Ochrana osobních údajů

Účelem tohoto blogu je vysvětlit některé změny v ochraně osobních údajů podle nařízení ve srovnání s příslušnými ustanoveními ZP a NOZ.

patří k důležitým právům osobnosti občana. Jejich význam se zdůrazňuje zejména v poslední době, kdy se připravujeme na realizaci  nařízení Evropského parlamentu a Rady (EU) ze dne 27.dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, anglicky označované General Data Protection Regulation, GDPR, (dále „nařízení“), jehož účinnost nastane 25.května 2018. Povinnosti správců ( v pracověprávních vztazích „zaměstnavatelé“) a subjektů (zaměstnanců), které jsou v něm uvedeny, nelze posuzovat izolovaně. Vedle Ústavy a Listiny základních práv a svobod, které zaručují práva občanů zejméně při ochraně osobnosti, musíme vzít v úvahu i další právní předpisy, které tuto citlivou oblast právních vztahů upravují. Jde zejména o nový občanský zákoník č. 89/2012 Sb. (dále NOZ), zákoník práce č. 262/2006 Sb., (dále ZP) a zákon č. 101/2000  Sb., o ochraně osobních údajů, jejhož novelizace se ve shodfě s nařízením připravuje.

Správce osobních údajů

Nařízení budou v personální činnosti i v duchu novelizace zákona na ochranu osobních údajů uplatňovat všichni zaměstnavatelé. Ti jsou podle nařízení  správci osobních údajů. Podle čl. 4 nařízení se za osobní údaje považují veškeré  informace o fyzické osobě, která je subjektem údajů. S tímto článkem nařízení je v souladu i současné znění zákona na ochranu osobních údajů, které osobním údajem  rozumí  jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů, jestliže lze podle jednoho či více osobních údajů zjistit totožnost občana ( subjekt údajů). Za osobní údaj nelze považovat jen obecně známé  identifikační data, jako např. jméno, příjmení, datum narození adresa apod. Patří mezi ně však i údaje, které jsou o určité osobě shromažďovány a zpracovávány. V této souvislosti je nutno považovat za osobní i údaj o mzdě (platu) nebo odměnách zaměstnance. K jeho identifikaci nemusí být uváděno ani jeho jméno, stačí třeba jen označení jeho pracovní pozice.                                                                                 

Zpracováním osobních údajů

se podle čl. 4 nařízení rozumí jakákoliv operace nebo soubor operací, která je prováděna s osobními údaji nebo soubory osobních údajů. Je to zejména shromažďování, zaznamenání (ukládání na nosiče informací), uspořádání, uložení, použití, šíření údajů apod. Jde o jakoukoliv manipulaci s údaji, tedy také správa údajů, nakládání s údaji apod. Zpracování se může uskutečňovat nejen technickými prostředky (např. výpočetní technika), ale také manuálně, např. evidence, zakládání dat apod. (Definice osobního údaje viz čl. 4 odst. 1 nařízení).

Typickými zpracováním je např. personální agenda, různé evidenční rejstříky (uchazečů o zaměstnání) apod.

Právní důvody pro zpracování

Základním předpokladem pro zpracování je souhlas subjektu, v pracovněprávních vztazích zaměstnance. Souhlas musí být konkrétní, svobodný, informovaný a jednoznačný (čl. 4 odst. 11 nařízení.).

V pracovněprávních vztazích se setkáváme např. s dovětkem, že „ zaměstnanec souhlasí se zpracováním osobních údajů pro pracovněprávní účely.“  Takový souhlas je neplatný a vyvolává u zaměstnance dojem, že jej může kdykoliv odvolat. Přitom důvod ke zpracování těchto údajů je pokryt právním důvodem plnění smlouvy nebo zákonem a jeho uvádění v pracovní smlouvě je nadbytečné. Má-li zaměstnavatel takové pracovní smlouvy již uzavřeny, neznamená to jejich neplatnost či nemožnost zpracovávat osobní údaje, neboť má k tomu právní důvod. 

Šíření nepravdivých údajů       

Za formu zpracování osobních údajů považuje nařízení rovněž jejich šíření, nahlédnnutí, použití apod.V pracovněprávních vztazích s tím koresponduje § 314 odst. 2 ZP, podle něhož je zaměstnavateli zakázáno podávat informace o zaměstnanci kromě těch,  které mohou bý obsahem pracovního posudku. I  zde se – obdobně jako v nařízení – vyžaduje souhlas zaměstnance.

 Příkladů je v personální praxi mnoho. Rozšiřování nepravdivých údajů ze soukromého života zaměstnance, sdělování informací zaměstnavatelem jinému zaměstnavateli o pracovních schopnostech zaměstnance,uveřejňování nepravdivých údajů ve sdělovacích prostředcích o pracovní činnosti zaměstnance, veřejná publikace podobizny zaměstnance ve vnitrofiremních písemnostech  apod. NOZ a další právní předpisy (např. tiskový zákon a zákon o rozhlasovém a televizním vysílání) umožňují zaměstnancům, aby využili práva ochrany osobnosti před neoprávněnými zásahy. Mohou např. požadovat uveřejnění odpovědi v tisku, pokud bylo předtím uveřejněno skutkové tvrzení, které se týká cti, důstojnosti nebo soukromí osoby nebo jména či dobré pověsti osoby nebo domáhat se toho, aby zaměstnanec zaměstnavatele odstranil neoprávněné zásahy do cti zaměstnance ( např. rozšiřováním nepravdivých tvrzení na pracovišti o rodinném životě zaměstnance).

Omezené uložení údajů

Podle čl.17 odst.1 nařízení má subjekt údajů, v pracovněprávních vztazích zaměstnavatel, povinnost ukládat údaje jen po vymezenou dobu. Ve výkladové praxi se tato skutečnost hodnotí jako  „ zásada omezení uložení.“ Pomine –li účel zpracování dat, je povinností správce je vymazat.

Nařízení v čl. 17 uvádí právo na výmaz ( „právo být „zapomenut.“ Podle tohoto článku správce   vymaže údaj bez zbytečného odkladu pokud nastal některý z důvodů:

osobní údaje již nejsou potřebné, byly zpracovány neoprávněně, nebo vymazány ke splnění právní povinnosti či subjekt údajů odvolal svůj souhlas.

V pracovněprávních vztazích se jedná o vymazání (likvidaci) údajů, které jsou např. uloženy v osobním spise zaměstnance. Zaměstnavatel však nemusí tuto povinnost splnit, pokud právní předpis stanoví jinou (maximální) lhůtu pro uložení dat nebo zpracování je nadále nezbytné pro splnění právní povinnosti, která se na správce vztahuje (čl. 17 odst. 3 nařízení). Právní povinnost je uvedena např. v zákoně o účetnictví, který předepisuje postup při zpracování (uschovávání) těchto údajů.

Lhůty (právní povinnost) platí pro zaměstnavatele pro uschování dokladů podle zákona o nemocenském a důchodovém pojištění. Zaměstnavatel je povinen uschovávat záznamy o poskytování a výplatě nemocenských dávek, včetně evidence doby zaměstnání a evidence lhůt a podpůrčích dob po dobu 10 kalendářních roků následujících po roce, kterého se týkají. Za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního poměru, záznamy o úrazech a nemocech z povolání a záznamy o evidenci pracovní doby, včetně doby pracovního volna bez náhrady přijmu.

Zjišťování rodného čísla

Rodné číslo zaměstnance je v systému ochrany osobních údajů zvláštní kategorií. Nařízení jeho použití, uvádění a zpracování připouští za určitých podmínek: stanoví –li to zvláštní zákon nebo se souhlasem nositele rodného čísla nebo jeho zákonného zástupce.  Správce (zaměstnavatel)  může uvádět rodné číslo jako  osobní údaj, jestliže provádí zpracování nezbytné pro dodržení právní povinnosti zaměstnavatele, nebo jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů (zaměstnanec), nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů. Proto není zjišťování rodného čísla zaměstnance porušením nařízení zaměstnavatelem, neboť tento údaj je nezbytný pro uzavření pracovní smlouvy  nebo dohody o práci konané mimo pracovní poměr. Mají –li zaměstnavatelé již napsané na pracovních smlouvách zaměstnanců, nemusí je z nich mazat.

Pracovní smlouva slouží rovněž k založení pojistných vztahů, v nichž je uvádění rodného čísla vyžadováno příslušným předpisem.  Jde např. o § 10 odstavec 1 zákona o veřejném zdravotním pojištění nebo o § 95 písm.a) zákona o nemocenském pojištění. Kdyby si zaměstnavatel v těchto případech neopatřil  rodné číslo zaměstnance v pracovní smlouvě, musel by si ho v jednotlivých případech opatřit ji

Občanský průkaz

V pracovněprávní praxi se mnohdy vyskytuje postup zaměstnavatelů, zejména personálních oddělení, že si usnadňují práci s ověřením a zapsáním údajů o uchazeči o práci, např. budoucímu zaměstnanci, kopíriováním občanského průkazu. To mohou však provádět jen po souhlasu zaměstnance. Podmínky stanoví nařízení, že souhlas byl učiněn svobodně. Tato podmínka nemusí být v některých případech splněna, bude –li např. uchazeč o zaměstnání jednat ve snaze  tuto práci získat, i když s určitou výhradou. Takový souhlas by nebyl  svobodný a byl by neplatný. 

Údaje o zaměstnanci jen s jeho souhlasem

Zaměstnavatel  zpracovává údaje nejčastěji shromažďováním. Tím se rozumí získávání údajů např. o budoucím zaměstnanci, který se uchází o zaměstnání. Jde např. o jeho jméno, rodné číslo, kvalifikaci, zdravotní stav apod. Tyto údaje může zaměstnavatel shromažďovat ( získávat) jen se souhlasem zaměstnance.

Jednou z hlavních zásad zpracovávání osobních údajů je minimalizace, která znamená  povinnost zpracovávat  osobní údaje pouze přiměřené a omezené na nezbytný rozsah ve vzathu ke stanovenému účelu. Tato zásada se uplatňuje i jako bezpečnostní prvek, neboť čím méně se údajů zpracovává, tím je menší riziko pro správce pro případ jejich úniků.

Zásada minimalizace je zdůrazněna v pracovněprávních vztazích zejména v § 30 odst. 2 ZP. Zaměstnavatel smí v souvislosti s jednáním před vznikem pracovního poměru nebo před uzavřením dohody o provedení práce nebo dohody o pracovní činnosti vyžadovat od fyzické osoby, která se u něho uchází o zaměstnání nebo od jiných osob jen ty údaje, které bezprostředně souvisejí s přijetím do zaměstnání. V souladu se zákonem  se tak ještě před vznikem pracovněprávního vztahu u zaměstnavatele zamezuje nadbytečnému shromažďování údajů o budoucím zaměstnanci a tím i jejich možnému zneužití.

Sankce a pokuty

Nedílnou součástí ochrany osobních údajů při jejich zpracování jsou podle nařízení v členských státech EU tzv. dozorové úřady. Nařízení je definuje v čl. 4 odst. 21 jako nezávislý orgán veřejné moci zřízený členským státem podle čl. 51 nařízení. V podmínkách ČR se bude zřejmě jednat o Úřad na ochranu osobních údajů.

Mezi úkoly úřadu bude patřit činnost vyšetřovací, nápravná, povolovací a poradní. Jako činnost nápravnou lze považovat postup úřadu, kdy může uložit pokutu v případě porušení právního postupu¨při ochraně a zpracování osobních údajů. Samozřejmě, že ukládání sankcí bude činností následnou (podpůrnou). Bude uplatňována, zejména v počátcích účinnosti nové právní úpravy, složka poradní. Přesto může dojít k uložení pokuty za dodržení podmínek uvedených v čl. 83 nařízení, a to až do částky 20 milionu EUR, nebo jedná li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za poslední rozpočtový rok, podle toho, co je vyšší.

Členské státy musí oznámit Komisi EU do 25. 5. 2018 příslušná ustanovení svých právních předpisů, které k tomuto účelu přijmou.