ZÍSKEJTE ZDARMA PŘÍSTUP K
Sledujeme nepřetržitě legislativní úpravy a pravidelně informujeme o změnách, které mohou mít dopad na vaše podnikání. Chcete i vy dostávat zajímavé odborné články a studie, užitečné tipy, informace o novinkách a legislativních změnách přímo do vaší emailové schránky?
Na co se můžete těšit? Nahlédněte do našeho Newsroomu .
Zašleme vám pouze informace, které budeme pokládat za užitečné pro vás a vaši společnost. S vašimi osobními údaji nakládáme v souladu se zásadami Ochrany osobních údajů a Prohlášení ke GDPR.
Nemůžete se přihlásit? Zkuste tuto stránku.
Hlavní principy regulace | Oznamování a odvetná opatření | Povinné subjekty a jejich povinnosti | Přestupky a pokuty | Praktické příklady
Nařízení GDPR přineslo od své účinnosti celou řadu změn a povinností týkajících se ochrany osobních údajů zaměstnanců a obchodních partnerů. V naší praxi se setkáváme s tím, že zaměstnavatelé a personalisté si mnohdy nejsou jistí, jak s osobními údaji zaměstnanců nakládat, jak dlouho mohou jednotlivé osobní údaje uchovávat či jak postupovat při skončení pracovního poměru se zaměstnancem.
V tomto e-booku naleznete praktická doporučení, jak správně řešit nejčastější situace při zpracování osobních údajů zaměstnanců. Pro přehlednost je tato příručka rozdělena do tří částí. V první kapitole se věnujeme nakládání s osobními údaji před uzavřením pracovního poměru, druhá část se zaměřuje na zpracování osobních údajů během trvání pracovního poměru a třetí část pojednává o nakládání s osobními údaji po ukončení pracovního poměru. Na konci každé kapitoly naleznete také užitečný checklist.
V případě jakýchkoliv dotazů týkající se nastavení ochrany osobních údajů nás neváhejte kontaktovat. Rádi vám poradíme se správným postupem.
Pro snazší orientaci v tomto e-booku uvádíme nejprve přehled právních předpisů a nejvíce používaných pojmů a základních zásad, které se se zpracováním osobních údajů pojí:
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Zákon č. 262/2004 Sb., zákoník práce.
Zákon č. 89/2012, občanský zákoník.
Osobním údajem se rozumí jakýkoliv údaj, na jehož základě je možné identifikovat konkrétní fyzickou osobu. Nejde tak pouze o jméno nebo rodné číslo, ale třeba i e-mailovou adresu, přihlašovací jméno nebo číslo občanského průkazu.
Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. V pracovněprávní oblasti bude subjektem údajů zpravidla zaměstnanec, ale mohou to být také rodinní příslušníci zaměstnance či osoby nacházejících se v prostorech zaměstnavatele, kteří budou snímáni prostřednictvím kamer. Subjektem údajů není právnická osoba.
Správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. V pracovněprávních vztazích bude správcem osobních údajů zpravidla zaměstnavatel.
Zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. V pracovněprávních vztazích bude zpracovatelem nejčastěji zaměstnavatel.
Zpracováním osobních údajů se rozumí jakákoliv operace s osobními údaji. Zpracováním osobních údajů je tak např. shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení osobních údajů.
Tato zásada bývá označována také jako zásada korektnosti a transparentnosti. Spočívá v tom, že správce osobních údajů musí mít pro zpracování osobních údajů nejméně jeden právní důvod a veškeré zpracování osobních údajů musí být prováděno transparentním způsobem.
Minimalizace osobních údajů znamená, že správce zpracovává pouze takové osobní údaje, které jsou adekvátní a potřebné k účelu, pro který je správce shromažďuje. Zaměstnavatel by tak měl od svých zaměstnanců získávat pouze ty osobní údaje, které jsou skutečně nezbytné pro plnění smlouvy.
Dle této zásady by měl správce zpracovávat pouze přesné osobní údaje.
Omezení účelu znamená, že osobní údaje je možné shromažďovat a zpracovávat pouze pro určité a legitimní účely. V případě pracovněprávních vztahů bude zpracování osobních údajů nejčastěji probíhat za účelem plnění pracovní smlouvy a k tomuto účelu je tak nutné osobní údaje využívat.
Dle této zásady by osobní údaje měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu a pouze pro ty účely, pro které jsou zpracovávány.
Tato zásada spočívá v přijetí technických a organizačních opatření k zabezpečení osobních údajů.
Výše uvedené zásady je třeba zohlednit při úvahách jaké osobní údaje chci nebo potřebuji zpracovávat a následně je promítnout i do veškerých dokumentů, které budou zacházení s osobními údaji zpracovávat.
Před začátkem každého pracovněprávního vztahu je nutné provést výběrové řízení a vybrat toho správného uchazeče. V naší praxi se setkáváme s tím, že personalisté si často nejsou jistí, jaké osobní údaje mohou od uchazečů o zaměstnání při výběrovém řízení vyžadovat, jestli se zpracováním osobních údajů potřebují souhlas nebo zdali mohou získávat informace o uchazečích také např. ze sociálních sítí.
Nařízení GDPR ani zákoník práce či zákon o zaměstnanosti nedefinují okruh osobních údajů, které by bylo možné od uchazečů o zaměstnání požadovat. Obecně lze říci, že je možné požadovat takové osobní údaje, které jsou relevantní pro rozhodnutí zaměstnavatele o tom, zda daného uchazeče přijme či nikoliv.
Zpravidla se tak bude jednat o identifikační údaje, kontaktní údaje uchazeče, údaje o vzdělání, osvědčení o splnění požadované kvalifikace, informace o předcházejícím zaměstnání apod.
Naopak zákoník práce v § 316 odst. 4 uvádí výčet osobních údajů, které zaměstnavatel nesmí vyžadovat, jedná se o:
a) těhotenství,
b) rodinné a majetkové poměry,
c) sexuální orientace,
d) původ,
e) členství v odborové organizaci,
f) členství v politických stranách nebo hnutích,
g) příslušnosti k církvi nebo náboženské společnosti,
h) trestněprávní bezúhonnost.
Výše uvedené neplatí, s výjimkou osobních údajů uvedených pod písmeny c), d), e), f) a g), pokud je dán věcný důvod spočívající v povaze práce, která má být vykonávána:
V souladu s nařízením GDPR je nutné uchazeče o zaměstnání jakožto subjekty údajů informovat o zpracování jejich osobních údajů.
Zaměstnavatel musí uchazečům o zaměstnání nejpozději v okamžiku získání osobních údajů poskytnout informace o okolnostech zpracování osobních údajů, tj. zejména:
Z praxe doporučujeme k inzerátu uvést např. proklikávací odkaz na zásady zpracování osobních údajů. Uchazeči o zaměstnání se s nimi budou moci snadno seznámit a získat tak informace, jak bude s jedno osobními údaji nakládáno.
Získávání souhlasu se zpracováním osobních údajů uchazeče o zaměstnání není nutné. Osobní údaje uchazeče o zaměstnávání jsou zpracovávány za účelem uzavření pracovní smlouvy či dohody o provedení práce nebo dohody o pracovní činnosti.
Uchování životopisů neúspěšných uchazečů je možné, např. pro případné budoucí oslovení s jinou pracovní nabídkou, pokud k tomu uchazeč dá souhlas. Nařízení GDPR nestanovuje požadavek, aby získaný souhlas byl v písemné podobě. Nicméně kvůli případné kontrole ze strany Úřadu pro ochranu osobních údajů rozhodně doporučujeme od uchazeče souhlas v písemné podobě získat.
Po skončení výběrového řízení již není možné bez souhlasu životopisy neúspěšných uchazečů uchovávat. Jedinou výjimkou je doba nezbytná pro případnou ochranu zájmů zaměstnavatele – např. pro účely obrany proti případnému nařčení zaměstnavatele z diskriminace. Ani tak by doba uchování neměla být delší než několik měsíců.
Pokud uchazeči o zaměstnání odesílají své životopisy prostřednictvím formuláře na webových stránkách, doporučujeme do takového formuláře doplnit také zaškrtávací tlačítko, ve kterém může uchazeč udělit souhlas s uchováním svého životopisu i pro případné budoucí oslovení.
Zde je nutné upozornit na rozdíl, jakým způsobem budou informace ze sociálních sítí využívány. Pokud osobní údaje ze sociálních sítí nebudou nikam zaznamenávány, tj. osobní údaje nebudou vůbec zpracovávány, nebude se jednat o postup, na který by se vztahovalo nařízení GDPR. Tak tomu bude např. v situacích, kdy personalista pouze zkontroluje na sociální síti LinkedIn, že tvrzené údaje v životopise odpovídají i profilu uchazeče na této sociální síti.
Upozorňujeme, že byť by personalista osobní údaje uchazeče ze sociálních sítí nikam nezaznamenával, ale bral by takto získané údaje v úvahu při svém rozhodování, není vyloučen rozpor s § 316 odst. 4 zákoníku práce (viz A). V určitých případech by se totiž mohlo jednat o získávání osobních údajů, které nesouvisejí s výkonem práce. Vždy je potřeba mít na paměti, zdali dané osobní údaje souvisejí s výkonem práce či nikoliv.
Pokud by personalista osobní údaje daného uchazeče ze sociálních sítích zaznamenával, jednalo by se o zpracování osobních údajů, které by pak muselo splňovat veškeré náležitosti stanovené nařízením GDPR. Zaměstnavatel by tak např. musel mít právní důvod pro takové zpracování a musel by poučit uchazeče o zaměstnání o probíhajícím zpracování osobní údajů.
I zde doporučujeme k osobním údajům uchazečů o zaměstnání přistupovat minimalisticky a využívat pouze sociální sítě, ze kterých je možné získat informace relevantní pro uzavření pracovního poměru – tedy například LinkedIn a nikoliv Instagram.
Potřebujete právní konzultaci? Jednoduše ji objednáte přes náš e-shop
Pokud dojde k uzavření pracovního poměru (případně dohody o provedení práce či dohody o pracovní činnosti), zaměstnavatel přichází do styku s velkým množstvím osobních údajů zaměstnance. Při trvání pracovního poměru tak vyvstane řada otázek souvisejících s jejich zpracováváním. V této části se pokusíme zaměřit na ty nejběžnější situace týkající se nakládání s osobními údaji zaměstnanců, se kterými se zaměstnavatelé a personalisté setkávají.
Vedle výše zmíněných základních zásad zpracování osobních údajů je pro zaměstnavatele nezbytné dodržovat práva zaměstnanců jakožto subjektů údajů, které jim nařízení GDPR poskytuje. Jedná se o tato práva:
Často se setkáváme s tím, že zaměstnavatelé si chtějí kopírovat doklady totožnosti či kartičky zdravotní pojišťovny svých zaměstnanců. Pro takové kopírování dokladů totožnosti zaměstnanců však zaměstnavatelé nemají oporu v právních předpisech.
Obecně doporučujeme se v případě zpracování osobních údajů zaměstnanců vždy řídit zásadou minimalizace osobních údajů, tzn. zpracovávat pouze skutečně nezbytné osobní údaje zaměstnanců.
Doporučujeme tedy po předložení požadovaných dokumentů si potřebné údaje poznamenat nebo z dokumentů zkontrolovat pravdivost tvrzených údajů, ale kopie nepořizovat.
V souvislosti s výše uvedenými doklady totožnosti se v praxi často vyskytuje i kopírování rodných listů dětí zaměstnanců. Personalisté či mzdové účetní si kopírují rodné listy dětí zaměstnanců z důvodu prokázání uplatňovaného daňového zvýhodnění.
Právní předpisy však nestanovují povinnost kopírovat rodné listy a prokazovat tím nárok na uplatňované daňové zvýhodnění. Zaměstnanec musí svému zaměstnavateli prokázat důvod uplatňování daňového zvýhodnění, avšak z hlediska GDPR je vhodné si rozhodné údaje pouze zaznamenat a nekopírovat celý rodný list dítěte. Obdobně jako tomu je v případě dokladů totožnosti či kartičky zdravotní pojišťovny (viz výše).
Otázku kopírování rodných listů dětí zaměstnanců řeší zaměstnavatelé také v případě exekuce zaměstnance. Ani v tomto případě nevyplývá z žádného právního předpisu povinnost pro zaměstnavatele, která by jim ukládala povinnost kopírovat rodné listy k provádění srážek ze mzdy. Proto i v případě provádění srážek ze mzdy, obdobně jako u uplatňování daňového zvýhodnění, doporučujeme rozhodné skutečnosti z rodných listů zaznamenat a rodné listy dětí nekopírovat ani na kopiích nezačerňovat některé údaje.
Poskytování nejrůznějších benefitů se stalo běžnou praxí v pracovněprávních vztazích. Zaměstnavatelé a personalisté tak často řeší otázku, jestli potřebují od zaměstnance souhlas s předáním osobních údajů poskytovateli benefitu.
Osobní údaje zaměstnanců předávají zaměstnavatelé poskytovateli benefitů na základě plnění smlouvy se zaměstnancem či plnění právních povinností zaměstnavatelů a souhlas zaměstnance tak není nutné získávat.
Pokud by byl souhlas od zaměstnance získáván, jednalo by se tak o nadbytečný souhlas, za který hrozí zaměstnavateli pokuta.
Vzhledem k rostoucí globální propojenosti je předávání osobních údajů do zahraničí čím dál častějším jevem. Mnohdy tak mateřská společnost požaduje přístup do personálních systémů všech svých dceřiných společností. V této souvislosti je nutné upozornit na skutečnost, že i pouhé zpřístupnění informačního systému dceřiné společnosti je považováno za předání osobních údajů a je proto nutné splnit požadavky stanovené nařízením GDPR.
V praxi dochází k předávání osobních údajů v rámci skupiny podniků. Nařízení GDPR stanoví, že správci osobních údajů, kteří jsou součástí skupiny podniků, mohou mít oprávněný zájem na předání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely, včetně zpracování osobních údajů zákazníků a zaměstnanců. Obecné zásady pro předávání osobních údajů v rámci skupiny podniků do podniku nacházejícího se ve třetí zemi zůstávají nedotčeny. Pokud chce tedy společnost v rámci skupiny podniků předávat osobní údaje do třetí země, musí zajistit, že osobním údajům bude poskytnuta dostatečná úroveň ochrany.
Předávání osobních údajů zaměstnanců v rámci Evropské unie je značně jednodušší než do třetích zemí. Země EU se v důsledku přijetí nařízení GDPR považují za bezpečné a není důvod pro předávání osobních údajů přijímat další bezpečnostní požadavky.
Předávání osobních údajů zaměstnanců do třetích zemí je specifické v tom, že je potřeba zajistit, aby předávaným osobním údajům byla poskytnuta dostatečná úroveň ochrany.
Dle nařízení GDPR je tak předávání osobních údajů do třetích zemí možné za splnění níže uvedených podmínek:
Evropská komise může o třetí zemi rozhodnout, že poskytuje dostatečnou úroveň ochrany pro osobní údaje. Pokud takové rozhodnutí o třetí zemi existuje, není třeba řešit přijetí dalších bezpečnostních požadavků.
Takovou zemí je tak např. Kanada, Nový Zéland, Izrael, Japonsko. Seznam platných rozhodnutí Komise o odpovídající úrovni ochrany osobních údajů lze najít ZDE.
Pokud neexistuje o dané zemi rozhodnutí o odpovídající ochraně, je nutné přijmout další opatření, které zajistí, že předávaným osobním údajům bude poskytnuta dostatečná úroveň ochrany. Takovými opatřeními jsou např. standardní smluvní doložky či závazná vnitropodniková pravidla.
Příklad: Typickou situací, kdy bude nezbytné uzavřít standardní smluvní doložky, bude situace, kdy česká společnost bude předávat osobní údaje zaměstnanců mateřské společnosti do Turecka. Jelikož neexistuje rozhodnutí Komise o odpovídající ochraně osobních údajů v Turecku, bude nutné s mateřskou společností z Turecka uzavřít standardní smluvní doložky.
Fotografování zaměstnanců či zveřejňování fotografií zaměstnanců z různých firemních akcí bývá pro zaměstnavatele mnohdy komplikovanou otázkou. Téměř každý zaměstnavatel využívá sociální sítě, díky kterým se snaží oslovit nové zákazníky a celkově zlepšit svoji propagaci. S tím samozřejmě souvisí i otázka zveřejňování fotografií zaměstnanců na sociálních sítích. V této části se budeme zabývat fotografováním zaměstnanců obecně pro interní účely zaměstnavatele a následně pořizováním a zveřejňováním fotografií např. na sociálních sítích či webových stránkách zaměstnavatele.
Nejprve je však důležité odlišit, kdy se v případě fotografií bude jednat o zpracování osobních údajů dle nařízení GDPR a kdy nikoliv, neboť ne každé pořízení a následné zveřejnění fotografie je zpracováním osobních údajů ve smyslu nařízení GDPR. Základní úpravu pro zacházení s fotografiemi osob obecně nalezneme v Občanském zákoníku. Podle § 84 a násl. Občanského zákoníku je možné zachytit podobu člověka tak, aby podle zobrazení bylo možné určit jeho totožnost, pouze s jeho svolením. Výjimku z tohoto pravidla představuje např. reportážní fotografie. Pokud tak zaměstnavatel fotografie z teambuildingu či firemního večírku pořizuje fotografie za účelem prezentace společnosti a nikoli jednotlivých zaměstnanců, budou tyto fotografie spadat do režimu dle pravidel obsažených v Občanském zákoníku. Obecně však doporučujeme k fotografiím zaměstnanců přistupovat rozumně a dobře zvážit, jaké fotografie se zveřejní na sociálních sítích.
Zřízení kamerového systému a pořizování kamerových záznamů bývá pro mnoho zaměstnavatelů poměrně složitou otázkou. Zaměstnavatelé musí při pořizování kamerových záznamů dodržovat podmínky ochrany soukromí zaměstnanců a zároveň musí nastavit dostatečnou ochranu svých práv a oprávněných zájmů.
Obdobně jako u pořizování fotografií, tak i u kamerového systému je třeba rozlišovat situace, kdy budou použita pravidla Občanského zákoníku a kdy se budou uplatňovat pravidla dle nařízení GDPR. Vedle těchto předpisů musí zaměstnavatelé dodržovat také pravidla obsažená v Zákoníku práce, konkrétně § 316 zákoníku práce upravující ochranu majetkových zájmů zaměstnavatele a ochranu osobnostních práv zaměstnance. Pravidla týkající se ochrany osobních údajů se tak budou uplatňovat v případech, kdy bude při provozování kamerového systému pořizován záznam.
Jak bylo zmíněno výše, zaměstnavatelé instalují kamerové systémy na pracovišti za účelem ochrany svých práv a oprávněných zájmů. Zaměstnavatel tak nejprve musí vyřešit otázku, zda je skutečně kamerový systém potřeba a nelze ochrany jeho práv a zájmů docílit jinými prostředky. Obecně doporučujeme vždy zvážit, nelze-li uplatit jiné méně invazivní řešení než zavedení kamerového systému. Úřad pro ochranu osobních údajů obecně nepodporuje sledování zaměstnanců na pracovišti, pokud by se dalo uplatit jiné méně invazivní řešení. Monitoring zaměstnanců by tak neměl sloužit ke sledování výkonnosti zaměstnanců či k jejich hodnocení. Samozřejmě je třeba mít na paměti, že kamerový systém nelze instalovat např. do šaten zaměstnanců či na místa sloužící k odpočinku apod.
Pokud zaměstnavatel shledá potřebnost instalace kamerového systému, musí brát v potaz pravidla Zákoníku práce – tj. zaměstnavatel nesmí bez závažného důvodu spočívajícím ve zvláštní povaze zaměstnavatele narušovat soukromí zaměstnanců na pracovištích. To znamená, že zaměstnavatelé musí při zřizování a provozování kamerového systému s pořizováním kamerového záznamu dodržet níže uvedená pravidla:
| Označení správce | Běžná identifikace zaměstnavatele. |
| Účel zpracování | Např. ochrana majetku zaměstnavatele, života a zdraví osob prostřednictvím stálého kamerového systému. |
| Popis kategorií subjektů údajů | Zaměstnanci a příležitostně vstupující osoby do monitorovaného prostoru (dodavatelé, návštěvy apod.). |
| Popis kategorií osobních údajů | Podoba a obrazové informace o chování a jednání zaznamenaných osob. |
| Příjemci osobních údajů a informace o případném předání osobních údajů do třetích zemí | V odůvodněných případech orgány činné v trestním řízení, případně jiné zainteresované subjekty pro naplnění účelu zpracování (např. pojišťovna). |
| Lhůta pro výmaz | Doba uchování záznamu je X dní. Záznam zachyceného incidentu je uchován po dobu nezbytnou pro projednání případu a pro právní ochranu. |
| Technická a organizační bezpečnostní opatření | Bezpečnostní kryt, řízený přístup k datům, školení oprávněných osob, vedení záznamů o předání nahrávek oprávněným orgánům a osobám. |
Co se týče doby uchovávání záznamů z kamerového systému, nařízení GDPR nestanovuje dobu, po kterou by bylo možné tyto záznamy uchovávat. Podle názoru Úřadu pro ochranu osobních údajů je vhodné stanovenou dobu náležitě odůvodnit a doba uchování kamerových záznamů by neměla přesáhnout 72 hodin.
Jedna z nejčastějších otázek, se kterou se ze stran zaměstnavatelů a personalistů setkáváme, se týká doby uchovávání různých pracovněprávních dokumentů. Na začátek je třeba poznamenat, že nařízení GDPR neupravuje dobu uchovávání jednotlivých dokumentů. Úpravu doby uchovávání pracovněprávních dokumentů je třeba hledat v jednotlivých právních předpisech.
Doba uchování jednotlivých dokumentů se samozřejmě liší. Níže uvádíme přehled nejčastějších pracovněprávních dokumentů a dobu jejich uchování s odkazem na příslušný právní předpis.
| Doba uchovávání dokumentů v pracovněprávní oblasti | |
| Dokument | Doba uchování a právní předpis |
| Mzdy: mzdové listy | Podle § 35a zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, se údaje potřebné pro účely důchodového pojištění archivují po dobu 30 kalendářních roků následujících po roce, kterého se týkají; jde-li o mzdové listy pro poživatele starobního důchodu, pak po dobu 10 kalendářních roků následujících po roce, kterého se týkají. S ohledem na posouvající se důchodový věk se doporučuje archivace po dobu 50 let. |
| Mzdy: výplatní pásky | Podle § 31 zákona č. 563/1991, o účetnictví, se účetní podklady archivují po dobu 5 let. |
| Docházka: evidenční přehledy z databáze | Může být relevantní podklad pro hájení práv zaměstnavatele v případě sporu se zaměstnancem. Uplatní se obecný princip, kdy není archivační doba stanovena, tj. tříletá promlčecí lhůta = 4 roky s ohledem na to, že žaloba může být doručena až po uplynutí promlčecí lhůty. |
| Docházka: e-neschopenky | Podle § 96 zákona č. 187/2006 Sb., o nemocenském pojištění, je zaměstnavatel povinen uschovávat záznamy o skutečnostech uvedených v § 95 zákona 10 let. Za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního vztahu, o pracovním volnu bez náhrady příjmu, evidenci docházky do práce atd. |
| Docházka: žádanky zaměstnanců o dovolenou | Může být relevantní podklad pro hájení práv zaměstnavatele v případě sporu se zaměstnancem, uplatní se tedy obecný princip, kdy není archivační doba stanovena, tj. tříletá promlčecí lhůta = 4 roky s ohledem na to, že žaloba může být doručena až po uplynutí promlčecí lhůty. |
| Docházka: docházková kniha | Podle § 96 zákona č. 187/2006 Sb., o nemocenském pojištění, je zaměstnavatel povinen uschovávat záznamy o skutečnostech uvedených v § 95 zákona 10 let. Za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního vztahu, o pracovním volnu bez náhrady příjmu, evidenci docházky do práce atd. |
| Evidenční listy důchodového pojištění | Podle § 35a zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, se údaje potřebné pro účely důchodového pojištění archivují po dobu 30 kalendářních roků následujících po roce, kterého se týkají. Jde-li o mzdové listy pro poživatele starobního důchodu, pak po dobu 10 kalendářních roků následujících po roce, kterého se týkají. S ohledem na posouvající se důchodový věk se doporučuje archivace po dobu 50 let. |
| Osobní spis: Dohoda o odpovědnosti za svěřené hodnoty, dohoda o odpovědnosti za ztrátu svěřených věcí, dohoda o srážkách ze mzdy (od ukončení dohody). | Může být relevantní podklad pro hájení práv zaměstnavatele v případě sporu se zaměstnancem, uplatní se tedy obecný princip, kdy není archivační doba stanovena, tj. tříletá promlčecí lhůta = 4 roky s ohledem na to, že žaloba může být doručena až po uplynutí promlčecí lhůty. |
| Osobní spis: Hodnocení zaměstnance | Může být relevantní podklad pro hájení práv zaměstnavatele v případě sporu se zaměstnancem, uplatní se tedy obecný princip, kdy není archivační doba stanovena, tj. tříletá promlčecí lhůta = 4 roky s ohledem na to, že žaloba může být doručena až po uplynutí promlčecí lhůty. |
| Osobní spis: potvrzení o zaměstnání | Může být relevantní podklad pro hájení práv zaměstnavatele v případě sporu se zaměstnancem, uplatní se tedy obecný princip, kdy není archivační doba stanovena, tj. tříletá promlčecí lhůta = 4 roky s ohledem na to, že žaloba může být doručena až po uplynutí promlčecí lhůty. |
| Osobní spis: skončení pracovního poměru (dohoda o rozvázání pracovního poměru, výpověď z pracovního poměru, okamžité zrušení pracovního poměru, zrušení pracovního poměru ve zkušební době) | Podle § 96 zákona č. 187/2006 Sb., o nemocenském pojištění, je zaměstnavatel povinen uschovávat záznamy o skutečnostech uvedených v § 95 zákona 10 let. Za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního vztahu, o pracovním volnu bez náhrady příjmu, evidenci docházky do práce atd. |
| Zdravotní pojištění: přihlášky a odhlášky zaměstnanců, přehledy o výši a hlášení | Podle § 96 zákona č. 187/2006 Sb., o nemocenském pojištění, je zaměstnavatel povinen uschovávat záznamy o skutečnostech uvedených v § 95 zákona 10 let. Za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního vztahu, o pracovním volnu bez náhrady příjmu, evidenci docházky do práce atd. |
| Sociální pojištění: přihlášky a odhlášky zaměstnanců, přehledy o výši a ostatní podklady | Podle § 35a zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, se údaje archivují po dobu 3 kalendářních roků následujících po měsíci, v němž bylo dlužné pojistné za tento měsíc zaplaceno. |
Po ukončení pracovního poměru se zaměstnancem je nutné se vypořádat s otázkou nakládání s jeho osobními údaji, zejména pak s dokumenty obsaženými v osobním spise zaměstnance. Zaměstnavatelé a personalisté často řeší otázky, jak dlouho a jaké osobní údaje zaměstnance po ukončení pracovního poměru mohou uchovávat či zdali mají jednotlivé dokumenty z osobního spisu bývalému zaměstnanci vrátit, jelikož skončil primární důvod zpracování osobních údajů zaměstnance, tj. zpracování osobních údajů za účelem plnění pracovní smlouvy. V této části se opět zaměříme na nejčastější situace, které z pohledu ochrany osobních údajů mohou po ukončení pracovního poměru nastat.
Z povahy osobního spisu je jasné, že osobní spis zaměstnance obsahuje různé druhy pracovněprávních dokumentů a některé z nich má zaměstnavatel dle právních předpisů povinnost uchovávat i po skončení pracovního poměru. Jedná se např. o:
Co se týče doby uchování dokumentů relevantních pro ochranu práv zaměstnavatele kvůli případným sporům se zaměstnancem, je třeba vycházet z obecné promlčecí lhůty stanovené Občanským zákoníkem. Obecná promlčecí lhůta je tříletá, avšak doporučujeme dané dokumenty z procesní opatrnosti uchovávat po dobu až 4 let. A to z důvodu, že žaloba může být zaměstnavateli doručena i několik měsíců po uplynutí promlčecí doby.
Obdobně je tomu také v případě uchovávání relevantních dokumentů kvůli případným kontrolám ze strany Státního úřadu inspekce práce. V tomto případě je nutné vycházet z obecné promlčecí doby stanovené zákonem č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich. I zde je promlčecí lhůta tříletá, taktéž však doporučujeme dané dokumenty z opatrnosti uchovávat po dobu 4 let.
K uchovávání pracovněprávních dokumentů blíže také v předchozí kapitole v bodě „Doba uchovávání pracovněprávních dokumentů“.
Zaměstnavatelé se někdy setkávají s požadavky bývalých zaměstnanců na vydání dokumentů z osobního spisu. Nařízení GDPR ani Zákoník práce ale tuto povinnost zaměstnavateli neukládají. Zaměstnavatel má pouze povinnost vydat zaměstnanci pracovní posudek, pokud o to zaměstnanec požádá. Pracovním posudkem se rozumí veškeré písemnosti týkající se hodnocení práce zaměstnance, jeho kvalifikace, schopností a dalších skutečností, které mají vztah k výkonu práce.
Mnohdy bývalí zaměstnanci uplatňují právo na přístup k osobním údajů dle nařízení GDPR. Právo na přístup k osobním údajů je třeba odlišovat od vydání dokumentů z osobního spisu bývalého zaměstnance. Dle nařízení GDPR má subjektu údajů právo na přístup k jeho osobním údajům. Toto právo subjektu údajů však spočívá v tom, že subjekt údajů dostane soupis jeho údajů, které jsou zpracovávány. V případě pracovněprávních vztahů by tak zaměstnavatel vydal zaměstnanci soupis jeho osobních údajů, a nikoliv jednotlivé dokumenty.
Po ukončení pracovního poměru se zaměstnancem je třeba se také vypořádat s jeho e-mailovou schránkou. E-mailové adresy zpravidla obsahují jméno a příjmení zaměstnance ve formátu jmeno.prijmeni@firma.cz. V takovém případě se nejedná o majetek zaměstnavatele, nýbrž o osobní údaje zaměstnance a je třeba k e‑mailové schránce takto přistupovat.
Pokud chce zaměstnavatel vstoupit do e-mailové schránky bývalého zaměstnance, musí zvážit, zdali jeho oprávněný zájem převažuje nad právem na ochranu soukromí bývalého zaměstnance a není možné zvolit jiné méně invazivní prostředky. Upozorňujeme, že i v případě, kdy zaměstnavatel shledá svůj oprávněný zájem na seznámení se s korespondencí bývalého zaměstnance, není možné pročítat jednotlivé e-maily. Je vhodné nejdříve zkontrolovat předměty e-mailů. Až v případě, kdy zaměstnavatel najde konkrétní e-mail, s nímž se potřebuje seznámit a u kterého je patrné, že se jedná o pracovní e-mail, je možné přistoupit k otevření takového e-mailu.
Pokud to zaměstnavatel považuje za vhodné, má také možnost na e-mailové adrese bývalého zaměstnance nastavit automatickou odpověď, aby se obchodní partneři obraceli na jiného zaměstnance, avšak pouze po určitou dobu. Tato doba se může pohybovat v řádech několika týdnů až měsíců dle konkrétních okolností. Po uběhnutí stanovené doby je nutné e-mailové adresu úplně deaktivovat. Rozhodně není možné, aby danou e-mailovou adresu přebral jiný zaměstnanec a komunikoval s obchodními partnery jménem bývalého zaměstnance.
Porádíme vám nejen s GDPR. Online právní konzultaci si můžete objednat přes náš e-shop
Hlavní principy regulace | Oznamování a odvetná opatření | Povinné subjekty a jejich povinnosti | Přestupky a pokuty | Praktické příklady
Obchodní právo | Korporátní právo | Pracovněprávní poradenství | Compliance programy | Whistleblowing | GDPR | Právo nemovitostí | Veřejné zakázky | Dědictví a nástupnictví | Právo duševního vlastnictví | Zaměstnávání cizinců a imigrační služby | Sporná agenda | Založení společnosti | Likvidace společnosti | Změny v obchodních společnostech | Virtuální sídlo a správa datové schránky | Korporátní dokumenty | Prodej ready-made společností | Registrace skutečných majitelů | Online poradenský portál
Naše služby si můžete pohodlně objednat také prostřednictvím e-shopu:
O Accace Česká republika
Accace je spolehlivým partnerem společností, které hledají špičkové poradenské a outsourcingové služby. Na náročné potřeby klientů odpovídáme chytrými řešeními, moderními technologiemi, lidským přístupem a mezinárodním přesahem. V České republice je nás již téměř 270 a pracujeme pro více než 600 firem, od startupů přes malé a střední podniky až k nadnárodním korporacím. V rámci skupiny Accace máme již přes 800 odborníků, kteří poskytují komplexní služby přibližně 2 000 zákazníků.
O Accace Circle
Celosvětově působí Accace pod značkou Accace Circle, což je obchodní uskupení profesionálních poradců a poskytovatelů BPO služeb. Spojuje nás zápal pro věc a důraz na špičkovou kvalitu poskytovaných služeb bez ohledu na státní hranice. Globální zastoupení máme ve více než 60 zemích a sdružujeme téměř 7 000 profesionálů. Naše klientela čítá více než 80 000 zákazníků z různých oborů, převážně středně velkých firem a mezinárodních společností z žebříčku Fortune 500. Měsíčně zpracováváme zhruba 800 000 výplatních pásek.
Přihlaste se a získejte zdarma přístup k důležitým novinkám a odborným informacím. Z odběru se můžete kdykoliv odhlásit. Přečtěte si, jak nakládáme s vašimi osobními údaji: Ochrana osobních údajů | Prohlášení ke GDPR.
Již jste přihlášeni? Potvrďte vaši e-mailovou adresu níže a PDF zamíří přímo do vaší e-mailové schránky.
