Upřesnění vztahu zaměstnavatel vs. zaměstnanec z pohledu GDPR

Upřesnění vztahu zaměstnavatel vs. zaměstnanec z pohledu GDPR 
iž nyní zpracovávají zaměstnavatelé osobní údaje, většinou na základě svých zákonných povinností – typicky pro plnění odvodových a mzdových povinností. V tomto smyslu GDPR nepřinese žádné změny. Jak je to tedy s osobními údaji, s nimiž zaměstnavatel nakládá na základě souhlasu zaměstnance.

Uvedeme si typický příklad zveřejnění fotografie na webu organizace či monitoring zaměstnanců pomocí kamer.
Každá organizace by se měla zamyslet, jaké osobní údaje od svých zaměstnanců skutečně potřebuje nad rámec těch, u nichž to vyžaduje zákon. Totéž platí pro uchazeče o zaměstnání a bývalé zaměstnance. Jak tedy nastavit pravidla ochrany osobních údajů zaměstnanců?

Základem je povinnost zacházet se všemi zaměstnanci, resp. uchazeči stejně a zdržet se jakékoli diskriminace.
Například u zájemců o zaměstnání nesmí zaměstnavatel zjišťovat informace, které nesouvisí s pracovním poměrem – politické postoje, vyznání, sexuální orientace, členství v odborech. Vždy však záleží na tom, jak zaměstnavatel potřebu konkrétní informace věrohodně odůvodní. Je zcela jistě legitimní zjistit, zda má zaměstnankyně děti, aby jí zaměstnavatel následně mohl vyjít vstříc při sladění pracovního a rodinného života. Dodá-li uchazeč životopis a následně není vybrán, je třeba životopis skartovat, pokud uchazeč výslovně nesouhlasil s tím, že jeho kontakt zůstane v databázi pro případné budoucí využití nebo si nevyžádal jeho vrácení. Toto se vztahuje i na ukládání neoprávněných kopií.

Jak je to s již zmíněnou fotografií zaměstnance?
Je-li použita při plnění povinností zaměstnavatele, není nutný výslovný souhlas zaměstnance s jejím použitím. O tyto situace půjde tehdy, bude-li fotografie umístěna na průkazu zaměstnance, na intranetu (vnitřní síť) organizace nebo na nástěnce ve vnitřních prostorách organizace. Zveřejnění fotografie na webu však již pod plnění zákonných povinností zpravidla nespadá a bude tedy nutné vyžádat si souhlas zaměstnance. Stejné je to i se zveřejněním jména a telefonu nebo jména v emailu, i když je „firemní“.

Obdobné zásady platí u kamerového monitoringu zaměstnanců.
Dochází-li k němu v rámci kontroly ochrany majetku zaměstnavatele, bezpečnosti a ochrany zdraví při práci, pak se jedná o oprávněný zájem nebo plnění povinností zaměstnavatele. Pokud by však již došlo k narušení soukromí zaměstnance, např. v prostorách šatny apod., je opět potřebný souhlas zaměstnance. V každém případě ale platí informační povinnost správce, upozornit na instalovaný kamerový systém ve všech dotčených prostorách. (např. cedulkami „Střeženo kamerovým systémem“)

Výše uvedené obecné principy zůstávají zachovány i po účinnosti GDPR. Co se však oproti zákonu 101/2000 Sb. mění, jsou požadavky na souhlas. Ten musí být svobodný, konkrétní, informovaný a jednoznačný. Jeho začlenění do pracovní smlouvy je však diskutabilní. Souhlas může zaměstnanec totiž kdykoli odvolat. Pokud by byl souhlas součástí smlouvy, musel by být uzavřen ke smlouvě dodatek, což je zjevně nepraktické.

Poznámka na závěr: jakmile pomine účel zpracování osobních údajů, je vhodné je vymazat, a to i ze záloh a záložních úložišť. Předejdete tak případným sankcím například při kontrole dozorovým úřadem nebo neoprávněném úniku dat.