Příjemnou noc, dnes je pondělí 16.9.2019, Svátek má Ludmila a zítra Naděžda

Nařízení, účinné od 25.5.2018 se dotkne všech zaměstnavatelů, neboť jako správci osobních údajů zpracovávají osobní
údaje svých zaměstnanců.
Zaměstnavatelé by měli před nabytím účinnosti nařízení zmapovat zpracování osobních údajů, revidovat právní tituly pro
zpracování (souhlas zaměstnance - více k nutnosti jeho souhlasu se zpracováním osobních údajů viz níže x plnění povinností
vyplývajících z právních předpisů x plnění smlouvy x oprávněné zájmy správce), proškolit zaměstnance, kteří s osobními
údaji nakládají a zajistit bezpečnost zpracování osobních údajů.
Každý zaměstnavatel by měl vést Záznam o činnosti zpracování osobních údajů. Výjimka z povinností vedení záznamů
o činnostech zpracování se týká menších a středních firem s méně než 250 zaměstnanci.
Ze stanoviska WP 29 ke zpracování údajů na pracovišti:

  • Zaměstnavatelé by vždy měli pamatovat na základní zásady ochrany osobních údajů bez ohledu na použitou
    technologii;
  • Na obsah elektronické komunikace posílané z pracovních prostor se vztahují stejná základní práva ochrany jako na
    komunikace analogové;
  • Je vysoce nepravděpodobné, že souhlas by mohl být právním důvodem pro zpracování dat na pracovišti, ledaže
    by zaměstnanci měli možnost odmítnout, aniž by to pro ně mělo neblahé důsledky; V případech, kdy zaměstnavatel
    souhlas požaduje a případný zaměstnancův nesouhlas by vedl ke skutečné nebo možné újmě (což v souvislosti se
    zaměstnáním může být vysoce pravděpodobné, hlavně týká-li se to průběžného sledování zaměstnance
    zaměstnavatelem), pak souhlas není a ani nemůže být svobodný. Takže pro většinu případů zpracování
    zaměstnaneckých dat nemůže a neměl by být zaměstnancův souhlas právním důvodem, jinými slovy je nutné mít
    jiný právní základ. Zaměstnanci nejsou v postavení, vzhledem k nerovnováze sil, kdy by mohli dát zaměstnavateli
    svobodný souhlas se zpracováním svých osobních údajů, a pokud by zpracování nebylo proporcionální, neměl by
    zaměstnavatel právní důvod.
  • V některých případech se lze odvolat na plnění smlouvy a oprávněné zájmy za předpokladu, že zpracování je
    skutečně nezbytné pro zákonné účely a je v souladu se zásadou proporcionality a subsidiarity;
  • Zaměstnanci by o probíhajícím monitorování měli být účinným způsobem informováni.
  • Zaměstnavatelé by měli zajistit, aby data byla zpracována pro konkrétní a zákonné účely, jež jsou proporcionální
    a nezbytné; pamatovat na zásadu účelového omezení a zajistit, aby údaje byly přiměřené, relevantní a omezené
    na nezbytný rozsah ve vztahu k účelu; uplatňovat zásady proporcionality a subsidiarity bez ohledu na uplatnitelný
    právní důvod; být transparentní vůči zaměstnancům ohledně použití a účelů sledovacích technologií; umožnit
    subjektům údajů výkon svých práv, včetně práva na přístup a, v náležitých případech, práva na opravu, výmaz nebo
    zablokování osobních údajů; udržovat data přesná a neuchovávat je déle než je nutné; a učinit veškerá nezbytná
    opatření k ochraně dat před neoprávněným přístupem a zajistit, aby si zaměstnanci byli dostatečně vědomi
    povinností v oblasti ochrany dat.
  • Obecné nařízení v článku 25 vyžaduje od správců zavedení záměrné a standardní ochrany osobních údajů. Příklad:
    poskytuje-li zaměstnavatel svým zaměstnancům nějaké přístroje, které jsou vybaveny sledovacími technologiemi,
    měl by zvolit ty, jež jsou co nejšetrnější z hlediska ochrany soukromí. Vzít v úvahu je třeba také minimalizaci údajů.
  • Obecné nařízení v článku 35 ukládá správcům zpracovat posouzení vlivu na ochranu osobních údajů („posouzení
    vlivu“), pokud určitý druh zpracování, zejména při využití nových technologií a s přihlédnutím k povaze, rozsahu,
    kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob.
  • Zaměstnanci nejsou téměř nikdy v postavení, aby mohli dát souhlas svobodně nebo ho odmítnout či odvolat, což
    je dáno závislostí vyplývající ze vztahu zaměstnavatel/zaměstnanec. Vzhledem k nerovnováze sil mohou
    zaměstnanci udělit svobodný souhlas jen za výjimečných okolností, kdy souhlas nebo odmítnutí nevyvolá žádné
    následky.
  • Oprávněný zájem zaměstnavatelů může být někdy uplatněn jako zákonný důvod, avšak jen pokud zpracování je
    skutečně nutné pro tento oprávněný zájem a splňuje zásady proporcionality a subsidiarity. Test proporcionality
    by měl být proveden před nasazením jakéhokoliv monitorovacího nástroje, aby se zvážilo, zda jsou všechna data
    potřebná, zda dané zpracování nepřevažuje nad obecnými právy ohledně soukromí, kterých zaměstnanci požívají i
    na pracovišti a jaká opatření je třeba učinit pro zajištění, že zásahy do práva na soukromý život a práva na důvěrnost
    komunikace budou omezeny na nezbytné minimum.
  • Zaměstnanci by měli být účinným způsobem informováni o jakémkoliv na pracovišti probíhajícím sledování, jeho
    účelech a okolnostech, jakož i o možnostech, jak mohou předcházet záznamu svých dat sledovacími technologiemi.
    Politiky a pravidla ohledně zákonného sledování musí být jasné a snadno dostupné.
  • Zpracování dat na pracovišti musí být proporcionální odpovědí na rizika, kterým zaměstnavatel čelí. Například
    zneužívání internetu lze odhalit bez nutnosti analyzovat obsah webové stránky. Jde-li zneužití předejít (např.
    použitím webových filtrů), nemá zaměstnavatel na monitorování žádné obecné právo.
  • Plošný zákaz komunikace pro osobní účely je nepraktický a jeho prosazování by mohlo vyžadovat neproporcionální
    míru sledování. Větší důraz by měl být kladen na prevenci, než na odhalování – zájmům zaměstnavatele poslouží
    lépe prevence zneužití internetu prostřednictvím technických prostředků, než vynakládání zdrojů na jeho
    odhalování.
  • Informace zaznamenávané cestou nepřetržitého sledování, stejně jako informace, které jsou zaměstnavateli
    předkládány, by měly být co možná nejvíce minimalizovány. Zaměstnanci by měli mít možnost, za důvodných
    okolností, dočasně vypnout sledování polohy. Systémy, které sledují například polohu vozidel, mohou být řešeny
    tak, aby údaje o poloze registrovaly, aniž by je dále poskytovaly zaměstnavateli.
  • Zaměstnavatelé musí při rozhodování o nasazení nových technologií brát v úvahu minimalizaci údajů. Informace
    by měly být uchovány jen po skutečně nezbytnou, konkrétně stanovenou dobu. Vždy, kdy už informace není
    potřeba, měla by být smazána.

    Obecně:
  • Zaměstnavatel jako správce osobních údajů smí zpracovávat pouze takové osobní údaje, které jsou nezbytné pro
    naplnění stanoveného účelu (tedy plnění povinností zaměstnavatele, které ostatně vyplývají z právních
    předpisů).
  • Nakládání s osobními údaji začíná ve chvíli, kdy zaměstnavatel poprvé získá osobní údaje od uchazeče o
    zaměstnání. S těmito údaji může v nezbytném rozsahu nakládat i bez souhlasu uchazeče o zaměstnání (pokud se
    uchazeč nestane zaměstnancem, je zaměstnavatel povinen tyto údaje zlikvidovat nebo disponovat písemným
    souhlasem uchazeče).
  • Dle převažujícího názoru není nezbytně nutné uchovávat kopii dokladu totožnosti zaměstnance, pro tento případ
    by měl zaměstnavatel disponovat písemným souhlasem zaměstnance.
  • Výslovný souhlas zaměstnance není třeba při vedení evidence pracovních úrazů nebo nemocí z povolání (byť se
    jedná o citlivé informace o zdravotním stavu zaměstnanců), protože vedení takové evidence ukládá zaměstnavateli
    zákon. Výslovný souhlas pochopitelně není třeba ani při zpracování osobních údajů v souvislosti s vedením
    personální a mzdové agendy zaměstnance, neboť i to je plněním zákonné povinnosti zaměstnavatele.
  • Osobní spis – obsahuje osobní údaje zaměstnanců, jeho součástí mohou být pouze dokumenty, které jsou nezbytné
    pro výkon práce. V rámci ochrany osobních údajů zaměstnanců musí být tyto údaje zabezpečeny a mohou být
    přístupné pouze oprávněným osobám!
  • Po skončení pracovního poměru může zaměstnavatel uchovávat osobní údaje zaměstnance pouze v omezeném
    rozsahu (údaje, jejichž uchování vyžadují právní předpisy, údaje nutné pro vedení soudního sporu se
    zaměstnancem) a pouze po nezbytnou dobu.
  • Zaměstnavatel je povinen informovat zaměstnance o tom, jaké jeho osobní údaje zpracovává a k jakému účelu,
    vymezit své oprávněné zájmy (pokud by například používal kamerové systémy nebo monitoring e-mailů, protože
    taková opatření může zaměstnavatel přijmout pouze v případě, kdy k tomu má oprávněný zájem a přijaté opatření
    není v nepoměru k právům zaměstnance na soukromí), sdělit zaměstnanci své kontaktní údaje.

V případě konkrétních dotazů klientů na konkrétní opatření (např. kamerové záznamy, sledování pohybu vozidel, systémy
docházky, sledování e-mailové komunikace apod.) poskytneme podrobnější informace k tomu, jaká opatření jsou z pohledu
ochrany osobních údajů, oprávněných zájmů zaměstnavatelů a práv zaměstnanců přiměřená. Tato opatření je totiž nutné
posuzovat individuálně ve vztahu ke zvoleným prostředkům.

Novinky

Den otevřených dveří

5. 10. 2019 | 8:00 - 12:00

Ukázky učebních textů

Ukázka závěrečných prací