Obecné zásady bezpečného zpracování osobních údajů na pracovních cestách
Pracovní cesty jsou nezbytnou součástí výkonu práce mnohých zaměstnanců. Úvodem připomeňme, že pracovní cestou se rozumí časově omezené vyslání zaměstnance zaměstnavatelem k výkonu práce mimo sjednané místo výkonu práce. Zaměstnavatel může vyslat zaměstnance na dobu nezbytné potřeby na pracovní cestu jen na základě dohody s ním. Na pracovní cestu tedy může být vyslán zaměstnanec jen tehdy, pokud s vysláním souhlasí. Mnohdy však zaměstnanci čas strávený jízdou využívají k výkonu práce a pracují s osobními údaji ostatních zaměstnanců, klientů či jiných fyzických osob.
Rozebereme si základní povinnosti, jak postupovat, aby zaměstnanec neporušil své povinnosti při nakládání s osobními údaji fyzických osob.
Současné trendy v komunikaci (email, skype, telefon, Zoom, Teams...) umožňují výkon práce z různých míst, a to nejen z pracoviště daného zaměstnance. Příkladem je, pokud zaměstnanec cestuje na pracovní cestu hromadným prostředkem. Zaměstnanci pracují na notebooku, telefonují a již při průchodu velkoprostorovým vozem vlaků lze vidět rozepsané emaily, dokumenty či si lze vyslechnout různé telefonní hovory. Právě v této souvislosti by mohlo dojít k porušení povinnosti při nakládání s osobními údaji fyzických osob. Je povinností zaměstnavatele, aby zabezpečil, že při zpracování osobních údajů budou jeho zaměstnanci postupovat v souladu s právními předpisy. Základními předpisy je zákon č. 110/2019 Sb., o zpracování osobních údajů a dále Nařízení Evropského parlamentu a Rady (EU) 2016/679 (nařízení GDPR).
Jaké jsou základní povinnosti zaměstnavatele při nakládání s osobními údaji?
Zaměstnavatel je povinen zpracovávat osobní údaje svých zaměstnanců korektně, zákonným a transparentním způsobem. Je povinností zaměstnavatele zajistit náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických a organizačních opatření před neoprávněným či protiprávním zpracováním osobních údajů. Tato technická a organizační opatření však nejsou právními předpisy blíže konkretizována.
Doporučení postupu pro zaměstnavatele při ochraně osobních údajů
Povinností zaměstnavatele je zabezpečit osobní údaje takovým způsobem, který zohledňuje potenciální rizika pro zájmy a práva subjektu údajů, tedy například klientů či ostatních zaměstnanců. Žádný právní předpis nestanoví konkrétně, jakým způsobem má být zabezpečení osobních údajů provedeno. Povinností zaměstnavatele proto je, aby poučil své zaměstnance, jak nakládat s osobními údaji, jelikož za zpracování osobních údajů zaměstnanců, klientů či obchodních partnerů nese odpovědnost především zaměstnavatel, jenž prostřednictvím svých zaměstnanců s osobními údaji nakládá. Lze doporučit vytvoření interního pokynu (směrnice) ohledně zabezpečení osobních údajů. V této směrnici je mimo jiné vhodné poučit zaměstnance v souvislosti s pracovní cestou, že při vyřizování telefonních hovorů, stejně jako při vyřizování e-mailové komunikace, jsou zaměstnanci povinni zajistit, aby třetí osoba nemohla získat přístup k osobním údajům (zejména při cestování v dopravních prostředcích hromadné přepravy, při vyřizování telefonních hovorů na veřejnosti, v případě spolucestujících formou handsfree apod.). Zaměstnanec nesmí ponechávat nosiče osobních údajů na místě, kde hrozí zneužití, ztráta, přístup či jiné porušení zabezpečení ohledně osobních údajů. Příkladem je, že nesmí ponechat dokumenty, nosiče, notebooky ve vozidlech, v hromadném prostředku bez dozoru apod. Rovněž je vhodné, aby zaměstnavatel poučil své zaměstnance, že je zakázáno ponechávat dokumenty či nosiče (mobilní telefony, notebooky, flash disky, CD…) osobních údajů bez dozoru na veřejně dostupném místě, kam se mohou dostat i cizí osoby. Je vhodné, aby zaměstnavatel své zaměstnance zavázal k povinnosti neponechávat notebooky ani mobilní telefony bez dozoru a aby zakázal možnost přenechat je k užívání jiné osobě kromě jiného zaměstnance zavázaného mlčenlivostí, pokud to není nezbytné z důvodu plnění zákonem stanovené povinnosti (např. letištní kontrola), případně z důvodu životně důležitých zájmů. Zejména v případě, že zaměstnanec vyřizuje telefonní hovory na veřejnosti, je povinen dodržovat mlčenlivost ohledně osobních údajů a zamezit náhodnému seznámení třetích osob s osobními údaji jiné fyzické osoby.
V souvislosti s pracovními cestami je vhodné rovněž upozornit zaměstnance, že je zaměstnancům zakázáno zpracovávat osobní údaje fyzických osob v souvislosti s výkonem práce prostřednictvím veřejně dostupných wifi sítí, jelikož je zde zvýšené riziko zneužití osobních údajů. Z hlediska technického zabezpečení je pak vhodné, aby probíhalo pravidelné zálohování počítačů. Stejně tak je nutné myslet na dostatečné zabezpečení notebooků a mobilních telefonů heslem, antivirem atd.
Zaměstnavatelům lze doporučit, aby zpracovali vnitřní předpisy ohledně povinností zaměstnanců při nakládání s osobními údaji a srozumitelnou formou zaměstnancům vysvětlili jejich povinnosti při zpracování osobních údajů. S touto směrnicí je pak nutné zaměstnance, na něž se směrnice vztahuje, seznámit a zaměstnavatel by měl vyžadovat dodržování této směrnice a její dodržování kontrolovat. Dále je vhodné, aby klíčové zaměstnance v souvislosti se zpracováním osobních údajů zaměstnavatel zavázal dohodou o mlčenlivosti, a to i po skončení pracovního poměru.
JUDr. Irena Valíčková, MBA,
advokátka
Valíček & Valíčková, advokátní kancelář
Václavské nám. 47, Praha
Dukelská 12, Vyškov
Petra Bezruče 2, Ivančice
email: info@brno-advokatnikancelar.cz
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
