Zaměstnavatelé se při zpracování osobních údajů pravidelně dopouštějí chyb, které mohou vést k právním problémům i pokutám. S osobními údaji svých zaměstnanců je třeba nakládat v souladu s obecným nařízením o ochraně osobních údajů (GDPR).

Klíčové pojmy GDPR

Pro lepší pochopení problematiky ochrany osobních údajů je důležité znát klíčové pojmy, které GDPR definuje:

• Osobní údaj: Každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů).
• Subjekt údajů: Fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba. Údaje vztahující se k právnické osobě tak nejsou osobními údaji.
• Správce: Subjekt, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správcem může být jakýkoli subjekt, včetně fyzické osoby.
• Zpracovatel: Subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. Jinými slovy, zpracovatel zpracovává osobní údaje pro správce.
• Zpracování: Sofistikovanější činnost, kterou správce s osobními údaji provádí za určitým účelem a z určitého pohledu tak činí systematicky.
• Profilování: Byť je profilování nově definováno, nejde de facto o žádnou novinku, jelikož k profilování dochází i v současné době. Profilování není a priori zákonem o ochraně osobních údajů či Obecným nařízením zakázáno. Je však důležité, aby se dělo v předvídaných případech a na základě stanovených pravidel.

Časté chyby zaměstnavatelů a jak se jim vyhnout

Zaměstnavatelé se často dopouštějí následujících chyb při zpracování osobních údajů zaměstnanců:

1. Souhlas se zpracováním osobních údajů v pracovních smlouvách

V pracovních smlouvách, dohodách o provedení práce (DPP) i dohodách o pracovní činnosti (DPČ) se stále vyskytují ustanovení, ve kterých zaměstnanci souhlasí se zpracováním jejich osobních údajů v souvislosti s výkonem práce. Takový souhlas však není v souladu s GDPR. Zpracování osobních údajů zaměstnanců se obvykle totiž nezakládá na právním důvodu souhlasu zaměstnance. Navíc souhlas musí být udělen dobrovolně a ke konkrétnímu účelu.

Řešení: Nejprve identifikujte všechny účely, pro které potřebujete zpracovávat osobní údaje. Může jít třeba o uzavření a plnění pracovní smlouvy, plnění zákonných povinností v oblasti sociálního zabezpečení nebo o ochranu majetku. Pro každý účel pak určete jeden z právních důvodů vymezených v článku 6 GDPR, na kterém zpracování osobních údajů založíte. Pokud zjistíte, že pro zpracování osobních údajů za konkrétním účelem potřebujete souhlas zaměstnance, zajistěte, aby tento souhlas splňoval požadavky GDPR.

2. Zveřejňování fotografií a videí zaměstnanců

Zaměstnavatelé často zveřejňují fotky a videa zaměstnanců na webu, sociálních sítích i v jiných propagačních materiálech.

Řešení: Sdělte zaměstnancům důvod fotografování nebo natáčení (např. pro propagaci společnosti), jak budete fotky a videa šířit, kdo k nim bude mít přístup a jaká mají práva. Zaměstnanec vám může souhlas udělit i ústně. Bezpečnější je předložit zaměstnanci k podpisu písemný informovaný souhlas s tím, že si každý jedno jeho vyhotovení ponecháte. Souhlasy sbírejte nejdéle na dobu trvání pracovněprávního vztahu. Do udělení souhlasu nesmíte zaměstnance nutit a zaměstnanec může jednou udělený souhlas kdykoliv odvolat.

3. Shromažďování nepotřebných informací

Někteří zaměstnavatelé shromažďují nepotřebné informace o svých zaměstnancích.

Řešení: Vyjasněte si, jaké konkrétní údaje potřebujete od zaměstnanců k jednotlivým účelům získat a získejte jen tyto potřebné údaje.

4. Informační povinnost

Zaměstnavatelé často neinformují zaměstnance o zpracování jejich osobních údajů.

Řešení: Vypracujte dokument, který obsahuje všechny potřebné informace o zpracování osobních údajů zaměstnanců. Dokument zaměstnancům poskytněte ideálně před podpisem pracovní smlouvy, DPP nebo DPČ a poskytnutí si evidujte. Důkaz o informování získáte například tím, že zaměstnance necháte podepsat potvrzení o přečtení informačního dokumentu. Zaměstnanci by měli mít k informačnímu dokumentu neustálý přístup. Uložte ho například do interního úložiště a o každé jeho aktualizaci zaměstnance informujte, např.

5. Podceňování zabezpečení údajů

Zabezpečení údajů zaměstnanců je často podceňováno. Dokumenty s citlivými informacemi se volně povalují na stolech a v policích, důležité elektronické složky nejsou chráněny heslem a přístup k nim má kdokoliv.

Řešení:

• Pravidelná školení: Proškolte zaměstnance o bezpečné práci s osobními údaji a možných bezpečnostních hrozbách.
• Bezpečné ukládání dokumentů: Zajistěte, že tištěné materiály s osobními údaji jsou uložené v zamčených skříňkách, ke kterým má přístup jen pověřený zaměstnanec. Zaveďte pravidlo „čistého stolu“ bez odložených dokumentů a papírků s hesly a dalšími osobním údaji.
• Zabezpečení prostor: Mějte kontrolu nad tím, kdo má do vašich prostor přístup. Řešením může být recepce, na které se ohlásí návštěvy, čipové karty k otevírání prostor nebo kamerový systém u vstupů do prostor.
• Zabezpečení sítě a systémů: Zabezpečte svou síť a informační systémy pomocí firewall i antivirových programů a kontrolujte, zda vám k nim nevypršely licence.
• Zabezpečení přístupů: Zpřístupněte systémy a soubory s osobními údaji jen pověřeným zaměstnancům. Zaměstnanci by k přístupům měli používat silná hesla a měli by si je pravidelně měnit.
• Řešení bezpečnostních incidentů: Nastavte si pravidla pro řešení bezpečnostních incidentů a pověřte řešením konkrétní zaměstnance. Všechny soubory s osobními údaji si pravidelně zálohujte pro případ jejich ztráty nebo poškození.

6. Zpřístupňování osobních údajů externím subjektům

Zaměstnavatelé běžně využívají služeb externích spolupracovníků, marketingových agentur, dodavatelů software a poskytovatelů jiných služeb, kterým zpřístupňují osobní údaje.

Řešení: Ověřte si, kterým subjektům zpřístupňujete osobní údaje a jestli jsou v postavení správce nebo zpracovatele. Pokud určujete účel zpracování vy, jde o zpracovatele, což je typické pro dodavatele software či marketingové agentury. U těchto subjektů ověřte, zda máte uzavřenou zpracovatelskou smlouvu. Hledejte v podepsaných smlouvách i obchodních podmínkách odsouhlasených online. Pokud zpracovatelská smlouva chybí nebo nesplňuje požadavky GDPR, uzavřete ji co nejdříve.

Práva zaměstnanců (subjektů údajů)

GDPR dává zaměstnancům (subjektům údajů) řadu práv, která jim umožňují kontrolovat, jak jsou jejich osobní údaje zpracovávány:

• Právo na přístup k osobním údajům: Zaměstnanec má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k dalším informacím.
• Právo na opravu: Dejte nám vědět, pokud jsou některé Vaše osobní údaje, které zpracováváme, nepřesné či neúplné, a uveďte, co máme změnit nebo doplnit.
• Právo na výmaz ("právo být zapomenut"): Nechcete-li, abychom některé Vaše údaje zpracovávali, dejte nám vědět.
• Právo na omezení zpracování: Sdělíte-li nám konkrétní důvody, pro které bychom podle Vás neměli zpracovávat Vaše osobní údaje, omezíme zpracování osobních údajů do doby, než posoudíme, zda Vaše zájmy a práva převažují nad našimi důvody zpracování osobních údajů.
• Právo na přenositelnost údajů: Jednotlivcům musíte zajistit právo na bezplatný přístup k jejich osobním údajům. dát mu kopii zpracovávaných osobních údajů (v dostupném formátu). Jedná se tzv. „právo na přenositelnost údajů". a strojově čitelném formátu.
• Právo vznést námitku: Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě č. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních.
• Právo nebýt předmětem automatizovaného rozhodování: Jednotlivci mají právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování. Z tohoto pravidla však existují určité výjimky, například pokud dali k automatizovanému rozhodnutí výslovný souhlas.

V případě, že se domníváte, že Vaše práva byla porušena, máte právo podat stížnost k Úřadu pro ochranu osobních údajů (ÚOOÚ).

Příklady zpracování osobních údajů v praxi

Následující tabulka uvádí příklady zpracování osobních údajů zaměstnanců a právní důvody pro takové zpracování:

Účel zpracování	Právní důvod	Osobní údaje
Plnění pracovní smlouvy	Čl. 6 odst. 1 písm. b) GDPR	Jméno, adresa, rodné číslo, bankovní údaje
Plnění zákonných povinností	Čl. 6 odst. 1 písm. c) GDPR	Údaje pro sociální zabezpečení, zdravotní pojištění
Ochrana majetku zaměstnavatele	Čl. 6 odst. 1 písm. f) GDPR (oprávněný zájem)	Kamerové záznamy, údaje o vstupu do budovy
Poskytování benefitů zaměstnancům	Čl. 6 odst. 1 písm. b) GDPR (plnění smlouvy)	Údaje pro sjednání pojištění, poukázky na rekreaci

Pro nakládání s osobními údaji způsobem, který není zpracováním, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník.

ČVUT považuje ochranu osobních údajů za důležitou a věnuje jí velkou pozornost. Vaše osobní údaje zpracováváme pouze v rozsahu, který je nezbytný pro činnost univerzity, případně souvisí se službou, kterou na ČVUT využíváte. Osobní údaje chráníme v maximální možné míře a v souladu s platnými právními předpisy.

Vaše osobní údaje zde potřebujeme za účelem jejich zpracování pro splnění naší legislativní povinnosti jako správce. Jedná se zejména o zákon č. 111/1998 Sb., o vysokých školách; zákon č. 130/2002 Sb., o podpoře výzkumu a vývoje z veřejných prostředků; zákon č. 262/2006 Sb., zákoník práce; zákon č. 563/1991 Sb., o účetnictví; zákon č. 127/2005 Sb., o elektronických komunikacích; zákon č. 480/2004 Sb.

tags: #ochrana #osobnich #udaju #zamestnancu #GDPR

Oblíbené příspěvky:

• Podmínky výpovědi bez udání důvodu v ČR
• OSVČ oznámení
• Letní brigáda
• Brigáda v Knihkupectví Dobrovský Ostrava
• Čestné prohlášení OSVČ a zdravotní pojištění