Zpracování citlivých osobních údajů zaměstnanců – kvadratura kruhu
Generální advokát Soudního dvora EU vydal na konci září stanovisko, které vyjasňuje požadavky kladené na národní legislativu, vydanou za účelem doplnění a specifikace GDPR. Tato legislativa musí být zejména dostatečně konkrétní a musí obsahovat vhodná opatření na ochranu práv a svobod subjektů údajů – nestačí tedy jen zopakovat obecné fráze z GDPR, ale prakticky doplnit něco dalšího, detailnějšího a pro daný kontext přiléhavějšího.
Generální advokát posuzoval soulad evropského práva a německé legislativy přijaté na základě tzv. otevřeného ustanovení v GDPR. Tato ustanovení umožňují členským státům přijmout specifická pravidla pro zpracování osobních údajů v některých zvláštních oblastech, a tím se do určité míry odchýlit od jednotné evropské úpravy. V německém případě šlo konkrétně o zvláštní pravidla pro zpracování osobních údajů zaměstnanců ve školství přijatá na základě čl. 88 GDPR. Těchto ustanovení, resp. ustanovení, která nesou podobné rysy, je v nařízení celá řada, a proto je toto stanovisko generálního advokáta významné nejen pro případ německých učitelů.
Generální advokát potvrdil, že na základě otevřeného ustanovení v čl. 88 GDPR mohou členské státy přijmout konkrétnější pravidla k zajištění ochrany práv a svobod ve vztahu ke zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním, a to za účelem naplnění konkrétních účelů, jakými jsou např. nábor, zajištění rovnosti a rozmanitosti na pracovišti, ochrana zdraví a bezpečnosti na pracovišti nebo ochrana majetku zaměstnavatele.
Problematický bod byl ale ve způsobu, jakým se německý zákonodárce rozhodl čl. 88 GDPR využít. Příslušné ustanovení německého zákona toliko stanovilo, že osobní údaje zaměstnanců mohou být zpracovávány, pokud je to nezbytné pro účel vzniku, plnění, skončení nebo vypořádání pracovního poměru a pro provádění vnitřních plánovacích a organizačních nebo personálních nebo sociálních opatření. Jinými slovy tak německý zákon pouze vymezil velmi obecně a široce účely, pro něž je možné osobní údaje zaměstnanců zpracovat, je-li to nezbytné.
Dle názoru generálního advokáta takové ustanovení národního práva nesplňuje podmínky čl. 88, a to zejména s ohledem na to, že se nejedná o „konkrétnější ustanovení“ a nejsou v něm stanovena „zvláštní a vhodná opatření zajišťující ochranu lidské důstojnosti, oprávněných zájmů a základních práv subjektů údajů“. O konkrétnější ustanovení se nejedná zejména proto, že německý zákon v podstatě jen opakuje, že je možné zpracovávat osobní údaje nezbytné k dosažení uvedených účelů, a tedy jde v podstatě o zopakování zásady účelového omezení a minimalizace zpracování dle čl. 5 GDPR. Jakékoliv další záruky pro práva a svobody subjektů údajů pak prostě absentují.
Domníváme se, že tato logika (pokud ji akceptuje i senát Soudního dvora) bude použitelná rovněž pro další otevřená ustanovení, resp. ustanovení, kterými GDPR odkazuje na národní právo a požaduje přitom určitou kvalitu takových národních pravidel. Takovým ustanovením by mohl být např. čl. 9 odst. 2, který umožňuje zpracování tzv. zvláštních kategorií osobních údajů (např. údajů o zdravotním stavu) za předpokladu, že je takové zpracování upraveno právem členského státu, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektů údajů.
Tato ustanovení mají poměrně velký praktický význam, jelikož jsou například základem pro zpracování osobních údajů o zdraví zaměstnanců nebo pro zpracování osobních údajů při klinických testech a podobně. Osobní údaje o zdravotním stavu zaměstnanců přitom byly zpracovávány v masivním měřítku v uplynulých dvou pandemických letech. Nechme stranou, nakolik příslušná mimořádná opatření Ministerstva zdravotnictví (jež byla často a z různých důvodů rušena správními soudy) stanovovala dostatečně konkrétní pravidla a poskytovala záruky pro ochranu práv a svobod subjektů údajů. Nicméně Ministerstvo práce a sociálních věcí vydalo stanovisko, dle kterého by zaměstnavatelé měli být oprávněni testovat zaměstnance na COVID-19 (a tedy i zpracovávat příslušné osobní údaje o zdravotním stavu) na základě obecné povinnosti zajišťovat bezpečné pracovní prostředí dle § 102 zákoníku práce. Dle logiky stanoviska generálního advokáta je přitom právě takové obecné ustanovení zcela nezpůsobilé, aby sloužilo jako národní upřesnění pravidel zpracování osobních údajů dle GDPR. Nejen že není dostatečně konkrétní co do způsobu a rozsahu zpracování osobních údajů, ale neobsahuje vůbec žádné záruky pro práva a svobody subjektů údajů.
Nejedná se ale pouze o pravidla pro testování zaměstnanců na COVID-19 (která jsou, doufejme, již loňský sníh). Neuralgickým bodem zpracování citlivých údajů o zaměstnancích jsou tzv. politiky diverzity. Tj. opatření která mají za cíl bojovat s diskriminací na pracovišti, případně pomoci napravovat některé nerovnosti v zastoupení různých skupin společnosti mezi zaměstnanci.
Ač se často jedná o věc, se kterou se potýkají zaměstnavatelé z důvodů požadavků svých matek pocházejících z anglosaského světa, stávají se tyto požadavky standardem i v zemích kontinentální (západní) Evropy. České právo v současné době přitom prakticky nedává možnost, jak zpracovávat citlivé osobní údaje zaměstnanců týkající se např. pohlaví, etnicity nebo náboženského vyznání a správci se často odvolávají právě na různá velmi obecná ustanovení zákona. Jak však již bylo řečeno, logikou aktuálního stanoviska generálního advokáta jsou taková ustanovení spíše nezpůsobilá poskytnout platný právní základ. Obdobná situace nastává, pokud chtějí zaměstnavatelé prověřovat trestní bezúhonnost potenciálních budoucích zaměstnanců. Pro zpracování souvisejících údajů o trestných činech nebo dokonce o konkrétních rozsudcích v trestních věcech ze strany zaměstnavatelů fakticky neexistuje v českém právu zákonné ustanovení, které by uspokojovalo požadavky GDPR, jak je vykládá generální advokát Soudního dvora.
Zpracování citlivých osobních údajů zaměstnanců v českém prostředí tak trochu připomíná kvadraturu kruhu. Vhodným řešením by samozřejmě bylo přijetí komplexní právní úpravy, např. formou novely zákoníku práce. Vzhledem ke kontroverznosti tohoto tématu (ať již testování na covid nebo otázek spojených s diverzitou a diskriminací na pracovišti) je to však řešení málo pravděpodobné. Proto je potřeba hledat vždy jednotlivá řešení ad hoc dle konkrétní situace každého zaměstnavatele, a to nejlépe formou nastavení a dodržování transparentních interních pravidel.
Mgr. Richard Otevřel,
counsel
Mgr. Vojtěch Bartoš,
advokát
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz