Na úvod je vhodné uvézt, že WP29 byla ustanovena čl. 29 Směrnice a jedná se o nezávislý evropský poradní orgán na ochranu dat a soukromí. Přestože Stanovisko WP29 není právně závazné, nelze na něj nahlížet jako dokument bez jakékoliv váhy. Lze předpokládat, že národní kontrolní orgány k němu budou přihlížet. Stejně tak poskytuje relevantní argumentační podklad v případném soudním sporu.

WP29 se ve svém Stanovisku věnuje několika oblastem, jichž se monitorování zaměstnanců zaměstnavatelem může týkat. Jedná se např. o zpracování osobních údajů v průběhu náboru zaměstnanců, zpracování osobních údajů související s monitorováním používání informačních a komunikačních technologií (dále jen „ICT“) na pracovišti i mimo něj, zpracování osobních údajů související s monitorováním pracovní doby a docházky, s video monitoringem zaměstnanců či s monitoringem vozidel používaných zaměstnanci. Níže shrneme doporučení WP29 k některým z těchto oblastí.

Obecná doporučení WP29

WP29 zdůrazňuje, že každý zaměstnavatel by měl před zahájením monitorování zaměstnanců jednak vyhodnotit, za jakým účelem jej chce provádět (jaké jeho zájmy odůvodňují monitorování směrem k zaměstnancům) a tyto své zájmy porovnat v rámci testu proporcionality se zájmy zaměstnanců a s jejich právem na ochranu soukromí a osobních údajů. Zaměstnavatel by se měl ujistit, že monitorování zaměstnanců probíhá jen v  rozsahu nezbytně nutném k dosažení jeho účelu a že je toto monitorování v souladu se zásadou subsidiarity ve vztahu k užitým prostředkům.

Stanovisko varuje zejména před zpracováním osobních údajů v souvislosti s využíváním některých novějších technologií k monitoringu zaměstnanců, jejichž užití je pro zaměstnance těžší vypozorovat. Stanovisko dále varuje před stále častějším stíráním hranic mezi pracovním a domácím prostředím (v důsledku využívání home office a výkonu práce mimo pracoviště či užívání vlastních zařízení k plnění pracovních úkolů) a tím vznikajícím nebezpečím, že by mohlo docházet také k monitorování osobních aktivit a informací zaměstnance, které nesouvisejí s plněním jeho pracovních úkolů.

Ve vztahu k právnímu důvodu, na jehož základě lze v souladu se Směrnicí zpracování osobních údajů provádět[4] WP29 upozorňuje, že zaměstnavatelé by neměli jako právní důvod nadužívat souhlas zaměstnance, a to s ohledem na specifické postavení smluvních stran v pracovních vztazích. Zpracování osobních údajů zaměstnance, který má fakticky velmi omezenou možnost udělení souhlasu se zpracováním osobních údajů odmítnout, by mělo proto být primárně založeno na jiném právním základě, tj. na plnění smlouvy nebo právní povinnosti uložené zaměstnavateli, případně na oprávněných zájmech zaměstnavatele.

Zpracování osobních údajů v průběhu náboru zaměstnanců

WP29 upozorňuje zaměstnavatele na využívání osobních údajů uchazečů o zaměstnání, které jsou přístupné z jejich profilů na sociálních sítích. Pouhá skutečnost, že profil uchazeče o zaměstnání na nějaké sociální síti je veřejně přístupný, dle WP29 neznamená, že zaměstnavatelé mohou osobní údaje zde uvedené volně zpracovávat. I v takovém případě se pro zpracování vyžaduje určitý právní základ jako např. oprávněné zájmy zaměstnavatele. Uchazeči by navíc na možnost zpracování osobních údajů z profilů na sociálních sítích měli být upozorněni, např. v rámci inzerátu na pracovní pozici.

V tomto ohledu by měl zaměstnavatel brát ohled také na povahu profilu, tj. zda se jedná o profil čistě osobní či naopak o profil založený za pracovními či profesionálními účely. Zaměstnavatelé jsou vždy oprávněni zpracovávat pouze osobní údaje uchazeče o zaměstnání, jež jsou relevantní pro jeho případnou pracovní pozici, a jen po dobu nezbytně nutnou (tyto údaje by měly být zaměstnavatelem vymazány, jakmile ví, že určitého uchazeče o zaměstnání nepřijme).

Zpracování osobních údajů související s monitorováním používání informačních a komunikačních technologií

WP29 shrnuje poslední vývoj v oblasti monitorování používání informačních a komunikačních technologií zaměstnanci, které zahrnuje užívání nástroje tzv. data loss prevention (DLP), firewall příští generace (next generation firewalls), UTM řešení (ucelené řešení zabezpečení sítě), apod., dále sledování aplikací a zařízení prostřednictvím skrytých softwarů, využívání cloudových aplikací či monitorování osobních zařízení, která zaměstnanci užívají v rámci zavádění flexibilnějšího stylu práce (home office, Bring-Your-Own-Device) atd.

WP29 v tomto směru podává několik doporučení zaměstnavatelům. Jednak zdůrazňuje, že monitorování všech online aktivit zaměstnanců je v naprosté většině případů nepřiměřeným opatřením, ať už je cílem ochrana sítě zaměstnavatele, osobních údajů zaměstnanců nebo zákazníků, či jiných informací, jak proti neautorizovaným vstupům, tak proti únikům dat. Monitorování by mělo vždy být prováděno jen v nutném rozsahu. WP29 doporučuje před zahájením monitoringu vyhodnocení případných rizik prostřednictvím tzv. posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assesment), které nově zakotvuje GDPR. Konečně WP29 zdůrazňuje, že zaměstnavatelé by měli klást vyšší váhu na prevenci než následné monitorování.

WP29 ve Stanovisku upozorňuje na využívání aplikací v cloudu, které teoreticky umožňují velmi detailní zaznamenávání činností zaměstnanců. Zaměstnavatelům je doporučeno, aby v rámci užívání těchto aplikací bylo zaměstnancům umožněno vymezit si prostor, který bude striktně osobní a do něhož nebude mít přístup ani zaměstnavatel ani jiní zaměstnanci. Např. při užívání kalendáře umístěného v cloudu by mělo být zaměstnancům umožněno označit některé položky jako soukromé a tyto by pak měly být přístupné jen zaměstnanci.

WP29 se dále zabývá také monitorováním používání informačních a komunikačních technologií mimo pracoviště zaměstnavatele, které souvisí s rozvojem flexibilního pracovního stylu, se kterým souvisí také možnost home office či užívání vlastního zařízení (notebooku, mobilního telefonu) k plnění pracovních úkolů (tzv. Bring-Your-Own-Device policy). S růstem těchto trendů ovšem roste také riziko neautorizovaného vstupu či úniku dat zaměstnavatelů, kteří se mohou snažit svá data zabezpečit instalováním dodatečných monitorovacích systémů do zařízení, která zaměstnanci takto využívají.

V tomto ohledu by zaměstnavatelé měli být opatrní zejména, užívají-li zaměstnanci pro plnění svých pracovních úkolů svá vlastní zařízení, která využívají také mimo svou pracovní dobu. Zaměstnavatelé zejména nesmějí zpracovávat informace a data těchto zaměstnanců, která nesouvisejí s jejich prací, a k těmto datům si nesmějí ani zřídit přístup.

Zpracování osobních údajů v souvislosti s monitoringem vozidel používaných zaměstnanci

Používá-li zaměstnavatel ve svých vozidlech, která dává k dispozici zaměstnancům, technologie, které umožňují monitorování těchto vozidel, dochází tím automaticky také k monitorování zaměstnanců. V závislosti na konkrétní technologii mohou být shromažďována nejen data ohledně polohy vozidla, ale také informace týkající se např. rychlosti jízdy, polohy plynového pedálu, a další informace, které ve svém důsledku vypovídají o způsobu a chování zaměstnance při řízení. Vedle toho lze do vozidel umístit rovněž videokamery, jejichž cílem je zejména natočení videa, mnohdy včetně zvuku, v případě dopravní nehody.

Zatímco WP29 připouští, že v některých situacích zaměstnavatel monitorováním vozidla sleduje oprávněné zájmy, nebo dokonce plní své právní povinnosti, měla by v každém případě být vyhodnocena nezbytnost takového monitorování a vhodnost zvolených prostředků. Lze-li stanoveného cíle dosáhnout jiným způsobem, např. v případě monitoringu z důvodu bezpečnosti instalací systému blokujícího možnost telefonování za volantem, systému záchranného brždění apod., jednalo by se v případě neustálého natáčení jízdy o porušení soukromí řidiče. Některé systémy lze rovněž nastavit tak, aby natáčely jen v určitých případech, např. v návaznosti na prudké brždění, významnou změnu směru vozidla nebo náraz. Zaměstnavatelé musí zaměstnance zřetelně a srozumitelně upozornit na skutečnost, že do vozidla byla nainstalována technologie umožňující jeho monitoring.

Stanovisko upozorňuje na situace, kdy je zaměstnanec oprávněn automobil v rámci své pracovní doby využít také k osobním účelům jako např. k návštěvě lékaře. V takových případech WP29 doporučuje, aby byla zaměstnancům dána možnost tzv. opt-out, tj. aby měli možnost dočasně monitoring vypnout. WP29 dodává, že zaměstnavatelé mohou monitoring těžko opřít o své oprávněné zájmy jakožto právní základ v případě monitorování vozidla mimo pracovní dobu zaměstnance, tj. pro případy, kdy zaměstnanec automobil využívá rovněž mimo pracovní dobu.

Závěr

Stanovisko WP29 připomíná zaměstnavatelům, že ani technologický pokrok neznamená, že mohou volně a rozsáhle monitorovat aktivity svých zaměstnanců pomocí nových technologií, které umožňují monitorovat většinu pracovních (a někdy rovněž mimopracovních) aktivit zaměstnanců. Zaměstnavatelé musí vždy nejprve vyhodnotit, zda mají legitimní právní základ pro takové monitorování, musí zamýšlené monitorování podrobit testu proporcionality, a rozhodnou-li se k němu přistoupit, mělo by proběhnout jen v rozsahu nezbytně nutném k dosažení sledovaného účelu a v souladu se zásadou subsidiarity. V některých případech doporučuje WP29 nejprve provedení tzv. posouzení vlivu na ochranu osobních údajů, které má sloužit k odhalení případných rizik.


Mgr. Barbora Vrbíková,
advokátní koncipientka


BRODEC & PARTNERS s.r.o., advokátní kancelář

Rubešova 162/8
120 00  Praha 2

Tel.:    +420 224 247 215
e-mail:    info@akbrodec.cz

 
__________________________________
[1] Opinion 2/2012 on data processing at work, dostupné na www, k dispozici >>> zde (ve formátu pdf).
[2] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
[3] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[4] Tyto jsou uvedeny v čl. 7 Směrnice a nově budou v čl. 6 GDPR.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz