Titulek nevyjadřuje situace, kdy bychom měli zapomenout na dávného přítele (spolužáky) nebo na prožité chvíle, ale připomíná postup správce údaje (např. zaměstnavatele) podle nového nařízení EU o ochraně osobních údajů (GDPR). Ovšem než nějaká osoba, v našem případě zaměstnanec může být „zapomenut“ a tedy údaje o něm by měly být vyřazeny z evidence, např. z personální agendy, musí se nejdříve v „rejstříku“ zaaměstnavatele objevit.
Přímá účinnost
Nařízení Evropské unie GDPR (anglicky označované General Data Protection Regulation) z obecného pohledu je právním aktem a nejúplnějším a nejbezprostřednějším opatřením v rámci nástrojů sbližování práva, který mají orgány EU k dispozici. Jako každé nařízení EU má přímou účinnost pro členský stát EU bez ohledu na to, zda byla jeho ustanovení implementována do vnitrostátních předpisů. To je rozdíl od směrnic EU, které musí členský stát do svých předpisů zapracovat.. Nařízení EU jsou tedy pro členské státy závazná a přímo použitelná. Z tohoto pohledu je nutno posuzovat i nařízení GDPR o ochraně osobních údajů, které nabylo účinnosti pro ČR 25.5.2018. Bez ohledu na to, kdy bude účinný, případně novelizovaný nebo nový zákon o ochraně osobních) údajů, který nahradí zákon č. 101/2000 Sb.
O tom, že je to nařízení velmi potřební svědčí skutečnost, že Úřad pro ochranu osobních údajů eviduje ode dne účinnosti nařízení GPR již přes 600 tisíc stížností občanů na postup správců subjektů (např. zaměstnavatelů) na porušení nařízení. Jakých otázek se stížnosti nejčastěji týkají?
Správci osobních údajů
Nařízení musí v personální činnosti uplatňovat správci údajů.Rozumí se tím i zaměstnavatelé. Podle čl. 4 nařízení se za osobní údaje považují veškeré informace o fyzické osobě, která je subjektem údajů. S tímto článkem nařízení je v souladu i současné znění zákona na ochranu osobních údajů, které osobním údajem rozumí jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů, jestliže lze podle jednoho či více osobních údajů zjistit totožnost občana ( subjekt údajů). Za osobní údaj nelze považovat jen obecně známé identifikační data, jako např. jméno, příjmení, datum narození adresa apod. Patří mezi ně však i údaje, které jsou o určité osobě shromažďovány a zpracovávány. V této souvislosti je nutno považovat za osobní i údaj o mzdě (platu) nebo odměnách zaměstnance. K jeho identifikaci nemusí být uváděno ani jeho jméno, stačí třeba jen označení jeho pracovní pozice.
Zpracování osobních údajů
Některé údaje o zaměstnaci zaměstnavatel zaznamenává na počítačové diskety. Vznikají problémy, zda se tím rozumí zpracování osobních údajů.
Zpracováním osobních údajů se podle čl. 4 nařízení rozumí jakákoliv operace nebo soubor operací, která je prováděna s osobními údaji nebo soubory osobních údajů. Je to zejména shromažďování, zaznamenání (ukládání na nosiče informací), uspořádání, uložení, použití,.šíření údajů apod. Jde o jakoukoliv manipulaci s údaji, tedy také správa údajů, nakládání s údaji apod. Zpracování se může uskutečňovat nejen technickými prostředky (např. výpočetní technika), ale také manuálně, např. evidence, zakládání dat apod. (Definice osobního údaje viz čl. 4 odst. 1 nařízení). Typickými zpracováním je např. personální agenda, různé evidenční rejstříky (uchazečů o zaměstnání) apod.
Osobní údaje
Podle čl. 4 nařízení se „osobními údaji“ rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“). Jedná se o fyzickou osobu, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Souhlas zaměstnance
Souhlasem subjektu údajů je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Souhlas může být udělen jak písemným prohlášením, tak elektronicky nebo ústně, ovšem musí se jednat o jednoznačné potvrzení. Za souhlas nelze považovat zejména mlčení, předem zaškrtnuté políčko nebo nečinnost subjektu údajů.
Podmínky vyjádření souhlasu blíže upravuje ust. čl. 7 nařízení, v jehož odst. 1 je stanoveno, že správce je povinen prokázat, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů. Ústně vyjádřený souhlas subjektu údajů, byť ústní forma souhlasu je nařízením výslovně připuštěna, nebude prakticky realizovatelný, neboť správce by v takovém případě nemohl dostát své povinnosti doložit udělení souhlasu se zpracováním osobních údajů ze strany subjektu údajů.
Je však třeba souhlas zaměstnance jakožto právní titul ke zpracování osobních údajů využívat obezřetně a spíše jen sporadicky, při vědomí specifik základních pracovněprávních vztahů a v rámci nich působící ochranné funkce pracovního práva
a z ní vyplývající zásady zvláštní zákonné ochrany postavení zaměstnance.
Bez souhlasu zaměstnance
Právní důvody pro zpracování uvádí čl. 6 odst.1 nařízení.Zejména v personální práci a při uplatňování ZP je velká většina situací, kdy zaměstnavatel souhlas zaměstnance nepotřebuje.
Je tomu např. pro splnění smlouvy, pro splnění právní povinnosti, pro ochranu životně důležitých zájmů subjektu nebo jiné fyzické osoby, pro splnění úkolu prováděného ve veřejném zájmu, při výkonu veřejné moci, kterým je pověřen správce pro účely oprávněných zájmů příslušného správce nebo třetí osoby.
V těchto případech zaměstnavatel souhlas zaměstnance nepotřebuje, neboť zjištění osobních údajů umožňuje právní předpis (ZP).
Údaje o zdravotním stavu zaměstnance
V některých případech musí zaměstnavatel znát údaje o zdravotním stavu zaměstnanců.
Zjišťování a zpracování údajů o zdravotním stavu zaměstnance bude probíhat ve smyslu čl.9 odst.2 písm.b) nařízení. Např. tehdy, do jde –li k pracovnímu úrazu zaměstnance a je nutno zjistit jeho zdravotní stav nebo zjištění zdravotního stavu u zaměstnance, který bude pracovat v noci, nebo možnost vykonávat určitou práci těhotnou ženou apod.
Souhlas zaměstnance nemusí zaměstnavatel vyžadovat např. při vstupní lékařské prohlídce uchazeče o práci, kdy si podle zákona o specifických zdravotních službách (zákon č. 373/2011 Sb,) ověřuje zdravotní stav zaměstnance. Stejně je to např. i při lékařské prohlídce před výkonem noční práce,zaměstnávání mladistvého apod., neboť splnění těchto povinností zaměstnavatelem i zaměstnancem je stanoveno zákonem (viz čl. 9 odst.1 nařízení).
Právo být zapomenut
Podle čl.17 odst.1 nařízení má subjekt údajů, v pracovněprávních vztazích zaměstnavatel, povinnost ukládat údaje jen po vymezenou dobu.
Ve výkladové praxi se tato skutečnost hodnotí jako „ zásada omezení uložení.“
Pomine –li účel zpracování dat, je povinností správce je vymazat. Nařízení v čl. 17 uvádí právo na výmaz ( „právo být „zapomenut.“) Podle tohoto článku správce vymaže údaj bez zbytečného odkladu pokud nastal některý z důvodů :
- osobní údaje již nejsou potřebné,
- subjekt údajů odvolal souihlas nebo vznesl námitky proti zpracování,
- osobní údaje byly zpracovány protiprávně,
- osobní údaje byly vymazány ke splnění právní povinnosti.
V pracovněprávních vztazích se jedná o vymazání (likvidaci) údajů, které jsou např. uloženy v osobním spise zaměstnance. Zaměstnavatel však nemusí tuto povinnost splnit, pokud právní předpis stanoví jinou (maximální) lhůtu pro uložení dat nebo zpracování je nadále nezbytné pro splnění právní povinnosti, která se na správce vztahuje (čl.17 odst. 3 nařízení). Právní povinnost je uvedena např.v. zákoně o účetnictví, který předepisuje postup při zpracování (uschovávání) těchto údajů.
Lhůty (právní povinnost) platí pro zaměstnavatele pro uschování dokladů podle zákona o nemocenském a důchodovém pojištění. Zaměstnavatel je povinen uschovávat záznamy o poskytování a výplatě nemocenských dávek, včetně evidence doby zaměstnání a evidence lhůt a podpůrčích dob po dobu 10 kalendářních roků následujících po roce, kterého se týkají. Za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního poměru, záznamy o úrazech a nemocech z povolání a záznamy o evidenci pracovní doby, včetně doby pracovního volna bez náhrady přijmu.
Pro účely důchodového pojištění jsou zaměstnavatelé povinni uschovávat mzdové listy nebo účetní záznamy po dobu 30 kalendářních roků následujících po roce, kterého se týkají. Mezi doklady zůstávající v osobním spise však rozhodně nepatří osobní dotazník, žádost o zasílání výplaty na účet, případně i doklady o bezúhonnosti (výpis z rejstříku trestů).