I před účinností GDPR byl zaměstnavatel omezen v tom, jaké osobní údaje může o zaměstnancích shromažďovat. Příkladem může být např. ustanovení § 316 odst. 4 zákoníku práce, které určuje, že zaměstnavatel nesmí vyžadovat od zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce. Jde zejména o informace o těhotenství, rodinných a majetkových poměrech nebo sexuální orientaci. Samozřejmě že i zde existují výjimky. Pokud existuje věcný důvod a je to přiměřené, může zaměstnavatel požadovat informace třeba o trestněprávní bezúhonnosti.

Osobní údaje uchazečů o zaměstnání

Častou otázkou personalistů v souvislosti s GDPR bývá, zda bude možné si životopis neúspěšného uchazeče ponechat i poté, co je výběrové řízení na danou pozici ukončeno.

Představme si scénář, kdy je ukončeno výběrové řízení, vybraný uchazeč však do zaměstnání nenastoupí a zaměstnavatel musí stejnou pozici obsazovat znovu. Bylo by spravedlivé požadovat po zaměstnavateli, aby znovu zaplatil inzeráty, shromažďoval nové, nebo dokonce i ty už jednou zaslané životopisy, když by stačilo oslovit druhého uchazeče v pořadí? Zaměstnavatel by měl mít rovněž možnost obhájit svůj výběr zaměstnance v případě, že by ho některý z neúspěšných uchazečů nařkl z diskriminace.

Mezi základní zásady pro zpracování patří zásada korektnosti a transparentnosti a z ní vycházející informační povinnost zaměstnavatele. Každému uchazeči tak musí zaměstnavatel zaslat informaci alespoň o tom, že si životopis uloží, za jakým účelem, na jakou dobu a jaká jsou práva uchazeče v souvislosti se zpracováním jeho osobních údajů. Uchazeč má právo proti tomu podat námitky. Pokud svého práva využije, musí zaměstnavatel námitky uchazeče přezkoumat. Jestliže jsou námitky uchazeče důvodné, má zaměstnavatel povinnost osobní údaje smazat. Proto bude třeba, aby zaměstnavatel přesně věděl, kde všude se dané osobní údaje nachází. V ideálním případě by měl mít interní směrnici pro ochranu osobních údajů, kde bude popsáno i zacházení se životopisy uchazečů.

Interní směrnice může např. stanovit, že životopisy ukládá pověřený personalista nebo personalisté na zvláštní místo (složka na sdíleném disku nebo úložišti), kam má přístup pouze omezený okruh lidí. Častou praxí bývá, že pokud se zve uchazeč na pohovor, zaměstnancům, kteří ho s ním povedou, se elektronickou poštou pošle do kalendáře pozvánka spolu s životopisem v příloze. Za jednoduché a praktické řešení považujeme posílat v e-mailech nebo pozvánkách místo dokumentů pouze odkazy na místo jejich uložení. Smazáním dokumentu z jednoho místa se totiž odkaz stane nefunkčním.

Osobní údaje zaměstnanců po dobu trvání pracovního poměru

Shromažďování a zpracování osobních údajů zaměstnanců za dobu trvání pracovního poměru se bude opírat především o následující právní důvody:

  • osobní údaje jsou nezbytné pro splnění pracovní smlouvy (např. vyplácení odměn, poskytování některých benefitů);
  • osobní údaje jsou nezbytné pro plnění zákonných povinností zaměstnavatele (např. odvádění sociálního a zdravotního pojištění);
  • osobní údaje jsou nezbytné pro účely oprávněných zájmů zaměstnavatele (např. pro ochranu majetku zaměstnavatele - kamerové systémy, GPS ve služebních vozech).

Zpracování osobních údajů na základě platného souhlasu zaměstnance bude spíše výjimečné. Základním předpokladem pro platnost souhlasu je jeho svobodné udělení. Jelikož má zaměstnanec oproti zaměstnavateli výrazně slabší pozici, není pravděpodobné, že by svobodně a bez pocitu jakéhokoliv vnějšího tlaku udělil zaměstnavateli souhlas se zpracováním svých osobních údajů. Pokud zaměstnavatel chce takové osobní údaje získat, musí jejich zpracování opřít o svůj oprávněný zájem, popřípadě jiný právní důvod. Pro zaměstnavatele je proto výhodnější opřít účel zpracování o důvod, který vyplývá z povinnosti plnit smlouvu či zákonnou povinnost nebo který je v oprávněném zájmu zaměstnavatele.

Vášnivé diskuse se vedou například ohledně fotografií zaměstnanců. Je k pořízení nebo uložení fotografie zaměstnance potřeba jeho souhlas? Poměrně jednoduchá je situace s fotografiemi na identifikačních kartách nebo na intranetu. Zde je jasný zájem zaměstnavatele, aby bylo možné jednoznačně určit, že je daná osoba jeho zaměstnancem. Souhlas tak nebude třeba.

Co ale firemní večírky nebo teambuildingové akce? Dobrá zpráva nejen pro ty, kteří své matné vzpomínky zachytávají na lesklém papíře. GDPR v této oblasti žádnou zásadní změnu nepřinese. I dnes platí, že zachytit a rozšiřovat podobu člověka tak, aby bylo možné určit jeho totožnost, je možné pouze s jeho svolením. Svolení může být vyjádřeno například i tím, že fotografovi zapózuji. Svolení se nevyžaduje, pokud jsou fotografie pořizovány např. pro tiskové nebo jiné zpravodajství. A co ten večírek? Pokud tam bude přítomen fotograf, který fotí dění na party, a fotografie se použijí pro účely dokumentace průběhu akce, je vše v pořádku. Žádný souhlas zaměstnanců není potřeba.

Samostatnou kapitolu tvoří případy, kdy zaměstnavatel předává osobní údaje zaměstnanců třetí osobě, třeba při zpracování mezd externí společností. Zaměstnavatel musí v takovém případě smluvně, ale třeba i fyzickou kontrolou svého dodavatele zajistit, že osobní údaje jeho zaměstnanců budou zpracovávány v souladu s GDPR.

Osobní údaje po skončení pracovního poměru zaměstnance

Základními účely zpracování osobních údajů zaměstnance ze strany zaměstnavatele jsou zejména vedení personální a mzdové agendy a zajištění řádného plnění práv a povinností z pracovněprávního vztahu. Tyto účely však pominou se skončením pracovního poměru. Nejčastěji bude právním důvodem pro zpracování osobních údajů bývalého zaměstnance plnění zákonné povinnosti zaměstnavatele a oprávněný zájem zaměstnavatele. Mezi zákonné povinnosti patří například povinnost uchovávat dokumenty pro důchodové pojištění po dobu 30 let. V oprávněném zájmu zaměstnavatele pak bude ponechat si dokumenty z osobního spisu zaměstnance a jeho mzdové složky, a to alespoň po dobu tří let od skončení pracovního poměru.

Pokud by zaměstnavatel tyto dokumenty zlikvidoval ihned po skončení pracovního poměru, neměl by možnost se bránit v případném soudním sporu s bývalým zaměstnancem. A proč hovoříme právě o třech letech? Obecná promlčecí doba je podle občanského zákoníku tři roky. Pokud zákonný důvod i oprávněný zájem zaměstnavatele pominou, musí zaměstnavatel osobní údaje smazat. Praktickým pomocníkem pro tyto případy může být archivační a skartační příručka, kde budou uvedeny veškeré dokumenty, které je zaměstnavatel povinen uchovávat, a příslušné lhůty. Tato příručka může být součástí již zmíněné směrnice pro ochranu osobních údajů.

Jak tedy shrnout rady ohledně GDPR?

Aby zaměstnavatel požadavkům GDPR vyhověl, bude třeba zejména:

1. zmapovat, jaké osobní údaje zaměstnanců zpracovává;

2. přesně vymezit účel zpracování, tedy určit důvod, proč se osobní údaje zpracovávají;

3. stanovit dobu zpracování;

4. informovat zaměstnance o bodech 1-3 a o jeho právech;

5. nastavit interní procesy ohledně osobních údajů tak, aby mohl jednoznačně prokázat, kde se osobní údaje uchovávají, kdo k nim má přístup a jak se s nimi nakládá.

S opatrností bude dobré přistupovat ke zpracování osobních údajů zaměstnanců na základě jejich souhlasu. Vždy bude třeba zkoumat, zda byl souhlas dán svobodně a zda by jeho případné neudělení nemohlo zaměstnanci přinést jakékoliv zhoršení jeho situace. Zpravidla však bude právním důvodem zpracování osobních údajů zaměstnance plnění zákonné nebo smluvní povinnosti.

Autoři: Karel Ryšavý