Ochrana osobních údajů se týká mnoha situací a dopadá na velké množství subjektů. Z důvodu komplexnosti a rozsáhlosti této problematiky připravuje WP29 výkladová stanoviska, a to za účelem jednotného výkladu a aplikace vnitrostátních právních předpisů. Významnou a diskutovanou oblastí je právě ochrana osobních údajů v souvislosti se zaměstnáním, a to mimo jiné z důvodu nerovného postavení subjektů, tedy zaměstnavatele na straně jedné a zaměstnance či uchazeče o zaměstnání na straně druhé.

Dřívější Stanoviska WP 29 zabývající se problematikou ochrany osobních údajů zaměstnanců

WP29 již dříve zpracovala stanovisko, které se zabývalo zpracováním osobních údajů zaměstnanců, a to konkrétně Stanovisko č. 8/2001 vydané v září roku 2001. To upozorňovalo na skutečnost, že mnoho činností rutinně prováděných v rámci kontextu pracovního poměru má povahu zpracování osobních údajů zaměstnanců. Vztahuje se však nejen na osoby v pracovním poměru na základě pracovní smlouvy, ale i na ostatní osoby v zaměstnaneckém či obdobném poměru, jako jsou například podnikající fyzické osoby. Dále v něm byly mimo jiné zmíněny základní zásady ochrany osobních údajů, jako např. vázanost zpracování účelem, zákonnost zpracování, transparentnost, proporcionalita, aktuálnost uchovávaných údajů a odpovídající zabezpečení takových údajů.

Zaměstnavatelé by vždy měli zpracovávat osobní údaj pro jasně vymezené účely, které jsou proporcionální a nutné, a to pouze v nezbytném rozsahu, zajišťovat proporcionalitu zpracování a dostatečně informovat své zaměstnance o zpracování jejich údajů. Dále by svým zaměstnancům měli umožnit uplatňovat jejich práva, jako je právo na přístup či na výmaz, uchovávat údaje pouze po nezbytnou dobu, zajistit jejich aktuálnost a v neposlední řadě zajistit bezpečnost uchovávaných údajů.

Stanovisko č. 8/2001 pojednává také o jednotlivých právních titulech (základech) pro zpracování osobních údajů, jako je souhlas subjektu, oprávněný zájem zaměstnavatele či třeba plnění (pracovní) smlouvy. Bez ohledu na právní základ pro zpracování údajů by zaměstnavatelé měli prvně provést test proporcionality a zavést nástroje k zajištění minimalizace zásahu do osobních údajů a soukromí.

Na Stanovisko č. 8/2001 navazuje Pracovní dokument WP29 č. 5/2002 vydaný v květnu roku 2002, který původní stanovisko rozpracovává v oblasti monitoringu e-mailové komunikace zaměstnanců, jejich pohybu a činností na internetu.

Aktuální stanovisko WP29

Začátkem června tohoto roku vydala WP29 nové Stanovisko č. 2/2017, zabývající se problematikou zpracování osobních údajů v souvislosti se zaměstnáním. Hlavním důvodem pro vydání stanoviska byl vývoj nových technologií, které umožňují systematičtější zpracování osobních údajů a mnohdy také představují rizika pro ochranu osobních údajů a soukromí. Nepřináší však zásadní revoluci v této oblasti, ale pouze doplňuje a upřesňuje Stanovisko č. 8/2001 a Pracovní dokument č. 5/2002. Obecně lze říct, že koriguje a upravuje vyvážení oprávněných zájmů zaměstnavatelů s cílem chránit své podnikání a přiměřeného očekávání ochrany soukromí ze strany zaměstnanců.

V tomto novém stanovisku WP29 zdůrazňuje nutnost brát při zpracování osobních údajů ohledy na základní zásady zpracování osobních údajů uvedené v předchozím stanovisku, a to stejně v případě obsahu elektronických či analogových komunikací. Přednostně však uvádí tři principy, a to konkrétně nutnost zpracování osobních údajů pouze na základě platného právního základu, transparentnost zpracování, tedy povinnost efektivně informovat zaměstnance o monitoringu či prováděném zpracování jejich údajů, a problematiku automatizovaného rozhodování. Dále také konstatuje, že zaměstnavatelé by se měli zaměřovat spíše na prevenci případného zneužívání nových technologií nežli na detekci jejich zneužití prostřednictvím monitoringu.

WP29 dále v souladu s předchozím stanoviskem z roku 2001 opakuje, že souhlas zaměstnance se zpracováním jeho osobních údajů zaměstnavatelem nelze až na výjimky považovat za vhodný právní titul pro zpracování údajů. Důvodem je především vzájemné postavení a závislost těchto subjektů, a tedy faktická neodvolatelnost takového souhlasu. WP29 tedy doporučuje pro takové zpracování využít odlišného právního titulu, například oprávněného zájmu zaměstnavatele či plnění smlouvy, to však pouze v případě, že je takové zpracování nezbytné a proporcionální.

Stanovisko č. 2/2017 rovněž připomíná některé novinky, které přináší obecné nařízení o ochraně osobních údajů (GDPR), které vstoupí v účinnost v květnu příštího roku. Konkrétně vyzdvihuje záměrnou ochranu údajů (princip privacy by design), posuzování vlivu zpracování na ochranu osobních údajů a oprávnění členských států přijmout specifická pravidla pro zpracování osobních údajů v souvislosti se zaměstnáním.

Analyzované situace a praktické příklady

Stanovisko č. 2/2017 obsahuje především posouzení devíti situací, ve kterých dochází ke zpracování osobních údajů subjektů a které mohou představovat zvýšené riziko ochrany soukromí zaměstnanců či uchazečů o zaměstnání. Tyto situace jsou: (i) nábor nového zaměstnance; (ii) screening současných zaměstnanců; (iii) monitoring využívání informačních technologií na pracovišti; (iv) monitoring využívání informačních technologií mimo pracoviště; (v) monitoring docházky; (vi) video monitoring; (vii) sledování vozidel používaných zaměstnanci; (viii) zveřejnění údajů o zaměstnancích třetím osobám; a (ix) mezinárodní předávání údajů o zaměstnancích a HR údajů.

WP29 doporučuje, aby každý zaměstnavatel před zpracováním osobních údajů důsledně zvážil, zdali je zpracování nezbytné, případně jaký právní základ bude v daném případě aplikovatelný, dále zdali je navrhované zpracování férové k zaměstnancům, zda je zachována proporcionalita zpracování a zda je zpracování dostatečně transparentní.

Nábor nového zaměstnance

Zaměstnavatelé by v náborovém procesu měli nejprve uchazeče dostatečně informovat o zpracování jeho osobních údajů, zpracovávat pouze údaje nezbytné a relevantní pro nabízenou pozici a takto získané údaje po skončení náborového procesu smazat. V případě získávání údajů o uchazeči ze sociálních sítí by měli zaměstnavatelé rozlišovat, zdali se jedná o profil uchazeče spíše profesní, či soukromé povahy. To totiž může být rozhodujícím parametrem v případě určení, zdali je zaměstnavatel oprávněn takové údaje zpracovávat, či nikoli.

Pokud je tedy například zpracování údajů z veřejně dostupného profilu na sociálních sítích nezbytné v souvislosti s nabízenou pozicí a uchazeč je o tom korektně informován, může pro takové zpracování být platně použit právní základ oprávněného zájmu zaměstnavatele.

Screening současných zaměstnanců

V rámci již existujícího pracovního poměru by nemělo docházet k pravidelné kontrole a screeningu profilů zaměstnanců na sociálních sítích. Pokud však zaměstnavatel monitoruje profil zaměstnance například za účelem kontroly dodržování mlčenlivosti, zaměstnanec je o tom informován a nelze takového výsledku dosáhnout méně invazivním způsobem, mohl by se zaměstnavatel pro takové zpracování spolehnout na právní základ oprávněného zájmu.

Monitoring využívání informačních technologií na pracovišti

Tato problematika je rozebrána v již zmíněném Pracovním dokumentu č. 5/2002. Stanovisko č. 2/2017 závěry v tomto pracovním dokumentu nerozporuje, ale pouze upozorňuje na nové technologie a procesy, jako jsou například systémy na ochranu dat či nové generace firewallů.

Zaměstnavatelé pro takové zpracování mohou využít oprávněný zájem pouze za předpokladu splnění několika podmínek. Nejprve musí zaměstnavatelé zvážit proporcionalitu takového zpracování, optimálně také provést posouzení vlivu zavedení takového monitoringu, a dále by měli implementovat srozumitelnou interní směrnici detailně upravující tuto problematiku.

Monitoring využívání informačních technologií mimo pracoviště

S ohledem na rozšíření práce z domova či prostřednictvím vzdáleného přístupu se vzhledem k častému monitoringu takové činnosti zvyšuje riziko zásahu do soukromí zaměstnance. V této souvislosti stanovisko č. 2/2017 upozorňuje právě na souvislost ochrany osobních údajů s prací z domova či například s principem Bring Your Own Device.

Zaměstnavatel může například dát zaměstnancům dárky právě v podobě fitness náramků, nicméně k údajům získaným prostřednictvím těchto náramků by měl mít přístup pouze zaměstnanec a případně i výrobce zařízení, nikoli sám zaměstnavatel.

Monitoring docházky

Ačkoli systémy monitoringu docházky existují již delší dobu a jsou v mnoha společnostech využívány, nové technologie představují rozsáhlé riziko kontroly nad zaměstnanci a jejich pohybem. Nicméně v případě, kdy bude splněna zásada proporcionality a zaměstnanci budou o případném zpracování dostatečně informováni, může např. docházet k monitoringu vstupu zaměstnanců do zabezpečené místnosti za účelem zajištění bezpečnosti na základě oprávněného zájmu zaměstnavatele. Takto získané údaje však nesmí být využity pro extenzivní účely, jako je například posuzování pracovní výkonnosti zaměstnance.

Videomonitoring

Ačkoli se tento typ zpracování vyskytoval již dříve, WP29 nově spatřuje významné riziko ve zmenšení a související nenápadnosti monitorovacích zařízení či třeba v možnosti přístupu k získaným údajům vzdáleným přístupem nebo přímo v reálném čase. V dnešní době je navíc možné detailně monitorovat mimiku či neverbální komunikaci zaměstnance. To však lze obecně považovat za nevhodné a příliš zasahující do soukromí osobnosti.

Sledování vozidel používaných zaměstnanci

Nové technologie umožňují sledování nejen lokace či rychlosti vozidla, ale rovněž například chování řidiče. O takovém sledování však musí být zaměstnanci jasně informováni. V rámci využití vozidla pro pracovní účely může být zaměstnavatel povinen umístit do vozidel lokační zařízení, nicméně pokud má zaměstnanec možnost využít stejné vozidlo i pro soukromé účely, musí zde pro účely souladu s právní úpravou existovat možnost takové zařízení vypnout.

Zveřejnění údajů o zaměstnancích třetím osobám

Údaje zaměstnanců jsou často poskytovány zákazníkům za účelem spolehlivého poskytnutí nabízené služby, a to například u kurýrních služeb. V případě takového zpracování by však pouhý souhlas zaměstnance neměl sloužit jako dostatečný právní základ, neboť takový souhlas lze těžko považovat za svobodný. Zaměstnavatel by tedy měl zajistit proporcionalitu takového zpracování a zveřejňovat pouze nezbytné údaje.

Mezinárodní předávání údajů o zaměstnancích a HR údajů

S ohledem na využívání cloudových služeb pro účely výkonu personální agendy dochází mnohdy k předávání údajů o zaměstnancích do třetích zemí. K takovému předávání by však dle Stanovisek č. 8/2001 a č. 2/2017 mělo docházet pouze v případě, kdy třetí země zajistí odpovídající úroveň ochrany zpracovávaných dat.

Autoři: Michal Nulíček