Zaměstnavatel musí zpracovávat osobní údaje svých zaměstnanců tak, aby dostál povinnostem, které mu vyplývají ze zákonů České republiky. Od 25. května bude muset přihlížet k pravidlům GDPR (General Data Protection Regulation), která ochranu osobních údajů ještě více zpřísňují. Co tedy zaměstnavatel může a co nemůže?
Jaké informace smí zaměstnavatel shromažďovat o uchazeči o zaměstnání a zaměstnancích ?
Především nesmí zapomínat na základní normu pracovního práva, tedy na zákoník práce. V něm už nyní nalezneme mantinely pro zaměstnavatele, jaké údaje smějí a jaké nesmějí zpracovávat o uchazečích o práci a o svých zaměstnancích. Tedy například s osobními údaji uchazeče o zaměstnání může zaměstnavatel pracovat po dobu trvání výběrového řízení a v rozsahu, který bezprostředně souvisí s uzavřením pracovní smlouvy.
Jaké informace naopak zaměstnavatel nesmí zpracovávat o svých zaměstnancích?
Ty, které bezprostředně nesouvisejí s výkonem práce a s pracovním poměrem nebo s uzavřenou dohodou mimo pracovní poměr. Mezi takové patří informace o sexuální orientaci, původu, členství v odborové organizaci, členství v politických stranách nebo hnutích, příslušnosti k církvi nebo náboženské společnosti.
Co údaje o těhotenství?
Údaje o těhotenství, rodinných a majetkových poměrech a trestněprávní bezúhonnosti může zaměstnavatel zpracovávat pouze v případě, pokud je k tomu dán věcný důvod spočívající v povaze práce, která má být vykonávána. Nebo v případech, kdy to stanoví zákon. Zakázané informace nesmí zaměstnavatel získávat ani od třetích osob. V případě, že zaměstnavatel zákaz poruší, může být pokutován ze strany inspekce práce až do výše jednoho milionu korun.
V čem dělají zaměstnavatelé nejvíce chyby?
Málokterý ze zaměstnavatelů plní vůči svým zaměstnancům informační povinnost. Získané údaje o nich využívají i pro účely jiné, přesahující zákonem stanovený rámec, a to bez vědomí svých zaměstnanců a mnohdy i bez platného právního titulu. Zpracovávané údaje bývají také velmi často nedostatečně organizačně i technicky zabezpečeny.
Kontrolu nad dodržováním povinností při nakládání s osobními údaji v pracovně-právních vztazích vykonává Úřad pro ochranu osobních údajů a Inspekce práce. Sankce za porušení GDPR mohou být značné. Většina zaměstnavatelů se proto na budoucí úpravu poctivě připravuje.
Internetem koluje mýtus, že na zaměstnavatele, který má méně než 250 zaměstnanců, se GDPR nevztahuje.
To ale není pravda. Tito zaměstnavatelé mají pouze úlevu v povinnosti vést záznamy o zpracování, a to ještě jen v určitých případech.
Říká se, že firmy budou muset vytvořit nové místo - zaměstnat pověřence, tedy takového koordinátora pro ochranu osobních údajů?
Samotné zpracování osobních údajů za účelem realizace pracovněprávního vztahu povinnost jmenovat pověřence nezakládá. Pověřence ale mohou jmenovat dobrovolně.
Pokud si zaměstnavatel není jistý, zda smí určité údaje o zaměstnanci zpracovávat, pomůže mu, když od něj pro jistotu získá souhlas se zpracováním?
Takový postup bych rozhodně nedoporučila. Souhlas je samostatný právní titul ke zpracování osobních údajů, který by měl být uplatněn až v situaci, kdy zaměstnavatel nemá jiný právní titul ke zpracování osobních údajů. Právě správné určení právního titulu pro zpracování osobních údajů bude jedním z nejdůležitějších předpokladů plnění povinností podle GDPR.
Proč by souhlas vadil? Nyní s ním firmy řeší řadu věcí v oblasti nakládání s osobními údaji?
Zaměstnavatel by tak zaměstnance uvedl v omyl o jeho právech, které se zpracováním osobních údajů souvisí. Souhlas musí být vždy možné odvolat. Zpracovává-li zaměstnavatel údaje na základě jiného právního titulu, například na základě povinnosti stanovené zákonem, pak v takovém případě zaměstnanec možnost odvolání nemá.
Navíc souhlas by pravděpodobně nenaplňoval veškeré náležitosti požadované GDPR. Ve většině případů by udělený souhlas nebyl dostatečně svobodný, neboť zaměstnanec je na svém zaměstnavateli závislý. Zaměstnanec by mohl mít pocit, že souhlas udělit musí, jinak může být ohrožen jeho pracovní poměr. Zaměstnavatel by tedy neměl souhlas se zpracováním osobních údajů od zaměstnanců požadovat.