Absence zákonné povinnosti mlčenlivosti

Zákon č. 110/2019 Sb. , o zpracování osobních údajů, v platném znění, nabyl účinnosti v závěru dubna letošního roku a v mnoha článcích a odborných příspěvcích již bylo popsáno, co nového přináší. Bez (zatím) větší pozornosti však zůstává jedna z poměrně zásadních změn oproti předchozí právní úpravě, která spočívá ve vypuštění zákonného zakotvení povinnosti mlčenlivosti všech zaměstnanců správce či jeho smluvních partnerů.

Reklama

Nemáte ještě registraci na epravo.cz?

Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

REGISTROVAT ZDE

V předcházejícím, již neúčinném, zákoně o ochraně osobních údajů[1] byla tato povinnost mlčenlivosti výslovně zakotvena v ust. § 15. Specifikem předmětné povinnosti bylo, že nesměřovala na samotné správce či zpracovatele osobních údajů, nýbrž se vztahovala na osoby, které jsou s nimi ve smluvním vztahu - zaměstnance i smluvní partnery, a na všechny další osoby, které přichází do styku s osobními údaji při realizaci svých zákonných povinností. Kdokoliv, kdo přišel při své činnosti do styku s osobními údaji nebo s bezpečnostními opatřeními správců či zpracovatelů, byl ze zákona povinen zachovávat o těchto skutečnostech mlčenlivost, jinak se dopustil přestupku s hrozící pokutou až 100.000,- Kč. Tato povinnost mlčenlivosti trvala ze zákona bez časového omezení.

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Je pravdou, že současný zákon o zpracování osobních údajů[2] obsahuje právní normu téměř totožného znění. Z jazykového srovnání ust. § 47 zákona o zpracování OÚ s ust. § 15 zákona o ochraně OÚ by tak bylo možno nabýt dojmu, že k žádné legislativní změně nedošlo a zaměstnanci, smluvní partneři a další osoby jsou povinováni k mlčenlivosti shodně jako za dřívější právní úpravy. Opak je však pravdou.

Ustanovení § 47 zakotvující danou povinnost mlčenlivosti je systematicky zařazeno v Hlavě IV. současného zákona, která reguluje pouze ochranu osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky. Předmětná povinnost se tak vztahuje, jak zmiňuje i důvodová zpráva k zákonu č. 110/2019 Sb. , toliko na zpracování prováděné zpravodajskými službami, tj. na zpracování zcela mimo působnost nařízení GDPR[3].

Na zpracování osobních údajů prováděná při jiných činnostech, např. zpracování podnikatelskými subjekty či orgány veřejné správy, na která dopadá nařízení GDPR, se tato norma[4] dle systematického a teleologického výkladu práva vůbec nevztahuje. Bylo-li by úmyslem zákonodárce stanovit tuto povinnost pro všechna zpracování regulovaná zákonem o zpracování OÚ, byla by právní norma zakotvena buď Hlavě I. zákona se základními ustanoveními, nebo v závěru předpisu v hlavě se společnými ustanoveními, která však zcela absentuje. Žádná z těchto možností však využita nebyla. Důvodová zpráva k zákonu o zpracování OÚ o vypuštění této povinnosti ve vztahu k jiným zpracováním než zpravodajskými službami mlčí a není tak zcela zřejmé, zda se jedná o úmysl či spíše opomenutí zákonodárce.

Důsledkem shora popisovaného tak je, že pro zpracování regulovaná nařízením GDPR, kterým byla v uplynulých dvou letech věnována největší pozornost, není zakotvena v současnosti zákonná povinnost mlčenlivosti o osobních údajích pro zaměstnance či smluvní partnery správce či zpracovatele, když ji nenalezneme ani v hlavě I. se základními ustanoveními, ani v hlavě II. pro zpracování podle nařízení, ani v samotném nařízení GDPR.

V rámci úpravy svých právních poměrů a postupů v návaznosti na účinnost nařízení GDPR se přitom řada zaměstnavatelů spoléhala na to, že zaměstnanci jsou ze zákona vázáni mlčenlivostí, a z toho důvodu nepřistoupili k zakotvení takové povinnosti do pracovních smluv či k podpisu dodatků k již uzavřeným pracovním smlouvám. Od 24.4.2019 však povinnost zaměstnanců zachovávat mlčenlivost o osobních údajích, s nimiž přišli po tomto datu do styku, a o bezpečnostních opatřeních zaměstnavatele není v právním řádu nikde výslovně zakotvena.

V případě zaměstnanců ve veřejné sféře, tj. vyjmenovaných v ust. § 303 odst. 1 zákoníku práce[5], je v ust. § 303 odst. 2 zákoníku práce zakotvena povinnost zachovávat mlčenlivost, která je však podmíněna tím, že sdělení takových skutečností by nebylo v zájmu zaměstnavatele. V případě zaměstnanců v soukromém sektoru je situace ještě o něco složitější, neboť povinnost mlčenlivosti by bylo možno dovozovat jedině prostřednictvím interpretace povinnosti nejednat v rozporu s oprávněnými zájmy zaměstnavatele zakotvené v ust. § 301 písm. d) zákoníku práce. V obou těchto případech se tedy nejedná o obecnou jednoznačnou povinnost mlčenlivosti ve vztahu ke všem osobním údajům, nýbrž bylo by nutno při domáhání se náhrady škody vůči zaměstnanci prokázat nejen prozrazení osobních údajů, ale navíc i to, jaké jsou zájmy zaměstnavatele a že „vyzrazení“ osobních údajů bylo s takovými zájmy v rozporu. Lze si poměrně snadno představit úspěch takového postupu představit v případě vyzrazení citlivých údajů o pacientech nemocnice, v případě nezachování mlčenlivosti o výši mezd jednotlivých zaměstnanců již však zaměstnavatel bude rozpor s jeho zájmy a oprávněnost takového jeho zájmu prokazovat jen velmi složitě. Nelze tak než doporučit výslovné smluvní zakotvení povinnosti mlčenlivosti, ideálně formou dodatku pracovní smlouvy.

Rovněž ti správci osobních údajů, kteří se na zákonné zakotvení povinnosti mlčenlivosti spoléhali ve vztahu ke svým smluvním partnerům, by měli nově přistoupit k výslovnému smluvnímu sjednání. Přinejmenším z toho důvodu, že ust. čl. 28 nařízení GDPR s povinností mlčenlivosti osob provádějících zpracování výslovně počítá. Absence takové povinnosti by tak šla v neprospěch správců i zpracovatelů.

Závěrem tak nelze než vytknout zákonodárci uvedené opomenutí umocněné tím, že k účinnosti zákona o zpracování OÚ (a k popisované legislativní změně) došlo až 11 měsíců poté, co nabylo účinnosti nařízení GDPR. Řada správců tak bude nucena opakovat proces realizovaný před rokem a opětovně revidovat své smluvní vztahy a smluvní podmínky a upravovat je, jakož i zaškolovat zaměstnance.

Mgr. Martina Sedlářová,
advokátka

HSP Partners advokátní kancelář v.o.s.

Vodičkova 710/31
110 00 Praha 1

Tel.: +420 734 363 336
e-mail: ak@akhsp.cz

_______________________________________________
[1] Zák. č. 101/2000 Sb. , o ochraně osobních údajů a změně některých zákonů, ve znění platném do 28.4.2019
[2] Zák. č. 110/2019 Sb. , o zpracování osobních údajů, ve znění platném a účinném
[3] Nařízení Evropského parlamentu a Rady (EU) č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), ve znění platném a účinném
[4] Myšleno právní norma zakotvená v ust. § 47 zákona o zpracování OÚ
[5] Zák. č. 262/2006 Sb. , zákoník práce, ve znění platném a účinném

Mgr. Martina Sedlářová (HSP Partners advokátní kancelář)

22. 5. 2019

pošli emailem

vytiskni článek