Zaměstnavatel jako správce osobních údajů zaměstnanců
Jakým způsobem může zaměstnavatel zpracovávat osobní údaje svých zaměstnanců? Jak taková data následně ochránit? Je k jejich zpracování třeba souhlas zaměstnance? Tyto i další otázky se pokusí zodpovědět následující článek.
Problematika ochrany osobních údajů je upravena na národní úrovni především zákonem č. 101/2000 Sb. , o ochraně osobních údajů (dále jen jako „zákon o ochraně osobních údajů“ či „ZOOÚ“). Na úrovni Evropské Unie v nedávné době vstoupilo v platnost nové nařízení týkající se osobních údajů1, které nabude účinnosti 25. května 2018 a jemuž bych se ráda věnovala v jednom ze svých příštích článků.Základní pojmy
Osobním údajem se dle zákona o ochraně osobních údajů rozumí taková informace, na základě které lze subjekt údajů identifikovat, a to jak použitím jedné informace, tak i jejich kombinace. V praxi se typicky jedná například o jméno a příjmení, datum narození, adresu bydliště fyzické osoby nebo její telefonní číslo.
Zpracováním osobních údajů se rozumí jakékoli nakládání s osobními údaji, zejména jejich shromažďování, ukládání na nosiče informací, úprava či pozměňování, vyhledávání v nich či jejich likvidace.
Za subjekt osobních údajů je považován ten, o jehož osobní údaje se jedná. Správcem osobních údajů je v pracovněprávních vztazích zpravidla zaměstnavatel.
V souladu s platnými právními předpisy je zaměstnavatel oprávněn zpracovávat osobní údaje pouze se souhlasem zaměstnance, jakožto subjektem osobních údajů. Z této povinnosti existují ale výjimky, kdy zaměstnavatel souhlas zaměstnance ke zpracování osobních údajů nepotřebuje, a to pokud zaměstnavatel zpracovává osobní údaje zaměstnance za účelem dodržení jeho právních povinností nebo zpracování nezbytné pro ochranu jeho práv a právem chráněných zájmů, není-li toto zpracování v rozporu s právem zaměstnance na ochranu jeho soukromého a osobního života.
Taxativní výčet případů, kdy není třeba udělovat souhlas ke zpracování osobních údajů je uveden v ustanovení §5 odst. 2 zákona o ochraně osobních údajů. Zpracováváním osobních údajů za účelem splnění zaměstnavatelových právních povinností jsou například úkony související s přihlášením zaměstnance pro účely sociálního a zdravotního pojištění či úkony související se mzdovou agendou, neboť takové povinnosti zaměstnavatele vyplývají přímo ze zákona, konkrétně například ze zákona č. 586/1992 Sb. , o daních z příjmů či ze zákona č. 48/1997 Sb. , o veřejném zdravotním pojištění.
V praxi jsou takovými údaji, k jejichž zpracování není nutné souhlas zaměstnance opatřovat, například pro účely vyplnění evidenčních listů důchodového pojištění zasílaného na příslušnou OSSZ jméno, příjmení, datum a místo narození, rodné číslo a místo trvalého pobytu. Tyto údaje se zdají být samozřejmými a zaměstnavatel s nimi zpravidla disponuje již při uzavírání pracovní smlouvy se zaměstnancem. Souhlas ale není třeba udělovat v určitých případech ani ohledně zpracování osobních údajů třetích osob sdělených zaměstnancem zaměstnavateli, typicky dětí zaměstnance pro účely prohlášení poplatníka daně z příjmu.
Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) ve svém stanovisku č. 3/2014 k nadbytečnému vyžadování souhlasu se zpracováním osobních údajů a souvisejícímu nesprávnému plnění informační povinnosti jde ve výkladu zákona ještě dále a je toho názoru, že vyžadování souhlasu zaměstnance v případech popsaných výše není nejen nezbytné, nýbrž je dokonce nežádoucí a zaměstnavatel by souhlas vůbec po zaměstnanci v těchto případech neměl vyžadovat. Takovýto postup je podle ÚOOÚ tedy nejen nadbytečný, ale také pro zaměstnance klamavý a matoucí, neboť zaměstnanec by z takového postupu mohl získat dojem, že poskytnutí svých osobních údajů pro takové účely je založeno na principu dobrovolnosti. Vhodným řešením je například začlenit již do pracovní smlouvy ustanovení, dle něhož zaměstnanec bere na vědomí, že zaměstnavatel je oprávněn zpracovávat jeho osobní údaje v rozsahu nezbytném pro plnění povinností zaměstnavatele vyplývající z platných právních předpisů, či se souhlasem vůbec nezabývat a do pracovní smlouvy nezahrnovat ani takové ustanovení.
Skutečnost, že pro účely zpracovávání výše zmiňovaných osobních údajů zaměstnance není třeba jeho souhlas, ale neznamená, že by s nimi zaměstnavatel mohl zacházet zcela libovolně. Správce osobních údajů, respektive zaměstnavatel, je dle §5 odst. 1 písm. zákona o ochraně osobních údajů
oprávněn zpracovávat osobní údaje subjektu (zaměstnance) pouze za stanoveným účelem a v rozsahu nezbytném pro jeho naplnění. Pokud by chtěl zaměstnavatel používat osobní údaje zaměstnance za jiným účelem, než který vyplývá ze zákona či z pracovní smlouvy apod., je tak samozřejmě možné činit, ale již se souhlasem zaměstnance.
Pokud je souhlas zaměstnance skutečně vyžadován, je nezbytné, aby splňoval náležitosti dané zákonem o ochraně osobních údajů, a sice musí se jednat o souhlas svobodný a vědomý a zaměstnanec musí při jeho udělení být informován o tom, pro jaký účel zpracování a k jakým osobním údajům souhlas uděluje. Zaměstnavatel musí být schopen existenci takového souhlasu prokázat po celou dobu zpracování údajů. Je tedy více než vhodné, aby byl souhlas udělen písemně.
V případě, že by zaměstnavatel nedisponoval zaměstnancovým souhlasem ke zpracování osobních údajů v těch případech, kdy je takový souhlas nezbytný, dopustil by se správního deliktu, za který mu může být udělena pokuta až do výše pět milionů korun.
Správce osobních údajů má informační povinnost vůči ÚOOÚ v těch případech, kdy zpracovává osobní údaje subjektů osobních údajů za jiným účelem než za účelem splnění svých povinností vyplývajících z platných právních předpisů. Lze shrnout, že oznamovací povinnost zaměstnavateli nevzniká, pokud zpracovává pouze takové údaje zaměstnanců a takovým způsobem, že k tomu není vyžadován jejich souhlas.
Ochrana a zabezpečení osobních údajů zaměstnanců
Zaměstnavatel jakožto správce osobních údajů svých zaměstnanců má značné povinnosti vyplývající ze zákona o ochraně osobních údajů. Je oprávněn shromažďovat osobní údaje pouze v rozsahu a době nezbytné pro naplnění stanoveného účelu a je povinen zabezpečit, aby osobní údaje zaměstnanců nemohly být zneužity a aby k nim neměly přístup třetí osoby.
Především v menších společnostech bývá z hlediska ochrany osobních údajů problematické předávání výplatních listů zaměstnanců, neboť se tak často děje způsobem, v rámci kterého se mohou výši mzdy i odměny seznámit i ostatní zaměstnanci. Informace o mzdě jsou rovněž osobními údaji a i při předávání výplatních listů by měla být respektována jejich ochrana. Vhodným způsobem je například předávat výplatní listy v zalepených obálkách apod.
Závěrem
V souvislosti s přijetím nového nařízení EU týkajícího se ochrany osobních údajů lze očekávat mnohé změny v této oblasti, přičemž jak jsem již naznačila výše, zmíněnému nařízení bych se ráda věnovala v jednom ze svých příštích článků.
Mgr. Lucie Tahotná,
advokátka
email: kancelar@legalprague.cz
_____________________________________
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) dostupné <<<zde
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz