno zpracování osobních a zvláštních kategorií údajů. Rovněž se může jednat o bezpečnostní agenturu, s jejíž činností je spojeno zpracování osobních údajů. Naopak mezi hlavní činnosti nepatří zajištění personální agendy zaměstnavatele. Tato agenda sama o sobě neznamená povinnost pro zaměstnavatele ustavovat pověřence. 

Pověřenci v malých obcích

Pověřence pro ochranu osobních údajů musí zřizovat i menší obecní úřady. Situaci je možné řešit výhodným ekonomickým způsobem, neboť nařízení stanoví pro skupinu podniků možnost, aby byl jmenován jediný pověřenec. Ten však musí být z každého správce, např. obce, města apod. dosažitelný. To platí např. i pro obecní nebo městské úřady apod. Pověřence může vykonávat fyzická osoba přímo v pracovněprávním vztahu u zaměstnavatele nebo na základě smlouvy o poskytování služeb. U zaměstnavatelů s vyšším počtem zaměstnanců bude vhodné, aby pověřenec byl zaměstnán na plný pracovní úvazek, neboť bude působit i jako kontaktní místo pro dozorový úřad. U menších zaměstnavatelů bude vhodnější, když např. některý ze zaměstnanců bude pověřen tímto úkolem s rozšířením pracovní náplně o tuto agendu. 

Skončení činnosti pověřence

Ve sdělovacích prostředcích se objevují názory, že se správci zakazuje rozvázání pracovního poměru s pověřencem, neboť je na správci (zaměstnavateli) nezávislý.

Pověřenec by měl tuto činnost vykonávat v pracovněprávním vztahu, neboť ve většině případů půjde o závislou činnost. Její prvky uvádí zák. práce v § 2 a 3. Nelze ji vykonávat mimo pracovněprávní oblast, neboť by šlo o nelegální práci (načerno).

I při jmenování pověřence je za jeho postup podle nařízení odpovědný zaměstnavatel, nikoliv pověřenec. Nařízení sice v čl. 27 zakazuje rozvázání a sankcionování pracovního poměru pověřence v souvislosti s plněním svých úkolů, ale to neznamená, že by zaměstnavatel nemohl postupovat podle zák. práce. Ten je totiž ve vztahu k nařízení speciálním předpisem. Splnění podmínek pro platné skončení pracovního poměru je nutno posuzovat dle jeho příslušných ustanovení. Proto není vyloučeno, ani nařízením, skončení pracovního poměru pověřence pro ochranu osobních údajů. Samozřejmě za dodržení podmínek stanovených ZP, kdy pověřenec neplní své úkoly řádně, včas, nebo postupuje v rozporu s GDPR anebo pokud svým jednáním způsobí správci nebo zpracovateli, jakožto svému zaměstnavateli, škodu.

      

Autor je advokátem a odborníkem na pracovní právo.