Hlavní obsah

GDPR se týká i zaměstnanců. Víte, co si ohlídat?

V oblasti personální praxe se každý zaměstnavatel od 25. května 2018 řídí GDPR, který z velké části vychází ze současné úpravy ochrany osobních údajů, stejně tak i celou řadou českých právních předpisů, které upravují zpracování dat zaměstnanců. Rady a tipy, na co si dát pozor v souvislosti s GDPR během celého životního cyklu zaměstnance, přinášíme ve spolupráci s odborníky ze společnosti Vilímková Dudák & Partners.

Foto: Profimedia.cz

Ilustrační snímek

Článek

Před vznikem pracovního poměru

„Osobní údaje uchazečů o zaměstnání, které zaměstnavatel získal v rámci konkrétního výběrového řízení, je možné zpracovávat bez souhlasu uchazečů, ale po skončení výběrového řízení by měly být vymazány nebo papírové životopisy vyskartovány,” uvedla Klára Valentová ze společnosti Vilímková Dudák & Partners.

V případě, že zaměstnavatel má zájem si ponechat životopisy některých neúspěšných uchazečů, kteří by pro něho byli přijatelní v budoucnu, musí si od nich zajistit souhlas.

Jak Valentová upozornila, je nutné dávat pozor na životopisy s přiloženou fotografií. „Fotografii je vždy nutno vymazat, protože se může jednat o biometrický údaj a správce nemá právní základ pro její zpracování.”

Osobní údaje může zaměstnavatel získávat nejen od samotných uchazečů, kteří se přihlásili do jeho výběrového řízení, ale také od jiných osob (např. reference od bývalých zaměstnavatelů) nebo z veřejných zdrojů, a to i bez souhlasu daného uchazeče.

„Zaměstnavatel smí získávat informace o uchazečích i prostřednictvím sociálních sítí, nicméně jen v určitém rozsahu, který je nezbytný pro stanovený účel, tj. uzavření pracovní smlouvy. Jedná se např. o informace o školách, které uchazeč vystudoval, společnostech, ve kterých pracoval, o odborných znalostech, komunikačních schopnostech a dalších indikátorech pracovního výkonu uchazeče,” upozornil Petr Maličovský, odborník na problematiku GDPR.

V praxi se však zaměstnavatelé často snaží získávat na sociálních sítích takové informace, na které by se při pohovoru nebo v písemném dotazníku nemohli uchazeče zeptat. Jedná se zejména o informace a fotografie ze soukromého života a komentáře a příspěvky na různých diskuzních fórech, na jejichž základě personalisté získají první dojem o uchazeči, který pak může rozhodnout o jeho nepřijetí. „Takový postup je v rozporu s právními předpisy a může být i diskriminační (pokud je např. důvodem nepřijetí uchazeče jeho náboženské vyznání),” dodal Maličovský.

Zaměstnavatelé již v rámci výběrového řízení požadují po uchazečích informace, na které mají právo až po vzniku pracovního poměru (např. rodné číslo, počet dětí apod.). Také tento postup není správný a v této fázi se jedná o nadbytečné nebo případně i zakázané údaje.

V průběhu pracovního poměru

Každý zaměstnavatel musí o zaměstnancích vést mzdovou a personální agendu. Pro tyto druhy zpracování nepotřebuje od zaměstnanců souhlas.

„Zaměstnavatelé by tedy v žádném případě tento souhlas neměli získávat a už vůbec ne v pracovních smlouvách. Souhlas totiž musí být založen na svobodném rozhodnutí zaměstnance a nepřichází v úvahu celkově ve vztahu zaměstnavatel–zaměstnanec,” uvedla Valentová.

„Zaměstnavatel nemůže získat souhlas od zaměstnance, protože je vůči němu v silnější pozici a může nastat situace, že zaměstnanec odsouhlasí všechno, dokonce proti svojí svobodné vůli. Souhlas by tudíž nemusel být udělen svobodně, což je jedna z jeho nezbytných náležitostí,” doplnil Maličovský.

Pokud je mzdová nebo personální agenda zajišťována třetí osobou (např. externí účetní firma nebo OSVČ, centrum sdílených služeb v rámci skupiny společností), tato třetí osoba je v pozici tzv. zpracovatele a musí mít se zaměstnavatelem uzavřenou smlouvu o zpracování osobních údajů, jejíž podrobné náležitosti upravuje GDPR.

Osobní složky zaměstnanců jsou často vedeny i elektronicky a často se zapomíná na pravidla přístupu do osobních složek zaměstnanců, která stanoví zákoník práce. „K elektronickým údajům mají totiž často přístup osoby, které standardně nemají přístup do papírových osobních složek (např. mateřská společnost zaměstnavatele), což je v rozporu s právními předpisy,” upozornila Valentová.

Další problém podle ní nastává, když zaměstnavatel zveřejnuje fotky svých zaměstnanců na webových stránkách. Co se týče fotografií, je zde problém s fotografiemi „pasového formátu“, které naplňují definici biometrického údaje. Pro zpracování takovéhoto osobního údaje je nutné naplnit jeden ze zákonných důvodů pro zpracování zvláštních kategorií osobních údajů.

Skupinové fotografie nebo fotografie, které nesplňují požadavky „pasového formátu“ (např. si zaměstnanec částečně zakrývá obličej, má sluneční brýle nebo klobouk apod.), může správce zpracovávat na základě oprávněného zájmu.

Sledování zaměstnanců

Speciální úprava je v zákoníku práce věnována otázce monitoringu (sledování) zaměstnanců. Monitoring není vyloučen, naopak stává se stále častěji součástí zaměstnaneckého života (např. kamerové systémy, sledování pohybu zaměstnanců na internetu).

Zároveň ale musí splňovat stanovené podmínky, zejména musí na straně zaměstnavatele existovat závažný důvod, který převáží nad zájmem chránit soukromí zaměstnance i na pracovišti (např. ochrana majetku zaměstnavatele).

Využití kamerového systému je podepřeno oprávněným zájmem zaměstnavatele. Např. monitorování za účelem ochrany majetku je přijatelné.

„Monitorování zaměstnanců za účelem jejich kontroly však může být v rozporu s jejich právy a v takovém případě by se nejednalo o legitimní právní základ. Rozhodující je, zda je použití tohoto prostředku nezbytné, nebo je možné jej nahradit jinými, méně invazivními prostředky,” upozornil Maličovský.

Ukončení pracovního poměru

Osobní složky (papírové i elektronické) zaměstnance by měly být po jeho odchodu vyčištěny od všech údajů a dokumentů, které již nejsou potřeba. V zásadě by v osobních složkách měly zůstat jen základní dokumenty o pracovním poměru (historie pracovního poměru), hodnocení zaměstnance pro budoucí pracovní posudky a údaje a doklady, které slouží pro ochranu práv zaměstnavatele (např. v případě vedení soudního sporu se zaměstnancem).

Zaměstnavatel by měl mít dále stanovenu dobu uchování osobních složek. U mzdové agendy jednotlivé doby uchování vyplývají z právních předpisů (např. mzdový list 30 let).

Doba uchování dokumentů, které již nejsou potřeba, ale mohou sloužit k obhajobě práv zaměstnavatele, by neměla být delší než pět let. Opodstatněný případ, kdy lze uchovávat dokumenty například potvrzující poskytnutí firemního majetku, je tři roky (tolik trvá promlčecí lhůta na majetkové právní nároky).

Někdy se stane, že si chce zaměstnavatel uchovat osobní kontaktní údaje zaměstnance po ukončení pracovního poměru. Uchování by přicházelo do úvahy až po udělení souhlasu od bývalého zaměstnance.

„Proto pro zachování stoprocentní právní jistoty doporučuju, aby si zaměstnavatel získal souhlas od bývalého zaměstnance buď v poslední den pracovního poměru, nebo až po jeho ukončení,” doporučila Valentová.

Práva zaměstnanců

Každý zaměstnanec (potenciální, současný, bývalý) má právo na informace o tom, jak probíhá zpracování jeho osobních údajů, a má právo požadovat kopii všech svých osobních údajů, které jsou ve všech systémech zaměstnavatele.

V případě, že se jedná o protiprávní zpracování nebo zpracování po uplynutí stanovených lhůt, má právo na výmaz těchto údajů.

Při zpracování nesprávných osobních údajů má právo na jejich opravu.

„Jestliže se stane nějaký závažný bezpečnostní incident, který se týká osobních údajů zaměstnance (např. ztratí se osobní složka zaměstnance), musí o tom být zaměstnanec informován,” uvedl Maličovský.

Pokud je zaměstnanec nespokojen se zpracováním svých osobních údajů, může si také stěžovat u Úřadu pro ochranu osobních údajů.

Každý zaměstnavatel musí svého zaměstnance poučit o všech jeho právech a musí zajistit naplňování těchto práv (to může vyžadovat i změny v interních postupech a IT systémech).

Související články

Výběr článků

Načítám