Citlivé údaje zaměstnanců nejen v době covidové

V současné době dochází stále častěji ke zpracování citlivých osobních údajů zaměstnanců ze strany jejich zaměstnavatelů. Vyvstává tak otázka, nakolik je takové zpracování v souladu s právními předpisy.

Aktuální obecné nařízení o ochraně osobních údajů (GDPR)^1 💬 ve svém recitálu 10 jako "citlivé osobní údaje" označuje zvláštní kategorie osobních údajů. Zvláštní kategorie osobních údajů pak toto nařízení definuje jako "osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a genetické údaje, biometrické údaje za účelem jedinečné identifikace fyzické osoby a údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby".^2 💬

Nařízení GDPR zpracování zvláštních kategorií osobních údajů obecně v čl. 9 odst. 1 zakazuje, zároveň však z tohoto zákazu v čl. 9 odst. 2 připouští několik možných výjimek. Pro oblast pracovněprávních vztahů jsou relevantní zejména výjimky stanovené pro případy, kdy zpracování zvláštních kategorií osobních údajů je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva^3 💬 nebo pro účely pracovního lékařství a pro posouzení pracovní schopnosti zaměstnance.^4 💬

Zvláštní kategorie osobních údajů lze obecně zpracovávat také v případě, kdy s takovým zpracováním dotčený subjekt údajů udělí výslovný souhlas.^5 💬 Ten musí být mimo jiné informovaný^6 💬 a kdykoliv odvolatelný.^7 💬 K problematice udělování souhlasů v pracovněprávních vztazích Evropský sbor pro ochranu osobních údajů (EDPB) v minulosti uzavřel, že "[p]ro většinu takových případů zpracování údajů na pracovišti nemůže být právním základem souhlas zaměstnanců", neboť "[v]zhledem k závislosti, jež vyplývá ze vztahu zaměstnavatel/zaměstnanec, je nepravděpodobné, že by subjekt údajů mohl svému zaměstnavateli odmítnout souhlas se zpracováním údajů, aniž by v důsledku odmítnutí zažil strach nebo skutečné riziko negativních dopadů".^8 💬

K tomu nicméně EDPB zároveň poznamenal, že tím není vyloučeno, aby zaměstnavatelé zpracování osobních údajů opírali o souhlas zaměstnanců, pakliže jsou schopni doložit, že souhlas byl udělen skutečně svobodně. Tento závěr lze tedy vztáhnout i na zpracování zvláštních kategorií osobních údajů ze strany zaměstnavatelů.

Dovodí-li zaměstnavatelé aplikaci některé z výjimek dle čl. 9 odst. 2 GDPR, musí i přesto při zpracování osobních údajů zaměstnanců pamatovat na princip minimalizace údajů.^9 💬 Tento korektiv totiž všem zaměstnavatelům přikazuje zpracovávat o zaměstnancích pouze takové osobní údaje, které jsou přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Zpracování osobních údajů v rozporu s tímto principem by znamenalo porušení nařízení GDPR.

Údaje o členství v odborech

Zákoník práce výslovně zaměstnavatelům zapovídá vyžadovat od zaměstnanců informaci o jejich členství v odborových organizacích^10 💬, aniž jsou z tohoto zákazu připuštěny nějaké výjimky.^11 💬 Zaměstnavatelé tyto údaje nesmí vyžadovat ani zprostředkovaně, tedy prostřednictvím třetích osob (například odborových organizací).^12 💬

Řada zaměstnavatelů se i přes výše uvedené domnívá, že pro realizaci dohody o srážkách ze mzdy zaměstnance, slouží-li tyto srážky pro odvod členských příspěvků zaměstnance odborové organizaci, potřebují znát údaj o členství takového zaměstnance v odborech.

Úřad pro ochranu osobních údajů (ÚOOÚ) nicméně dovodil, že pro zaměstnavatele není zpracování tohoto údaje v této souvislosti nezbytné, neboť "musí zpracovat pouze údaj, že některý zaměstnanec předložil příslušnému odbornému útvaru zaměstnavatele řádně uzavřenou písemnou dohodu o srážkách ze mzdy, ze které vyplývá, že zaměstnanec se srážkami ze mzdy souhlasil, v jaké výši a na jaký účet mají být srážky ze mzdy poukázány".^13 💬 V případě, že se zaměstnavatel z dohody o srážkách dozví "i citlivý údaj o členství zaměstnance v odborové organizaci, pak jde o vědomost, kterou obvykle dále nezpracovává a neprovádí s ní systematické operace". Nebude-li tedy zaměstnavatel s touto vědomostí dále jinak nakládat, není třeba činit žádné další kroky, přičemž v takovém případě nebude docházet k porušení zákazu dle čl. 9 odst. 1 GDPR.

Biometrické údaje

Biometrickými údaji nařízení GDPR rozumí "osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje".^14 💬 Praxe ukazuje, že zaměstnavatelé čím dál častěji vyhledávají technologie založené na zpracování těchto údajů, a to zejména pro účely kontroly vstupu do prostor či systémů. Zpracování biometrických údajů se přitom zpravidla opírá o souhlasy zaměstnanců. Takový postup je však v rozporu s právními předpisy^15 💬, ledaže zaměstnanci mohou tento souhlas udělit skutečně svobodně.^16 💬 Proto rozhodnou-li se zaměstnavatelé jít i přesto cestou souhlasu, je třeba zajistit, že zaměstnanci budou mít skutečnou možnost výběru mezi zpracováním biometrických údajů a mezi postupem, kdy ke zpracování osobních údajů nebude docházet vůbec či bude docházet pouze ke zpracování "běžných" osobních údajů. Před započetím zpracování těchto údajů si pak zaměstnavatelé musí vždy podrobně zanalyzovat, zdali je zpracování těchto údajů v konkrétním případě přiměřené a skutečně nezbytné, aby nedošlo k porušení principu minimalizace údajů.

Údaje o zdravotním stavu

Údaji o zdravotním stavu nařízení GDPR rozumí "osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu".^17 💬 Zaměstnavatelé zpravidla o svých zaměstnancích či uchazečích o zaměstnání zpracovávají informaci o tom, zda jsou tyto osoby zdravotně způsobilé k výkonu sjednané práce, a dále informace o jejich případných pracovních úrazech či nemocích z povolání. Zjišťovat nebo evidovat tyto skutečnosti nicméně zákon v mnoha případech zaměstnavatelům ukládá či umožňuje.^18 💬 Pro zpracování těchto údajů se tudíž uplatní některá z výjimek dle čl. 9 odst. 2 GDPR. I zde však platí, že se zaměstnavatelé s ohledem na princip minimalizace údajů musí zdržet zpracování takových údajů, které nejsou pro tyto účely nezbytné. Proto například zaměstnavatelé k ověření pracovní způsobilosti nesmí po zaměstnancích požadovat lékařské zprávy popisující anamnézu a diagnózu a musí se spokojit s lékařským posudkem^19 💬, který je omezen pouze na závěr o pracovní způsobilosti posuzované osoby.^20 💬

Mnozí zaměstnavatelé aktuálně údaje o zdravotním stavu zaměstnanců zpracovávají rovněž v souvislosti s opatřeními, která přijímají ve snaze zabránit šíření onemocnění covid-19. Jde například o měření tělesné teploty či testování na přítomnost koronaviru či jeho antigenu.

Zákoník práce sice zaměstnavatelům ukládá vytvářet "bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření k předcházení rizikům"^21 💬, avšak blíže nestanoví, jaká konkrétní opatření by zaměstnavatelé ke splnění této povinnosti měli přijmout. Zdali se i v případech těchto opatření uplatní některá z výjimek dle čl. 9 odst. 2 GDPR a takové zpracování osobních údajů tedy bude považováno za přiměřené a souladné s nařízením GDPR, bude vždy záviset na okolnostech konkrétního případu.

Zaměstnavatelé si musí vždy zanalyzovat, zda je předmětné zamýšlené opatření pro provoz jejich činnosti skutečně nezbytné, a to zejména s ohledem na charakter pracoviště, počet a rozmístění pracovníků a na aktuální vývoj epidemiologické situace, a zda jej nelze nahradit jiným, méně invazivním opatřením. Nezbytnost opatření pak zaměstnavatelé musí neustále průběžně vyhodnocovat a neprodleně od něj upustit, jakmile přestane být nezbytným. V této souvislosti je zároveň třeba mít na paměti stanovisko ÚOOÚ, dle kterého "opatření, která lze v mimořádné situaci považovat za nezbytná, budou po návratu k normálnímu stavu postrádat důvodnost a jejich znovuzavedení by mohlo přicházet v úvahu pouze v případě, že by se taková situace opakovala".^22 💬

Chcete číst dál?

Ještě na vás čeká 40 % článku.

Předplatit za 59 Kč měsíčně

První 3 měsíce, pak 199 Kč měsíčně

S předplatným získáte

• Web Ekonom.cz bez reklam
• Možnost sdílet prémiový obsah zdarma (5 článků měsíčně)
• Možnost ukládat si články na později

Nebo

Přihlásit se a dočíst článek

Vaše e-mailová adresa:* Proč ji potřebujeme?

Zadejte prosím platný e-mail. Tento e-mail je již použit. Zadejte jiný nebo se přihlaste

Potřebujeme e-mailovou adresu, na kterou pošleme potvrzení o platbě. Zároveň vám založíme uživatelský účet, abyste se mohli k článku kdykoli vrátit a nemuseli jej platit znovu. Pokud již u nás účet máte, přihlaste se.

Potřebujeme e-mailovou adresu, na kterou pošleme potvrzení o platbě.

Odesláním objednávky beru na vědomí, že mé osobní údaje budou zpracovány dle Zásad ochrany osobních a dalších zpracovávaných údajů, a souhlasím se Všeobecnými obchodními podmínkami vydavatelství Economia, a.s.

Nepřeji si dostávat obchodní sdělení týkající se objednaných či obdobných produktů společnosti Economia, a.s. »

Zaškrtnutím políčka přijdete o možnost získávat informace, které přímo souvisí s vámi objednaným produktem. Mezi tyto informace může patřit například: odkaz na stažení mobilní aplikace, aktivační kód pro přístup k audioverzi vybraného obsahu, informace o produktových novinkách a změnách, možnost vyjádřit se ke kvalitě našich produktů a další praktické informace a zajímavé nabídky.

Nechci dostávat obchodní sdělení týkající se objednaných či obdobných produktů společnosti Economia, a.s.

Přeji si dostávat obchodní sdělení společnosti Economia, a.s., týkající se též jiných než objednaných či obdobných produktů. Informace o zpracování osobních údajů za účelem zasílání obchodních sdělení jsou dostupné zde.

Vyberte si způsob platby kliknutím na požadovanou ikonu:

Platba kartou

Rychlá online platba

Připravujeme platbu, vyčkejte prosím.

Platbu nelze provést. Opakujte prosím akci později.