Kde hledat informace
- Webové stránky Úřadu pro ochranu osobních údajů: www.uoou.cz
Tři relevantní právní předpisy
- nařízení Evropského parlamentu a Rady (EU) 2016/679 – „GDPR“
- zákon č. 110/2019 Sb., o zpracování osobních údajů
- zákon č. 262/2006 Sb., zákoník práce
Mimo tyto předpisy je samozřejmě problematika ochrany osobních údajů v pracovněprávních vztazích upravena i v dalších právních předpisech (kupř. zákon č. 435/2004 Sb., zákon o zaměstnanosti, zákon č. 133/2000 Sb, o evidenci obyvatel a rodných číslech atd.)
Co je nutné si zapamatovat
- GDPR je přímo aplikovatelný právní předpis, tvoří tedy základní rámec právní úpravy ochrany osobních údajů.
- Při zpracování osobních údajů musí zaměstnavatel respektovat základní principy obsažené v čl. 5 GDPR.
- Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) na svých webových stránkách zveřejnil „Desatero zpracování pro správce osobních údajů“ - k dispozici ZDE.
Správce vs. zpracovatel osobních údajů
Mohou nastat situace, kdy zaměstnavatel jakožto správce osobních údajů pověří třetí osobu zpracováním osobních údajů svých zaměstnanců – o takové osobě pak hovoříme jako o zpracovateli osobních údajů (kupř. externí mzdová účetní, za určitých okolností rovněž poskytovatel IT služeb). Se zpracovatelem osobních údajů je nutné mít uzavřenou zpracovatelskou smlouvu.
Je závodní lékař (poskytovatel pracovně lékařských služeb) ve vztahu k zaměstnavateli zpracovatelem osobních údajů?
K tomuto se vyjádřil ÚOOÚ, že nikoliv. Jedná se totiž o vztah správců vykonávajících samostatnou činnost. Na tuto a na řadu dalších otázek z oblasti zdravotnictví ÚOOU odpovídá ZDE.
Co jsou to citlivé osobní údaje
O tzv. citlivých osobních údajích GDPR hovoří jako o „zvláštní kategorii osobních údajů“ (čl. 9 GDPR). Jde o údaje, jejichž zpracování je až na výjimky zakázáno. Patří sem údaje, které vypovídají kupříkladu o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech.
Tipy pro naši praxi
Problematika ochrany osobních údajů je velmi obsáhlá, přesto se pokusíme alespoň ve zkratce poskytnout vám tipy pro vaši praxi.
Vybíráme zaměstnance
Nejen při výběru zaměstnanců je třeba dbát na to, aby nedocházelo k diskriminaci. Zaměstnavatel nesmí při výběru zaměstnanců vyžadovat následující údaje uvedené v ust. § 12 odst. 2 zákona o zaměstnanosti, kupříkladu informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem (na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje).
Uchazeč se stal naším zaměstnancem
Zaměstnavatelé často osobní údaje od zaměstnanců získávají tak, že požadované informace zaměstnanci uvedou do osobního dotazníku, který jim dá zaměstnavatel k vyplnění. V této souvislosti si dovolím z vlastní zkušenosti uvést, v čem zaměstnavatelé nejčastěji chybují:
- osobní dotazník předloží už uchazeči o zaměstnání a vyžadují po něm uvedení stejných osobních údajů jako po zaměstnanci (rozlišujme uchazeč x zaměstnanec),
- osobní dotazník je unifikovaný /vzorový/ a mnohdy je od zaměstnanců vyžadováno více informací, než je třeba (údaje o manželovi/manželce, o počtu dětí apod.).
POZNÁMKA: jednotný vzor osobního dotazníku neexistuje!
Velmi ráda bych upozornila rovněž na ust. § 316 odst. 4 zákoníku práce, kde je problematika ochrany osobních údajů rovněž zakotvena.
POZNÁMKA: znáte vyhlášku č. 180/2015 Sb. – tzv. vyhlášku o zakázaných pracích a pracovištích? Tato vyhláška upravuje práce a pracoviště, které jsou zakázány těhotným zaměstnankyním, zaměstnankyním, které kojí, a zaměstnankyním-matkám do konce devátého měsíce po porodu, a dále práce a pracoviště, které jsou zakázány mladistvým zaměstnancům. Upravuje tož podmínky, za nichž mohou mladiství zaměstnanci výjimečně tyto práce konat z důvodu přípravy na povolání (vyhláška o zakázaných pracích a pracovištích)
Rodné číslo
Rodné číslo je osobním údajem. Jeho využití zaměstnavatelem je dáno především zákonnými požadavky – tedy stanoví tak zvláštní právní předpisy (nemocenské, důchodové, zdravotní pojištění atd.).
Rodné číslo v pracovní smlouvě – ano či ne? Dle mého názoru se jedná o nadbytečný údaj, do pracovní smlouvy bych rodné číslo neuváděla. Zákoník práce ani nic takového nevyžaduje.
Osobní spis zaměstnance
Problematika osobního spisu zaměstnance a jeho vedení ja zakotvena v ust. § 312 zákoníku práce.
Může zaměstnanec nahlížet do svého osobního spisu? Ano, může. Zaměstnanec si může z osobního spisu činit výpisy a pořizovat stejnopisy dokladů, které jsou v něm obsaženy, a to vše na náklady zaměstnavatele. Osobně doporučuji o nahlížení do spisu činit záznamy.
Kopie občanského průkazu v osobním spisu zaměstnance
Okopírovat občanský průkaz zaměstnance je možné pouze na základě jeho souhlasu, v souladu se zákonem o občanských průkazech (zákon č. 328/1999 Sb.).
Kromě souhlasu zaměstnance s pořízením kopie občanského průkazu však zaměstnavatel musí prokázat rovněž účel zpracování údajů uvedených v občanském průkazu (včetně kupř. fotografie).
Dle mého názoru nemá opodstatnění, aby součástí osobního spisu zaměstnance byla i kopie jeho občanského průkazu.
Kamery na pracovišti
Podrobnější informace a nejčastější otázky a odpovědi k provozování kamerového systému zpracované ÚOOÚ najdete ZDE.
Nezapomeňte na vnitřní směrnici, která bude zaměstnance o provozování kamerového systému informovat!
Provozování kamerového systému již není třeba registrovat u ÚOOÚ.
Souhlas zaměstnance se zpracováním osobních údajů
Využití souhlasu se zpracováním osobních údajů v pracovněprávních vztazích může být mnohdy problematické, na druhou stranu je třeba si uvědomit, že k většině zpracování osobních údajů zaměstnavatel nepotřebuje souhlas zaměstnance, protože osobní údaje zpracovává na základě jiných právních důvodů pro zpracování – zejména na základě plnění zákonné/smluvní povinnosti či na základě oprávněného zájmu. Souhlas je navíc odvolatelný. O možnosti souhlas odvolat navíc musí být zaměstnanec poučen.
A kdy v praxi využíváme souhlas se zpracováním osobních údajů jako právní důvod zpracování osobních údajů? Typicky je to kupříkladu využívání fotografií zaměstnanců (webové stránky apod.).