Právní tituly definuje Nařízení GDPR v čl. 6 a jsou jimi:

• souhlas se zpracováním osobních údajů;
• zpracování nezbytné pro splnění smlouvy;
• zpracování nezbytné pro splnění právní povinnosti;
• zpracování nezbytné pro ochranu životně důležitých zájmů;
• zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu;
• zpracování nezbytné pro účely oprávněných zájmů.

Souhlas se zpracováním osobních údajů udělený ze strany zaměstnance

Nařízení GDPR definuje souhlas se zpracováním osobních údajů jako potvrzení, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů[1]. K tomu nařízení dále stanoví, že aby byl souhlas svobodný, neměla by mezi subjektem údajů a správcem existovat jasná nerovnováha[2]. Ve sféře pracovní však v onom svobodném svolení nastává problém, mezi zaměstnavatelem jakožto správcem a zaměstnancem jakožto subjektem údajů totiž panuje vztah nadřízenosti a podřízenosti, tedy vztah nerovnosti prima facie.

K dané problematice se vyjádřil i Evropský sbor pro ochranu osobních údajů (EDPB) tak, že ve většině případů zpracování osobních údajů zaměstnanců na pracovišti nemůže být právním základem souhlas zaměstnanců a ani by jím vzhledem k povaze vztahu mezi zaměstnavatelem a zaměstnancem být neměl[3]. Dále i Pracovní skupina pro ochranu údajů zřízená podle článku 29 (WP 249) ve svém stanovisku vyjádřila názor, že „vzhledem k závislosti vyplývající ze vztahu zaměstnavatel/zaměstnanec zaměstnanci téměř nikdy nejsou schopni svobodně udělit, odmítnout nebo zrušit souhlas. Vzhledem k nerovnováze moci mohou zaměstnanci udělit svobodný souhlas pouze za výjimečných okolností, kdy se s přijetím nebo odmítnutím nabídky nepojí žádné důsledky[4].”

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Ne všechna zpracování v pracovněprávních vztazích lze ovšem podřadit pod jiné právní tituly a v praxi tak zpravidla nastanou situace, kdy je užití souhlasu ze strany zaměstnanců nevyhnutelné. K jeho vyžadování je však třeba přistupovat pouze v nezbytných případech a po předchozím zvážení jeho přiměřenosti.

Kdy tedy souhlas vyžadovat?

Před samotným zpracováním osobních údajů je vždy třeba vyhodnotit účel zpracování a veškeré souvislosti s ním související. V praxi se často stává, že (nejen) zaměstnavatelé používají souhlas jako jistou pojistku v případě, kdy si právní úpravou nejsou zcela jisti. Takové jednání je ale v rozporu s Nařízením GDPR, jelikož dochází k nadbytečnému získávání souhlasu a u zaměstnanců může vzbuzovat dojem, že poskytnutí předmětných osobních údajů a jejich zpracování je zcela dobrovolné[5].

V praxi bude zaměstnavatel oprávněn zpracovávat osobní údaje zaměstnance bez jeho souhlasu zejména na základě právních titulů zpracování nezbytného pro účely splnění smlouvy[6] a pro účely splnění právní povinnosti[7]. Tyto povinnosti spočívají např. ve výpočtu mzdy, hlášení na sociálním úřadě či odvodu sociálního a zdravotního pojištění. Jednat se bude o osobní údaje jako jméno, příjmení (případně dřívější příjmení), datum a místo narození, rodné číslo.

Dále také pokud zaměstnanec uplatňuje slevu na daních na děti, zaměstnavatel zpravidla zpracovává i rodná čísla dětí těchto zaměstnanců. Rovněž pokud zaměstnavatel za své zaměstnance podává daňová přiznání, zpracovává i informace o jejich manželích[8].

V případě, že by chtěl zaměstnavatel zpracovávat i jiné osobní údaje, lze některá zpracování založit na oprávněném zájmu[9], vždy je však třeba posoudit, zda zájem zaměstnavatele převažuje nad zájmy jeho zaměstnanců, tedy jejich základními právy, svobodami a zájmy. Lze hovořit např. o zpracování kontaktních údajů zaměstnance, jako je telefonní číslo a e-mail – jejich zpracování sice není nezbytné pro účely splnění smlouvy ani právní povinnosti, ovšem vzhledem k povaze jejich vztahu se takové zpracování jeví jako vhodné.

Konkrétní případy

Následující případy mají za cíl prakticky popsat nejčastější situace, kdy je pro zaměstnavatele obtížné určit, zda je souhlas zaměstnance nezbytný či naopak nadbytečný.

1. Fotografie na webových stránkách

Zaměstnavatelé často uveřejňují fotografie zaměstnanců na svých webových stránkách. Takové zpracování však nelze pod účely splnění smlouvy, účely splnění zákonné povinnosti či dokonce pod oprávněný zájem zaměstnavatele vždy podřadit, a proto se většině případů jeví jako vhodné jej souhlasem se zpracováním osobních údajů opatřit.

Výjimkou zde mohou být např. situace, kdy zaměstnavatel uveřejňuje fotografie svých vedoucích zaměstnanců nebo fotografií všech zaměstnanců v rámci interního systému.

2. Fotografie a videa z firemních akcí

Pro uveřejnění (v přiměřeném rozsahu) fotografií a videí pořízených v rámci firemních akcí není zaměstnavatel povinen vyžadovat souhlas svých zaměstnanců ani případných jiných fyzických osob. U fotografií a videí pořízených a uveřejněných za účelem pouhé dokumentace firemní akce, resp. účelem informativním, se totiž uplatní výjimka tzv. zákonné zpravodajské licence. Platí však, že ani v rámci doprovodných údajů a popisků by osobní údaje neměly být uváděny.

Rozdílně je ovšem posuzována situace, kdy dochází k uveřejňování fotografií a videí nikoliv pro účely informativní, nýbrž pro účely marketingové (typicky za účelem získání nových uchazečů). V případě takového cíleného použití fotografií a videí totiž nelze výjimku zákonné zpravodajské licence použít a ze strany zaměstnavatele je tak třeba vyžádat si od osob na fotografiích a videích zachycených souhlas.

3. Kontrola docházky otiskem prstu

Otisk prstu je biometrickým údajem spadajícím do zvláštních kategorií osobních údajů, pro které Nařízení GDPR stanovuje v čl. 9 přísnější pravidla než pro “běžné“ osobní údaje. Z možných výjimek tohoto článku lze na docházkové a obdobné systémy aplikovat pouze výslovný souhlas zaměstnance.

Implementovat takový docházkový systém je však v praxi velmi obtížné, kontrolovat docházku zaměstnanců lze totiž i pomocí méně invazivních prostředků, jako jsou např. čipové karty, které vedou k naplnění téhož. Aby byl takový souhlas prokazatelně svobodný, musel by zaměstnavatel zaměstnancům nabídnout např. alternativu v podobě čipových karet, kdy by si mezi těmito dvěma způsoby kontroly docházky mohli zaměstnanci svobodně vybrat.

Pokud se pro takový způsob kontroly zaměstnavatel rozhodne, bude muset veškeré své kroky nejen řádně zdokumentovat, ale především je zdůvodnit a obhájit.

4. Sledování služebního automobilu

Sledování služebního automobilu prostřednictvím GPS za účelem ochrany oprávněných zájmů zaměstnavatele není v praxi problematické do doby, kdy je poskytnutý automobil užíván pouze ke služebním účelům. Zde je totiž zřejmé, že se uplatní právní titul oprávněného zájmu zaměstnavatele spočívající v ochraně majetku a v kontrole nakládání s prostředky poskytnutými zaměstnancům.

Ovšem v situacích, kdy je zaměstnancům umožněno užívat služební vozidlo i k soukromým účelům, zaměstnavatelé často přistupují k opatření takového sledování právě souhlasem se zpracováním osobních údajů, ten je ale v těchto případech nadbytečný. Danou problematikou, ve které dlouho panovalo nejasno, se zabýval i Úřad pro ochranu osobních údajů, který ji objasnil následovně: „umožní-li zaměstnavatel využívat služební vozidlo zaměstnanci i k soukromým účelům, jde o určitý druh benefitu. (...) Zaměstnanec by měl být na použití GPS sledování upozorněn, a to v rozsahu informace podle čl. 13 GDPR. Využije-li zaměstnanec vozidlo i v rámci svých soukromých aktivit, je nadále oprávněným zájmem zaměstnavatele chránit svůj majetek prostřednictvím GPS. Pokud podmínku zaměstnavatele ohledně GPS zaměstnanec neakceptuje, nedojde k uzavření smlouvy o použití vozidla, a nebude tak oprávněn předmětný benefit čerpat[10].“

Sledování služebního automobilu poskytnutého zaměstnanci i pro soukromé účely je tedy možné, a to na základě právního titulu oprávněného zájmu zaměstnavatele. Je však důležité zdůraznit, že zaměstnavatel by sledování měl omezit pouze na tento účel, jakékoli intenzivnější narušování soukromí zaměstnance by bylo v rozporu s § 316 odst. 2 a 3 zákona č. 262/2006 Sb. , zákoník práce.

5. Vedení evidence zájemců o zaměstnání

Souhlas se naopak jako vhodný jeví v případě vedení evidence o případných zájemcích o zaměstnání do budoucna. Zde totiž dochází ke zpracování a uchování často důvěrných informací (někdy i údajů zvláštní kategorie) zaměstnavatelem pro účely jiné než pro výběr uchazeče na konkrétní pracovní pozici.

Oproti tomu v případě právě již výběru uchazeče na konkrétní pracovní pozici by byl souhlas se zpracováním osobních údajů nadbytečný, jelikož poskytnutí takových informací je pro jeho výběr a následné uzavření pracovní smlouvy nezbytné.

NAŠE DOPORUČENÍ

Zaměstnavatelé by tedy k souhlasu se zpracováním osobních údajů udělovaných ze strany jejich zaměstnanců měli přistupovat vždy po předchozím uvážení a pouze v nezbytných případech. Zejména vzhledem k nerovné povaze jejich vztahu je pak třeba dbát na prokazatelnost dobrovolnosti a svobody při jeho udělování. Ve vztahu k zaměstnancům je rovněž důležité řádně plnit zákonnou oznamovací povinnost, a tedy zejména neuvádět zaměstnance v omyl nadbytečným získáváním souhlasu.

Mgr. Ivana Šilhánková,
advokátka

Simona Švarcová,
právní asistentka

LAWYA, advokátní kancelář s.r.o.

Sídlo:
Tučapy 240
683 01, Tučapy

Kontaktní adresa:
Březinova 746/29
616 00, Brno

tel.:    +420 543 216 310
e-mail: info@lawya.cz