Whistleblowing: přehledně o ochraně oznamovatelů

Hlavní principy regulace | Oznamování a odvetná opatření | Povinné subjekty a jejich povinnosti | Přestupky a pokuty | Praktické příklady

GDPR v pracovněprávních vztazích I e-book

13. října 2022

Nařízení GDPR přineslo od své účinnosti celou řadu změn a povinností týkajících se ochrany osobních údajů zaměstnanců a obchodních partnerů. V naší praxi se setkáváme s tím, že zaměstnavatelé a personalisté si mnohdy nejsou jistí, jak s osobními údaji zaměstnanců nakládat, jak dlouho mohou jednotlivé osobní údaje uchovávat či jak postupovat při skončení pracovního poměru se zaměstnancem.

V tomto e-booku naleznete praktická doporučení, jak správně řešit nejčastější situace při zpracování osobních údajů zaměstnanců. Pro přehlednost je tato příručka rozdělena do tří částí. V první kapitole se věnujeme nakládání s osobními údaji před uzavřením pracovního poměru, druhá část se zaměřuje na zpracování osobních údajů během trvání pracovního poměru a třetí část pojednává o nakládání s osobními údaji po ukončení pracovního poměru. Na konci každé kapitoly naleznete také užitečný checklist.

V případě jakýchkoliv dotazů týkající se nastavení ochrany osobních údajů nás neváhejte kontaktovat. Rádi vám poradíme se správným postupem.

Přehled nejčastějších pojmů

Pro snazší orientaci v tomto e-booku uvádíme nejprve přehled právních předpisů a nejvíce používaných pojmů a základních zásad, které se se zpracováním osobních údajů pojí:

Nařízení GDPR

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Zákoník práce

Zákon č. 262/2004 Sb., zákoník práce.

Občanský zákoník

Zákon č. 89/2012, občanský zákoník.

Osobní údaj

Osobním údajem se rozumí jakýkoliv údaj, na jehož základě je možné identifikovat konkrétní fyzickou osobu. Nejde tak pouze o jméno nebo rodné číslo, ale třeba i e-mailovou adresu, přihlašovací jméno nebo číslo občanského průkazu.

Subjekt údajů

Subjektem údajů je fyzická osoba, jíž se osobní údaje týkají. V pracovněprávní oblasti bude subjektem údajů zpravidla zaměstnanec, ale mohou to být také rodinní příslušníci zaměstnance či osoby nacházejících se v prostorech zaměstnavatele, kteří budou snímáni prostřednictvím kamer. Subjektem údajů není právnická osoba.

Správce

Správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. V pracovněprávních vztazích bude správcem osobních údajů zpravidla zaměstnavatel.

Zpracovatel

Zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. V pracovněprávních vztazích bude zpracovatelem nejčastěji zaměstnavatel.

Zpracování

Zpracováním osobních údajů se rozumí jakákoliv operace s osobními údaji. Zpracováním osobních údajů je tak např. shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení osobních údajů.

Zásada zákonnosti

Tato zásada bývá označována také jako zásada korektnosti a transparentnosti. Spočívá v tom, že správce osobních údajů musí mít pro zpracování osobních údajů nejméně jeden právní důvod a veškeré zpracování osobních údajů musí být prováděno transparentním způsobem.

Zásada minimalizace osobních údajů

Minimalizace osobních údajů znamená, že správce zpracovává pouze takové osobní údaje, které jsou adekvátní a potřebné k účelu, pro který je správce shromažďuje. Zaměstnavatel by tak měl od svých zaměstnanců získávat pouze ty osobní údaje, které jsou skutečně nezbytné pro plnění smlouvy.

Zásada přesnosti

Dle této zásady by měl správce zpracovávat pouze přesné osobní údaje.

Zásada omezení účelu

Omezení účelu znamená, že osobní údaje je možné shromažďovat a zpracovávat pouze pro určité a legitimní účely. V případě pracovněprávních vztahů bude zpracování osobních údajů nejčastěji probíhat za účelem plnění pracovní smlouvy a k tomuto účelu je tak nutné osobní údaje využívat.

Zásada omezení uložení

Dle této zásady by osobní údaje měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu a pouze pro ty účely, pro které jsou zpracovávány.

Zásada integrity a důvěrnosti

Tato zásada spočívá v přijetí technických a organizačních opatření k zabezpečení osobních údajů.

Výše uvedené zásady je třeba zohlednit při úvahách jaké osobní údaje chci nebo potřebuji zpracovávat a následně je promítnout i do veškerých dokumentů, které budou zacházení s osobními údaji zpracovávat.

Nakládání s osobními údaji před vznikem pracovněprávního vztahu

Osobní údaje uchazečů o zaměstnání

Před začátkem každého pracovněprávního vztahu je nutné provést výběrové řízení a vybrat toho správného uchazeče. V naší praxi se setkáváme s tím, že personalisté si často nejsou jistí, jaké osobní údaje mohou od uchazečů o zaměstnání při výběrovém řízení vyžadovat, jestli se zpracováním osobních údajů potřebují souhlas nebo zdali mohou získávat informace o uchazečích také např. ze sociálních sítí.

A) Jaké osobní údaje je možné od uchazečů o zaměstnání vyžadovat?

Nařízení GDPR ani zákoník práce či zákon o zaměstnanosti nedefinují okruh osobních údajů, které by bylo možné od uchazečů o zaměstnání požadovat. Obecně lze říci, že je možné požadovat takové osobní údaje, které jsou relevantní pro rozhodnutí zaměstnavatele o tom, zda daného uchazeče přijme či nikoliv.

Zpravidla se tak bude jednat o identifikační údaje, kontaktní údaje uchazeče, údaje o vzdělání, osvědčení o splnění požadované kvalifikace, informace o předcházejícím zaměstnání apod.

Naopak zákoník práce v § 316 odst. 4 uvádí výčet osobních údajů, které zaměstnavatel nesmí vyžadovat, jedná se o:

a) těhotenství,

b) rodinné a majetkové poměry,

c) sexuální orientace,

d) původ,

e) členství v odborové organizaci,

f) členství v politických stranách nebo hnutích,

g) příslušnosti k církvi nebo náboženské společnosti,

h) trestněprávní bezúhonnost.

Výše uvedené neplatí, s výjimkou osobních údajů uvedených pod písmeny c), d), e), f) a g), pokud je dán věcný důvod spočívající v povaze práce, která má být vykonávána:

některé práce jsou zakázány těhotným ženám a za tímto účelem je nutné vědět, zda je zaměstnankyně těhotná či nikoliv.
vyžadování informace o trestněprávní bezúhonnosti je možné, pokud je tato informace skutečně nezbytná k výkonu sjednané práce (např. u pracovníků manipulujících s penězi).

B) Jak správně uchazeče o zaměstnání informovat o zpracování jejich osobních údajů?

V souladu s nařízením GDPR je nutné uchazeče o zaměstnání jakožto subjekty údajů informovat o zpracování jejich osobních údajů.

Zaměstnavatel musí uchazečům o zaměstnání nejpozději v okamžiku získání osobních údajů poskytnout informace o okolnostech zpracování osobních údajů, tj. zejména:

identifikační údaje společnosti a kontaktní údaje,
účel zpracování osobních údajů,
dobu, po kterou budou osobní údaje uchazeče zpracovávány,
informace o předání osobních údajů do zahraničí;
informace o právech, které uchazeči mají.

Z praxe doporučujeme k inzerátu uvést např. proklikávací odkaz na zásady zpracování osobních údajů. Uchazeči o zaměstnání se s nimi budou moci snadno seznámit a získat tak informace, jak bude s jedno osobními údaji nakládáno.

C) Souhlas uchazečů o zaměstnání se zpracováním jejich osobních údajů

Získávání souhlasu se zpracováním osobních údajů uchazeče o zaměstnání není nutné. Osobní údaje uchazeče o zaměstnávání jsou zpracovávány za účelem uzavření pracovní smlouvy či dohody o provedení práce nebo dohody o pracovní činnosti.

D) Uchování životopisů neúspěšných uchazečů

Uchování životopisů neúspěšných uchazečů je možné, např. pro případné budoucí oslovení s jinou pracovní nabídkou, pokud k tomu uchazeč dá souhlas. Nařízení GDPR nestanovuje požadavek, aby získaný souhlas byl v písemné podobě. Nicméně kvůli případné kontrole ze strany Úřadu pro ochranu osobních údajů rozhodně doporučujeme od uchazeče souhlas v písemné podobě získat.

Po skončení výběrového řízení již není možné bez souhlasu životopisy neúspěšných uchazečů uchovávat. Jedinou výjimkou je doba nezbytná pro případnou ochranu zájmů zaměstnavatele – např. pro účely obrany proti případnému nařčení zaměstnavatele z diskriminace. Ani tak by doba uchování neměla být delší než několik měsíců.

Pokud uchazeči o zaměstnání odesílají své životopisy prostřednictvím formuláře na webových stránkách, doporučujeme do takového formuláře doplnit také zaškrtávací tlačítko, ve kterém může uchazeč udělit souhlas s uchováním svého životopisu i pro případné budoucí oslovení.

E) Je možné získávat informace o uchazečích o zaměstnání ze sociálních sítí?

Zde je nutné upozornit na rozdíl, jakým způsobem budou informace ze sociálních sítí využívány. Pokud osobní údaje ze sociálních sítí nebudou nikam zaznamenávány, tj. osobní údaje nebudou vůbec zpracovávány, nebude se jednat o postup, na který by se vztahovalo nařízení GDPR. Tak tomu bude např. v situacích, kdy personalista pouze zkontroluje na sociální síti LinkedIn, že tvrzené údaje v životopise odpovídají i profilu uchazeče na této sociální síti.

Upozorňujeme, že byť by personalista osobní údaje uchazeče ze sociálních sítí nikam nezaznamenával, ale bral by takto získané údaje v úvahu při svém rozhodování, není vyloučen rozpor s § 316 odst. 4 zákoníku práce (viz A). V určitých případech by se totiž mohlo jednat o získávání osobních údajů, které nesouvisejí s výkonem práce. Vždy je potřeba mít na paměti, zdali dané osobní údaje souvisejí s výkonem práce či nikoliv.

Pokud by personalista osobní údaje daného uchazeče ze sociálních sítích zaznamenával, jednalo by se o zpracování osobních údajů, které by pak muselo splňovat veškeré náležitosti stanovené nařízením GDPR. Zaměstnavatel by tak např. musel mít právní důvod pro takové zpracování a musel by poučit uchazeče o zaměstnání o probíhajícím zpracování osobní údajů.

I zde doporučujeme k osobním údajům uchazečů o zaměstnání přistupovat minimalisticky a využívat pouze sociální sítě, ze kterých je možné získat informace relevantní pro uzavření pracovního poměru – tedy například LinkedIn a nikoliv Instagram.

Potřebujete právní konzultaci? Jednoduše ji objednáte přes náš e-shop

Nakládání s osobními údaji během trvání pracovního poměru

Pokud dojde k uzavření pracovního poměru (případně dohody o provedení práce či dohody o pracovní činnosti), zaměstnavatel přichází do styku s velkým množstvím osobních údajů zaměstnance. Při trvání pracovního poměru tak vyvstane řada otázek souvisejících s jejich zpracováváním. V této části se pokusíme zaměřit na ty nejběžnější situace týkající se nakládání s osobními údaji zaměstnanců, se kterými se zaměstnavatelé a personalisté setkávají.

Práva zaměstnanců z pohledu GDPR

Vedle výše zmíněných základních zásad zpracování osobních údajů je pro zaměstnavatele nezbytné dodržovat práva zaměstnanců jakožto subjektů údajů, které jim nařízení GDPR poskytuje. Jedná se o tato práva:

Právo na přístup k osobním údajům

Zaměstnanec má právo získat potvrzení od zaměstnavatele, zda jsou jeho osobní údaje zpracovávány či nikoliv.
Zaměstnanec má právo být informován o účelech zpracování, kategoriích údajů, příjemcích, době uložení, právu podat stížnost o Úřadu pro ochranu osobních údajů a o skutečnosti, zda dochází k automatizovanému rozhodování včetně profilování.
Zaměstnanec může požadovat kopii zpracovávaných osobních údajů.

Právo na opravu

Zaměstnanec má právo, aby zaměstnavatel bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají.
Zaměstnanec má rovněž právo i na doplnění neúplných osobních údajů.

Právo na výmaz

Zaměstnanec má právo, aby zaměstnavatel bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, a to za splnění níže uvedených předpokladů.
Zaměstnavatel má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z níže uvedených důvodů:
- osobní údaje již nejsou potřeba k účelu, pro který byly shromážděny nebo jinak zpracovány;
- zaměstnanec odvolá souhlas, na jehož základě byly osobní údaje zpracovávány, a neexistuje žádný další právo důvod pro zpracování;
- zaměstnanec vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování;
- osobní údaje byly zpracovávány protiprávně;
- výmaz ukládá právní předpis.

Právo na omezení zpracování

Zaměstnanec má právo na to, aby zaměstnavatel omezil zpracování v kterémkoli z těchto případů:
- zaměstnanec popírá přesnost osobních údajů,
- zpracování je protiprávní, ale zaměstnanec žádá omezení použití takových údajů a nežádá výmaz;
- zaměstnavatel již osobní údaje nepotřebuje pro účely zpracování, ale zaměstnanec je požaduje pro uplatnění svých nároků;
- zaměstnanec vznesl námitku proti zpracování.
Omezení zpracování osobních údajů v praxi vypadá například tak, že osobní údaje, jejichž zpracování má být omezeno, se označí (aby bylo zřejmé u jakých konkrétních osobních údajů má být zpracování omezeno), přesunou do jiného systému zpracování, znepřístupní se nebo se dočasně odstraní z webových stránek.

Právo na přenositelnost údajů

Právo na přenositelnost osobních údajů je právem subjektů údajů dle nařízení GDPR. Předpokladem pro uplatnění tohoto práva je, aby zpracování osobních údajů probíhalo na základě uzavřené smlouvy se subjektem údajů nebo na základě uděleného souhlasu a aby zpracování osobních údajů bylo automatizované.
Zpracování osobních údajů zaměstnanců z povahy pracovněprávního vztahu nebývá automatizované, proto uplatnění tohoto práva v pracovněprávních vztazích není příliš časté.

Právo vznést námitku

V pracovněprávní oblasti nalezneme využití tohoto práva především v situacích, kdy jsou osobní údaje zpracovávány na základě oprávněných zájmů zaměstnavatele.
Pokud by zaměstnanec vznesl námitku proti zpracování jeho osobních údajů na základě oprávněného zájmu zaměstnavatele (např. předávání osobních údajů mateřské společnosti), musí zaměstnavatel prokázat, že má skutečně opodstatněný důvod pro takové zpracování. Tj. takový důvod, který bude převažovat nad právy a svobodami daného zaměstnance.

Doklady totožnosti zaměstnanců, kartička zdravotní pojišťovny

Často se setkáváme s tím, že zaměstnavatelé si chtějí kopírovat doklady totožnosti či kartičky zdravotní pojišťovny svých zaměstnanců. Pro takové kopírování dokladů totožnosti zaměstnanců však zaměstnavatelé nemají oporu v právních předpisech.

Obecně doporučujeme se v případě zpracování osobních údajů zaměstnanců vždy řídit zásadou minimalizace osobních údajů, tzn. zpracovávat pouze skutečně nezbytné osobní údaje zaměstnanců.

Doporučujeme tedy po předložení požadovaných dokumentů si potřebné údaje poznamenat nebo z dokumentů zkontrolovat pravdivost tvrzených údajů, ale kopie nepořizovat.

Rodné listy dětí zaměstnanců a další doklady o vyživovaných osobách

V souvislosti s výše uvedenými doklady totožnosti se v praxi často vyskytuje i kopírování rodných listů dětí zaměstnanců. Personalisté či mzdové účetní si kopírují rodné listy dětí zaměstnanců z důvodu prokázání uplatňovaného daňového zvýhodnění.

Právní předpisy však nestanovují povinnost kopírovat rodné listy a prokazovat tím nárok na uplatňované daňové zvýhodnění. Zaměstnanec musí svému zaměstnavateli prokázat důvod uplatňování daňového zvýhodnění, avšak z hlediska GDPR je vhodné si rozhodné údaje pouze zaznamenat a nekopírovat celý rodný list dítěte. Obdobně jako tomu je v případě dokladů totožnosti či kartičky zdravotní pojišťovny (viz výše).

Otázku kopírování rodných listů dětí zaměstnanců řeší zaměstnavatelé také v případě exekuce zaměstnance. Ani v tomto případě nevyplývá z žádného právního předpisu povinnost pro zaměstnavatele, která by jim ukládala povinnost kopírovat rodné listy k provádění srážek ze mzdy. Proto i v případě provádění srážek ze mzdy, obdobně jako u uplatňování daňového zvýhodnění, doporučujeme rozhodné skutečnosti z rodných listů zaznamenat a rodné listy dětí nekopírovat ani na kopiích nezačerňovat některé údaje.

Poskytování benefitů zaměstnancům

Poskytování nejrůznějších benefitů se stalo běžnou praxí v pracovněprávních vztazích. Zaměstnavatelé a personalisté tak často řeší otázku, jestli potřebují od zaměstnance souhlas s předáním osobních údajů poskytovateli benefitu.

Osobní údaje zaměstnanců předávají zaměstnavatelé poskytovateli benefitů na základě plnění smlouvy se zaměstnancem či plnění právních povinností zaměstnavatelů a souhlas zaměstnance tak není nutné získávat.

Pokud by byl souhlas od zaměstnance získáván, jednalo by se tak o nadbytečný souhlas, za který hrozí zaměstnavateli pokuta.

Poskytování služebního vozidla zaměstnancům i pro soukromé účely

Jedním z benefitů poskytovaným zaměstnancům může být i umožnění využívání služebního vozidla pro soukromé účely. V takovém případě zaměstnavatel mnohdy monitoruje služební vozidla pomocí GPS.
Pokud zaměstnavatel takový benefit zaměstnanci poskytuje, bude nutné uzavřít dohodu o užívání vozidla. Zaměstnavatel má při poskytování tohoto benefitu oprávněný zájem chránit svůj majetek prostřednictvím GPS zabezpečovacího zařízení. V rámci dohody o využívání vozidla by měl být zaměstnanec poučen o zpracování osobních údajů v souvislosti s využíváním daného vozidla.
Dle názoru Úřadu pro ochranu osobních údajů zaměstnavatelův oprávněný zájem na ochraně majetku trvá i tehdy, pokud zaměstnanec využívá vozidlo také pro soukromé cesty. Monitoring pomocí GPS je tedy možný v případě soukromých cest zaměstnanců.
Zaměstnavatel je však povinen využívat GPS skutečně pouze k účelu ochrany svého majetku či vedení knihy jízd apod. Zaměstnavatel tímto rozhodně nemůže podrobit zaměstnanec neustále kontrole, která by byla v rozporu se zákonem.
Obecně doporučujeme informace o zpracování osobních údajů v souvislosti s využíváním služebního vozidla pro soukromé účely zakotvit i do vnitřních předpisů upravujících zpracování osobních údajů zaměstnanců.

Předávání osobních údajů do zahraničí

Vzhledem k rostoucí globální propojenosti je předávání osobních údajů do zahraničí čím dál častějším jevem. Mnohdy tak mateřská společnost požaduje přístup do personálních systémů všech svých dceřiných společností. V této souvislosti je nutné upozornit na skutečnost, že i pouhé zpřístupnění informačního systému dceřiné společnosti je považováno za předání osobních údajů a je proto nutné splnit požadavky stanovené nařízením GDPR.

V praxi dochází k předávání osobních údajů v rámci skupiny podniků. Nařízení GDPR stanoví, že správci osobních údajů, kteří jsou součástí skupiny podniků, mohou mít oprávněný zájem na předání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely, včetně zpracování osobních údajů zákazníků a zaměstnanců. Obecné zásady pro předávání osobních údajů v rámci skupiny podniků do podniku nacházejícího se ve třetí zemi zůstávají nedotčeny. Pokud chce tedy společnost v rámci skupiny podniků předávat osobní údaje do třetí země, musí zajistit, že osobním údajům bude poskytnuta dostatečná úroveň ochrany.

Předávání osobních údajů v rámci EU

Předávání osobních údajů zaměstnanců v rámci Evropské unie je značně jednodušší než do třetích zemí. Země EU se v důsledku přijetí nařízení GDPR považují za bezpečné a není důvod pro předávání osobních údajů přijímat další bezpečnostní požadavky.

Předávání osobních údajů do třetích zemí

Předávání osobních údajů zaměstnanců do třetích zemí je specifické v tom, že je potřeba zajistit, aby předávaným osobním údajům byla poskytnuta dostatečná úroveň ochrany.

Dle nařízení GDPR je tak předávání osobních údajů do třetích zemí možné za splnění níže uvedených podmínek:

a) Rozhodnutí o odpovídající ochraně

Evropská komise může o třetí zemi rozhodnout, že poskytuje dostatečnou úroveň ochrany pro osobní údaje. Pokud takové rozhodnutí o třetí zemi existuje, není třeba řešit přijetí dalších bezpečnostních požadavků.

Takovou zemí je tak např. Kanada, Nový Zéland, Izrael, Japonsko. Seznam platných rozhodnutí Komise o odpovídající úrovni ochrany osobních údajů lze najít ZDE.

b) Předávání založené na vhodných zárukách

Pokud neexistuje o dané zemi rozhodnutí o odpovídající ochraně, je nutné přijmout další opatření, které zajistí, že předávaným osobním údajům bude poskytnuta dostatečná úroveň ochrany. Takovými opatřeními jsou např. standardní smluvní doložky či závazná vnitropodniková pravidla.

Standardní smluvní doložky

Standardní smluvní doložky jsou vzorovým textem smlouvy vydaným Komisí.
Obsahují moduly pro jednotlivé druhy předávání osobních údajů – od správce dalšímu správci, od správce zpracovateli či od zpracovatele dalšímu zpracovateli.
Mohou být uzavřeny samostatně, ale mohou být i součástí další smlouvy.
I v případě předávání osobních údajů např. mateřské společnosti do třetí země, je nutné uzavřít standardní smluvní doložky.
Vzor standardních smluvních doložek je dostupný ZDE.

Závazná vnitropodniková pravidla (Binding Corporate Rules)

Závazná vnitropodniková pravidla jsou využívána zejména v případě skupiny podniků vykonávající společnou hospodářskou činnost. Tato pravidla si lze představit jako schválený souhrn zásad zpracování osobních údajů v rámci jedné skupiny, které jsou však právně závazné pro všechny členy skupiny či uskupení, a to včetně jejich zaměstnanců.
Tato pravidla však musí být schválena v rámci specifické schvalovací procedury, kterou vede skupinou zvolený vedoucí dozorový úřad pro závazná vnitropodniková pravidla. Dělí se na:

Závazná podniková pravidla pro správce (BCR-C)

Jsou určena pro nadnárodní správce, kteří při své činnosti shromažďují, předávají a zpracovávají osobní údaje pro vlastní účely v rámci celé skupiny nadnárodní korporace.

Závazná podniková pravidla pro zpracovatele (BCR-P)

Jsou určena pro velké nadnárodní zpracovatele osobních údajů, typicky poskytovatele cloudových služeb, kteří provádějí zpracování osobních údajů pro velká množství správců osobních údajů.

Příklad: Typickou situací, kdy bude nezbytné uzavřít standardní smluvní doložky, bude situace, kdy česká společnost bude předávat osobní údaje zaměstnanců mateřské společnosti do Turecka. Jelikož neexistuje rozhodnutí Komise o odpovídající ochraně osobních údajů v Turecku, bude nutné s mateřskou společností z Turecka uzavřít standardní smluvní doložky.

Fotografování zaměstnanců a zveřejňování fotografií

Fotografování zaměstnanců či zveřejňování fotografií zaměstnanců z různých firemních akcí bývá pro zaměstnavatele mnohdy komplikovanou otázkou. Téměř každý zaměstnavatel využívá sociální sítě, díky kterým se snaží oslovit nové zákazníky a celkově zlepšit svoji propagaci. S tím samozřejmě souvisí i otázka zveřejňování fotografií zaměstnanců na sociálních sítích. V této části se budeme zabývat fotografováním zaměstnanců obecně pro interní účely zaměstnavatele a následně pořizováním a zveřejňováním fotografií např. na sociálních sítích či webových stránkách zaměstnavatele.

Nejprve je však důležité odlišit, kdy se v případě fotografií bude jednat o zpracování osobních údajů dle nařízení GDPR a kdy nikoliv, neboť ne každé pořízení a následné zveřejnění fotografie je zpracováním osobních údajů ve smyslu nařízení GDPR. Základní úpravu pro zacházení s fotografiemi osob obecně nalezneme v Občanském zákoníku. Podle § 84 a násl. Občanského zákoníku je možné zachytit podobu člověka tak, aby podle zobrazení bylo možné určit jeho totožnost, pouze s jeho svolením. Výjimku z tohoto pravidla představuje např. reportážní fotografie. Pokud tak zaměstnavatel fotografie z teambuildingu či firemního večírku pořizuje fotografie za účelem prezentace společnosti a nikoli jednotlivých zaměstnanců, budou tyto fotografie spadat do režimu dle pravidel obsažených v Občanském zákoníku. Obecně však doporučujeme k fotografiím zaměstnanců přistupovat rozumně a dobře zvážit, jaké fotografie se zveřejní na sociálních sítích.

Zveřejňování fotografií na webových stránkách a sociálních sítích

Fotografie zaměstnanců z teambuildingů, firemních večírků a dalších akcí jsou pořizovány bez vazby na konkrétního člověka a slouží ke zcela jinému účelu, než fotografování zaměstnanců pro interní účely (např. identifikační). Z tohoto důvodu takové reportážní fotografie z nejrůznějších firemních akcí podléhají režimu Občanského zákoníku, a nikoliv nařízení GDPR.
Při pořizování reportážních fotografií z firemních akcí by samozřejmě měla být ctěna důstojnost. Zaměstnanci by měli být před akcí upozorněni, že z akce budou pořizovány fotografie, které pak mohou být zveřejněny na webových stránkách či sociálních sítích zaměstnavatele.
Doporučujeme zveřejnění jednotlivých fotografií individuálně zvážit a ke zveřejňování fotografií obecně přistupovat střídmě.

Fotografování zaměstnanců pro interní účely

Fotografování zaměstnanců pro interní účely, např. za účelem identifikace jednotlivých zaměstnanců, už nepodléhá režimu Občanského zákoníku, ale nařízení GDPR. A to z důvodu, že tyto fotografie jsou pořizovány za účelem jednoznačné identifikace konkrétního zaměstnance.
Portrétní fotografie zaměstnanců bývají zveřejňovány v interním systému zaměstnavatele, na kartě do práce nebo na webových stránkách. Zaměstnavatel bude takto fotografie zveřejňovat nejčastěji na základě svého oprávněného zájmu. Oprávněný zájem musí být zaměstnavatel schopen doložit a prokázat, např. provedením balančního testu, ve kterém porovná práva zaměstnanců a svůj oprávněný zájem na zveřejnění fotografií.

Kamerový systém a kamerové záznamy

Zřízení kamerového systému a pořizování kamerových záznamů bývá pro mnoho zaměstnavatelů poměrně složitou otázkou. Zaměstnavatelé musí při pořizování kamerových záznamů dodržovat podmínky ochrany soukromí zaměstnanců a zároveň musí nastavit dostatečnou ochranu svých práv a oprávněných zájmů.

Obdobně jako u pořizování fotografií, tak i u kamerového systému je třeba rozlišovat situace, kdy budou použita pravidla Občanského zákoníku a kdy se budou uplatňovat pravidla dle nařízení GDPR. Vedle těchto předpisů musí zaměstnavatelé dodržovat také pravidla obsažená v Zákoníku práce, konkrétně § 316 zákoníku práce upravující ochranu majetkových zájmů zaměstnavatele a ochranu osobnostních práv zaměstnance. Pravidla týkající se ochrany osobních údajů se tak budou uplatňovat v případech, kdy bude při provozování kamerového systému pořizován záznam.

Jak bylo zmíněno výše, zaměstnavatelé instalují kamerové systémy na pracovišti za účelem ochrany svých práv a oprávněných zájmů. Zaměstnavatel tak nejprve musí vyřešit otázku, zda je skutečně kamerový systém potřeba a nelze ochrany jeho práv a zájmů docílit jinými prostředky. Obecně doporučujeme vždy zvážit, nelze-li uplatit jiné méně invazivní řešení než zavedení kamerového systému. Úřad pro ochranu osobních údajů obecně nepodporuje sledování zaměstnanců na pracovišti, pokud by se dalo uplatit jiné méně invazivní řešení. Monitoring zaměstnanců by tak neměl sloužit ke sledování výkonnosti zaměstnanců či k jejich hodnocení. Samozřejmě je třeba mít na paměti, že kamerový systém nelze instalovat např. do šaten zaměstnanců či na místa sloužící k odpočinku apod.

Pokud zaměstnavatel shledá potřebnost instalace kamerového systému, musí brát v potaz pravidla Zákoníku práce – tj. zaměstnavatel nesmí bez závažného důvodu spočívajícím ve zvláštní povaze zaměstnavatele narušovat soukromí zaměstnanců na pracovištích. To znamená, že zaměstnavatelé musí při zřizování a provozování kamerového systému s pořizováním kamerového záznamu dodržet níže uvedená pravidla:

a) Zaměstnavatel musí mít právní důvod

Zaměstnavatel musí mít pro provozování kamerového systému právní důvod, tj. oprávněný zájem na ochranu majetku nebo plnění právní povinnosti.
V pracovněprávní sféře se instalace kamerového systému za účelem plnění zákonné povinnosti téměř nevyskytuje. Nejčastějším případem je tak oprávněný zájem zaměstnavatele, který spočívá v ochraně majetku či života a zdraví zaměstnanců. Monitoring by proto měl být především směřován na majetek zaměstnavatele, nikoliv na osobu zaměstnance.
Při provozování kamerového systému na základě oprávněného zájmu zaměstnavatele je třeba dodržovat pravidla nařízení GDPR, tj. je potřeba oprávněný zájem zaměstnavatele doložit a prokázat, např. provedením balančního testu, ve kterém zaměstnavatel porovná práva zaměstnanců se svým oprávněným zájmem.
I v případě, že po provedení balančního testu zaměstnavatel shledá svůj oprávněný zájem na instalaci kamerového systému na pracovišti, musí dodržovat pravidla obsažená v Zákoníku práce.

b) Zaměstnavatel musí zajistit dostatečné zabezpečení

Zaměstnavatel musí zajistit dostatečné zabezpečení jak celého kamerového systému, tak především uchovávaných záznamů.
Rovněž musí zajistit, že k uchovávaným záznamům budou mít přístup pouze oprávněné osoby.
Doporučujeme oprávněné osoby určit např. v interní směrnici týkající se ochrany osobních údajů na pracovišti.

c) Zaměstnavatel musí informovat zaměstnance o kamerovém systému na pracovišti

Zaměstnavatel je povinen o provozování kamerového systému na pracovišti své zaměstnance dostatečně informovat. Zde doporučujeme zaměstnance informovat o tom, že na pracovišti byl instalován kamerový systém, ale především i o důvodech umístění kamerového systému. Informace o provozování kamerového systému na pracovišti rovněž doporučujeme zapracovat do vnitřních směrnic týkající se ochrany osobních údajů zaměstnanců.
V rámci plnění informační povinnosti vůči zaměstnancům by měl zaměstnavatel prostory, které jsou kamerovým systémem snímány, náležitě označit. Umístit např. piktogramy na viditelné místo tak, aby každý zaměstnanec byl upozorněn, že vstupuje do monitorovaného prostoru.

d) Zaměstnavatel musí vést záznamy o činnostech kamerového systému

Zaměstnavatelé mají povinnost vést záznamy o činnostech kamerového systému. Tyto záznamy mohou být také součástí záznamů o činnostech zpracování.
Záznamy o činnostech kamerového systému mohou dle Úřadu pro ochranu osobních údajů vypadat například takto:

Označení správce	Běžná identifikace zaměstnavatele.
Účel zpracování	Např. ochrana majetku zaměstnavatele, života a zdraví osob prostřednictvím stálého kamerového systému.
Popis kategorií subjektů údajů	Zaměstnanci a příležitostně vstupující osoby do monitorovaného prostoru (dodavatelé, návštěvy apod.).
Popis kategorií osobních údajů	Podoba a obrazové informace o chování a jednání zaznamenaných osob.
Příjemci osobních údajů a informace o případném předání osobních údajů do třetích zemí	V odůvodněných případech orgány činné v trestním řízení, případně jiné zainteresované subjekty pro naplnění účelu zpracování (např. pojišťovna).
Lhůta pro výmaz	Doba uchování záznamu je X dní. Záznam zachyceného incidentu je uchován po dobu nezbytnou pro projednání případu a pro právní ochranu.
Technická a organizační bezpečnostní opatření	Bezpečnostní kryt, řízený přístup k datům, školení oprávněných osob, vedení záznamů o předání nahrávek oprávněným orgánům a osobám.

Co se týče doby uchovávání záznamů z kamerového systému, nařízení GDPR nestanovuje dobu, po kterou by bylo možné tyto záznamy uchovávat. Podle názoru Úřadu pro ochranu osobních údajů je vhodné stanovenou dobu náležitě odůvodnit a doba uchování kamerových záznamů by neměla přesáhnout 72 hodin.

Doba uchování pracovněprávních dokumentů

Jedna z nejčastějších otázek, se kterou se ze stran zaměstnavatelů a personalistů setkáváme, se týká doby uchovávání různých pracovněprávních dokumentů. Na začátek je třeba poznamenat, že nařízení GDPR neupravuje dobu uchovávání jednotlivých dokumentů. Úpravu doby uchovávání pracovněprávních dokumentů je třeba hledat v jednotlivých právních předpisech.

Doba uchování jednotlivých dokumentů se samozřejmě liší. Níže uvádíme přehled nejčastějších pracovněprávních dokumentů a dobu jejich uchování s odkazem na příslušný právní předpis.

Doba uchovávání dokumentů v pracovněprávní oblasti
Dokument	Doba uchování a právní předpis
Mzdy: mzdové listy	Podle § 35a zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, se údaje potřebné pro účely důchodového pojištění archivují po dobu 30 kalendářních roků následujících po roce, kterého se týkají; jde-li o mzdové listy pro poživatele starobního důchodu, pak po dobu 10 kalendářních roků následujících po roce, kterého se týkají. S ohledem na posouvající se důchodový věk se doporučuje archivace po dobu 50 let.
Mzdy: výplatní pásky	Podle § 31 zákona č. 563/1991, o účetnictví, se účetní podklady archivují po dobu 5 let.
Docházka: evidenční přehledy z databáze	Může být relevantní podklad pro hájení práv zaměstnavatele v případě sporu se zaměstnancem. Uplatní se obecný princip, kdy není archivační doba stanovena, tj. tříletá promlčecí lhůta = 4 roky s ohledem na to, že žaloba může být doručena až po uplynutí promlčecí lhůty.
Docházka: e-neschopenky	Podle § 96 zákona č. 187/2006 Sb., o nemocenském pojištění, je zaměstnavatel povinen uschovávat záznamy o skutečnostech uvedených v § 95 zákona 10 let. Za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního vztahu, o pracovním volnu bez náhrady příjmu, evidenci docházky do práce atd.
Docházka: žádanky zaměstnanců o dovolenou	Může být relevantní podklad pro hájení práv zaměstnavatele v případě sporu se zaměstnancem, uplatní se tedy obecný princip, kdy není archivační doba stanovena, tj. tříletá promlčecí lhůta = 4 roky s ohledem na to, že žaloba může být doručena až po uplynutí promlčecí lhůty.
Docházka: docházková kniha	Podle § 96 zákona č. 187/2006 Sb., o nemocenském pojištění, je zaměstnavatel povinen uschovávat záznamy o skutečnostech uvedených v § 95 zákona 10 let. Za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního vztahu, o pracovním volnu bez náhrady příjmu, evidenci docházky do práce atd.
Evidenční listy důchodového pojištění	Podle § 35a zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, se údaje potřebné pro účely důchodového pojištění archivují po dobu 30 kalendářních roků následujících po roce, kterého se týkají. Jde-li o mzdové listy pro poživatele starobního důchodu, pak po dobu 10 kalendářních roků následujících po roce, kterého se týkají. S ohledem na posouvající se důchodový věk se doporučuje archivace po dobu 50 let.
Osobní spis: Dohoda o odpovědnosti za svěřené hodnoty, dohoda o odpovědnosti za ztrátu svěřených věcí, dohoda o srážkách ze mzdy (od ukončení dohody).	Může být relevantní podklad pro hájení práv zaměstnavatele v případě sporu se zaměstnancem, uplatní se tedy obecný princip, kdy není archivační doba stanovena, tj. tříletá promlčecí lhůta = 4 roky s ohledem na to, že žaloba může být doručena až po uplynutí promlčecí lhůty.
Osobní spis: Hodnocení zaměstnance	Může být relevantní podklad pro hájení práv zaměstnavatele v případě sporu se zaměstnancem, uplatní se tedy obecný princip, kdy není archivační doba stanovena, tj. tříletá promlčecí lhůta = 4 roky s ohledem na to, že žaloba může být doručena až po uplynutí promlčecí lhůty.
Osobní spis: potvrzení o zaměstnání	Může být relevantní podklad pro hájení práv zaměstnavatele v případě sporu se zaměstnancem, uplatní se tedy obecný princip, kdy není archivační doba stanovena, tj. tříletá promlčecí lhůta = 4 roky s ohledem na to, že žaloba může být doručena až po uplynutí promlčecí lhůty.
Osobní spis: skončení pracovního poměru (dohoda o rozvázání pracovního poměru, výpověď z pracovního poměru, okamžité zrušení pracovního poměru, zrušení pracovního poměru ve zkušební době)	Podle § 96 zákona č. 187/2006 Sb., o nemocenském pojištění, je zaměstnavatel povinen uschovávat záznamy o skutečnostech uvedených v § 95 zákona 10 let. Za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního vztahu, o pracovním volnu bez náhrady příjmu, evidenci docházky do práce atd.
Zdravotní pojištění: přihlášky a odhlášky zaměstnanců, přehledy o výši a hlášení	Podle § 96 zákona č. 187/2006 Sb., o nemocenském pojištění, je zaměstnavatel povinen uschovávat záznamy o skutečnostech uvedených v § 95 zákona 10 let. Za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního vztahu, o pracovním volnu bez náhrady příjmu, evidenci docházky do práce atd.
Sociální pojištění: přihlášky a odhlášky zaměstnanců, přehledy o výši a ostatní podklady	Podle § 35a zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, se údaje archivují po dobu 3 kalendářních roků následujících po měsíci, v němž bylo dlužné pojistné za tento měsíc zaplaceno.

Nakládání s osobními údaji po ukončení pracovního poměru

Po ukončení pracovního poměru se zaměstnancem je nutné se vypořádat s otázkou nakládání s jeho osobními údaji, zejména pak s dokumenty obsaženými v osobním spise zaměstnance. Zaměstnavatelé a personalisté často řeší otázky, jak dlouho a jaké osobní údaje zaměstnance po ukončení pracovního poměru mohou uchovávat či zdali mají jednotlivé dokumenty z osobního spisu bývalému zaměstnanci vrátit, jelikož skončil primární důvod zpracování osobních údajů zaměstnance, tj. zpracování osobních údajů za účelem plnění pracovní smlouvy. V této části se opět zaměříme na nejčastější situace, které z pohledu ochrany osobních údajů mohou po ukončení pracovního poměru nastat.

Osobní spis zaměstnance

Z povahy osobního spisu je jasné, že osobní spis zaměstnance obsahuje různé druhy pracovněprávních dokumentů a některé z nich má zaměstnavatel dle právních předpisů povinnost uchovávat i po skončení pracovního poměru. Jedná se např. o:

evidenční a mzdové listy či účetní doklady,
pracovněprávní dokumenty, které budou uchovávány za účelem ochrany práv zaměstnavatele kvůli případným sporům se zaměstnancem (např. dokumenty odůvodňující skončení pracovního poměru),
kopie potvrzení o oprávněnosti cizince k pobytu na území České republiky,
dokumenty relevantní kvůli případným kontrolám ze strany Státního úřadu inspekce práce (např. dokumenty prokazující splnění lékařských prohlídek, potvrzení o provedením školení BOZP a požární ochrany).

Doba uchovávání dokumentů z osobního spisu

Co se týče doby uchování dokumentů relevantních pro ochranu práv zaměstnavatele kvůli případným sporům se zaměstnancem, je třeba vycházet z obecné promlčecí lhůty stanovené Občanským zákoníkem. Obecná promlčecí lhůta je tříletá, avšak doporučujeme dané dokumenty z procesní opatrnosti uchovávat po dobu až 4 let. A to z důvodu, že žaloba může být zaměstnavateli doručena i několik měsíců po uplynutí promlčecí doby.

Obdobně je tomu také v případě uchovávání relevantních dokumentů kvůli případným kontrolám ze strany Státního úřadu inspekce práce. V tomto případě je nutné vycházet z obecné promlčecí doby stanovené zákonem č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich. I zde je promlčecí lhůta tříletá, taktéž však doporučujeme dané dokumenty z opatrnosti uchovávat po dobu 4 let.

K uchovávání pracovněprávních dokumentů blíže také v předchozí kapitole v bodě „Doba uchovávání pracovněprávních dokumentů“.

Vydání dokumentů z osobního spisu bývalému zaměstnanci

Zaměstnavatelé se někdy setkávají s požadavky bývalých zaměstnanců na vydání dokumentů z osobního spisu. Nařízení GDPR ani Zákoník práce ale tuto povinnost zaměstnavateli neukládají. Zaměstnavatel má pouze povinnost vydat zaměstnanci pracovní posudek, pokud o to zaměstnanec požádá. Pracovním posudkem se rozumí veškeré písemnosti týkající se hodnocení práce zaměstnance, jeho kvalifikace, schopností a dalších skutečností, které mají vztah k výkonu práce.

Mnohdy bývalí zaměstnanci uplatňují právo na přístup k osobním údajů dle nařízení GDPR. Právo na přístup k osobním údajů je třeba odlišovat od vydání dokumentů z osobního spisu bývalého zaměstnance. Dle nařízení GDPR má subjektu údajů právo na přístup k jeho osobním údajům. Toto právo subjektu údajů však spočívá v tom, že subjekt údajů dostane soupis jeho údajů, které jsou zpracovávány. V případě pracovněprávních vztahů by tak zaměstnavatel vydal zaměstnanci soupis jeho osobních údajů, a nikoliv jednotlivé dokumenty.

E-mailové schránky bývalých zaměstnanců

Po ukončení pracovního poměru se zaměstnancem je třeba se také vypořádat s jeho e-mailovou schránkou. E-mailové adresy zpravidla obsahují jméno a příjmení zaměstnance ve formátu . V takovém případě se nejedná o majetek zaměstnavatele, nýbrž o osobní údaje zaměstnance a je třeba k e‑mailové schránce takto přistupovat.

Pokud chce zaměstnavatel vstoupit do e-mailové schránky bývalého zaměstnance, musí zvážit, zdali jeho oprávněný zájem převažuje nad právem na ochranu soukromí bývalého zaměstnance a není možné zvolit jiné méně invazivní prostředky. Upozorňujeme, že i v případě, kdy zaměstnavatel shledá svůj oprávněný zájem na seznámení se s korespondencí bývalého zaměstnance, není možné pročítat jednotlivé e-maily. Je vhodné nejdříve zkontrolovat předměty e-mailů. Až v případě, kdy zaměstnavatel najde konkrétní e-mail, s nímž se potřebuje seznámit a u kterého je patrné, že se jedná o pracovní e-mail, je možné přistoupit k otevření takového e-mailu.

Pokud to zaměstnavatel považuje za vhodné, má také možnost na e-mailové adrese bývalého zaměstnance nastavit automatickou odpověď, aby se obchodní partneři obraceli na jiného zaměstnance, avšak pouze po určitou dobu. Tato doba se může pohybovat v řádech několika týdnů až měsíců dle konkrétních okolností. Po uběhnutí stanovené doby je nutné e-mailové adresu úplně deaktivovat. Rozhodně není možné, aby danou e-mailovou adresu přebral jiný zaměstnanec a komunikoval s obchodními partnery jménem bývalého zaměstnance.

Porádíme vám nejen s GDPR. Online právní konzultaci si můžete objednat přes náš e-shop