JUDr. Dušan Srp, Ph.D, Mgr. David Burian, Mgr. Zuzana Radičová, Mgr. Jan Vácha
NahoruCo je GDPR
GDPR (General Data Protection Regulation) je Obecné nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (zkráceně obecné nařízení o ochraně osobních údajů).
V České republice GDPR nahradí dosud platný zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Česká republika připravuje v návaznosti na GDPR nový zákon o ochraně osobních údajů. Nový zákon o ochraně osobních údajů však bude jen doplňovat komplexní právní úpravu danou v GDPR, a to v oblastech, které nejsou Obecným nařízením upraveny a kde GDPR umožňuje či přímo předpokládá, že členské státy provedou vlastní právní úpravu na vnitrostátní úrovni. Spolu s novým zákonem o ochraně osobních údajů bude v České republice ještě přijat změnový zákon.
GDPR je účinné ode dne 25. května 2018. Od tohoto dne se tedy všechny subjekty zainteresované na zpracování osobních údajů v Evropské unii řídí GDPR.
NahoruDopad GDPR do pracovněprávních vztahů
V pracovněprávních vztazích musí zaměstnavatelé chránit nejen osobní údaje svých zaměstnanců, ale také uchazečů o zaměstnání nebo svých bývalých zaměstnanců. V některých případech zaměstnavatel potřebuje souhlas se zpracováním osobních údajů zaměstnance nebo uchazeče o zaměstnání a v některých nikoliv. Podle GDPR je možné zpracovávat údaje pouze na základě oprávněných titulů. V GDPR je udělení souhlasu subjektu údajů se zpracováním pro jeden či více konkrétních účelů pouze jednou ze šesti právních podmínek zákonnosti zpracování (jeho právním základem) a nařízení výslovně upravuje podmínky jeho získání.
Správce vyhoví požadavkům zásady zákonnosti, pokud v odpovídajícím rozsahu splní alespoň jednu z podmínek danou čl. 6 odst. 1 GDPR:
-
získá souhlas subjektu údajů se zpracováním jeho osobních údajů pro jeden či více konkrétních účelů;
-
zpracování je nutné pro jednání o smlouvě nebo plnění smlouvy uzavřené se subjektem údajů;
-
zpracování je nezbytné pro splnění právní povinnosti správce (například pro účely mzdové evidence);
-
zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů či jiné fyzické osoby;
-
zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;
-
zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany s výjimkou případů, kdy mají přednost zájmy nebo základní práva a svobody subjektu údajů, které vyžadují ochranu osobních údajů (například provozování kamerového systému se záznamem za účelem ochrany majetku zaměstnavatele).
S GDPR se tento systém právních základů nemění. V rámci tohoto systému by však měl každý správce nejprve pečlivě posoudit, zda může zpracovávat osobní údaje na základě jiného právního základu, a na souhlas spoléhat pouze v případě, že to možné není. Uvažování by tedy mělo být přesně opačné, než jak bylo v mnoha případech dosud, přičemž velké množství zpracování (typicky zpracování týkající se samotné podstaty podnikání správce) bude možné činit na základě nezbytnosti pro uzavření či plnění smlouvy. Další zpracování, které je nutné provádět např. v roli zaměstnavatele, bude možné provádět částečně na stejném základě, částečně na základě nezbytnosti pro plnění právních povinností. Velká množina zpracování bude v neposlední řadě prováděna na základě oprávněného zájmu – do této skupiny lze zařadit např. provozování kamerových systémů.
Zpracování údajů před vznikem pracovního poměru – uchateči o zaměstnání
Zákoník práce v § 30 ZP stanoví, že zaměstnavatel smí vyžadovat v souvislosti s jednáním před vznikem pracovního poměru od fyzické osoby, která se u něj uchází o práci, nebo od jiných osob, jen údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy. Vodítkem k tomu, které osobní údaje to jsou, je § 316 odst. 4 ZP, který demonstrativně uvádí údaje, jenž zaměstnavatel od zaměstnance požadovat, resp. zpracovávat nesmí (údaje o těhotenství, rodinných a majetkových poměrech, sexuální orientaci, původu, členství v odborové organizaci, členství v politických stranách a hnutích, příslušnosti k církvi nebo náboženské organizaci, trestněprávní bezúhonnosti).
Veřejně dostupné informace o uchazeči
Je běžnou praxí, že přijetím uchazeče do zaměstnání se personalista podívá také na informace, které jsou o uchazeči dostupné např. prostřednictvím sociálních sítí. V prohlížení veřejně přístupných informací samozřejmě nelze nikomu bránit. Subjekt údajů se v daném případě sám vystavil riziku, že některá informace, kterou zveřejnil, může mít pro něj nepříznivé následky. Do jiné situace se však zaměstnavatel dostává, pokud informace, které o uchazeči zjistí, začne systematicky zaznamenávat a ukládat např. za účelem, aby si pak mohl informace o všech uchazečích komplexně vyhodnotit. V takovém případě již provádí další zpracování osobních údajů a pro takové musí disponovat právním titulem. Zaměstnavatelé by měli brát rovněž ohled na to, zda se jedná o profil čistě osobní nebo o profil založený pro účely pracovní či profesionální. V každém případě musí ctít zásadu minimalizace zpracovávaných osobních údajů a zpracovávat pouze takové osobní údaje uchazečů, které jsou nezbytné pro danou pracovní pozici. K tomuto tématu se již vyjádřila i Pracovní skupina podle čl. 29 Směrnice 95/46/ES (WP 29). WP 29 v tomto smyslu konstatovala, že takové zpracování lze opřít o oprávněný zájem správce pouze v případě, kdy by takové informace byly nezbytné vzhledem k dané pozici.
Rozhodne-li se zaměstnavatel zveřejnit inzerát na inzertním portále, bude velmi důležité nastavení smluvního vztahu mezi inzerujícím a inzerentem, jinými slovy, jaké povahy je vztah a spolupráce zaměstnavatele s daným inzertním portálem. Pokud je úkolem portálu pouze zveřejnit inzerát na danou pozici a pak uchazeče, který o pozici projeví zájem, pouze přesměrovat na zaměstnavatele, nebo mu přeposlat jeho životopis, tak je zaměstnavatel v pozici správce a portál v pozici zpracovatele. V takovém případě je nutné mít uzavřenou písemnou smlouvu o zpracování osobních údajů splňující požadavky GDPR. V praxi budou časté také situace, kdy inzertní portál bude správcem, protože uchazeči mu poskytují své životopisy, aby jim zasílal vhodné nabídky. Pokud inzertní portál zamýšlí shromažďovat a ukládat osobní
Nábor nových zaměstnanců je činností, které se čas od času nevyhne žádný zaměstnavatel. Do rukou se pak personalistům dostávají strukturované životopisy s osobními údaji uchazečů, které vypovídají hodně o minulosti daného uchazeče, zvláště pokud samotní zaměstnavatelé přidávají k životopisům další osobní údaje uchazečů, které mohou získat z veřejných zdrojů, zejména ze sociálních sítí. Je tak třeba dbát na ochranu soukromí těchto uchazečů a s obdrženými informacemi zacházet pečlivě tak, aby zaměstnavatel uchazeče nevystavil zbytečnému riziku. Důvodem či motivací pro zaměstnavatele, proč i v rámci náboru nebo personální agendy obecně zvažovat dopady GDPR, jsou mimo jiné i obrovské sankce.
Zpracování údajů v průběhu pracovního poměru
Je podstatné vědět, že GDPR neobsahuje zvláštní…
