dnes je 23.8.2019
Input:

Souhlas zaměstnance se zpracováním osobních údajů z pohledu GDPR

16.5.2018, , Zdroj: Verlag Dashöfer

3.2.17
Souhlas zaměstnance se zpracováním osobních údajů z pohledu GDPR

Mgr. Jan Vácha

Vzor

Souhlas zaměstnance se zpracováváním osobních údajů

I. Úvodní ustanovení

Společnost XY [následují identifikační údaje společnosti] se jako zaměstnavatel rozhodla z pozice správce ve smyslu zákona č. 101/2000 Sb., o ochraně osobních údajů (dále jen „zákon”) zpracovávat osobní údaje svých zaměstnanců v rozsahu širším, než vyžaduje zákon, a to především za účelem zvýšení efektivity řízení podniku a zvýšení konkurenceschopnosti společnosti.

II. Rozsah zpracování osobních údajů

Osobní údaje zaměstnanců společnosti XY, které budou shromažďovány a dále zpracovávány, zahrnují:

  • jméno a příjmení, tituly;

  • datum a místo narození, rodné číslo a státní příslušnost;

  • bydliště;

  • pasová fotografie;

  • údaje a doklady o dosaženém vzdělání, předchozí praxi a jazykových znalostech;

  • výši a strukturu mzdy; přehled půjček poskytnutých zaměstnanci ze strany společnosti;

  • rodinný stav, údaje o rodinných příslušnících (děti, manželé), a to konkrétně jméno a příjmení, datum narození a státní příslušnost;

  • ……… (další osobní údaje dle potřeby zaměstnavatele).

III. Účel zpracování

Osobní údaje zaměstnanců společnosti XY budou v různých časových rozmezích zpracovávány za účelem vytváření, hodnocení a přizpůsobování personálních a odměňovacích systémů, pro zpracovávání modelů podílové účasti zaměstnanců ve společnosti a pro řízení dalších strategických postupů.

IV. Způsob zpracování

Osobní údaje zaměstnanců společnosti XY budou zpracovávány manuálně i automatizovaně. K osobním údajům budou mít přístup pověření pracovníci zaměstnavatel na pozici mzdový účetní, personalista a správce IT.

V. Platnost souhlasu

Poskytnutí osobních údajů společnosti XY v rozsahu nad rámec stanovený zákonem je dobrovolné. Informaci o tom, které osobní údaje jsou o konkrétního zaměstnance zpracovávány nad rámec zákona, poskytne obratem na ústní či písemné vyžádání personalista společnosti. Souhlas zaměstnance je udělován na období trvání pracovního poměru, nejdéle však na dobu dvaceti let. Souhlas s poskytnutím osobních údajů nad rámec osobních údajů, které musí správce zpracovat na základě jiných právních titulů než je souhlas zaměstnance, lze kdykoliv odvolat.

VI. Poučení

Zaměstnanec společnosti XY má právo na přístup k osobním údajům a právo na opravu osobních údajů. Zjistí-li nebo domnívá-li se zaměstnanec společnosti XY, že společnost provádí zpracování jeho osobních údajů, které je v rozporu s ochranou jeho soukromého a osobního života nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může požádat společnost XY o vysvětlení či požadovat, aby byl odstraněn takto vzniklý stav. Zejména může žádat blokování, provedení opravy, doplnění nebo likvidaci osobních údajů.

Zaměstnanec má právo obrátit se na Úřad pro ochranu osobních údajů se sídlem v Praze 7, Pplk. Sochora 27, a to zejména v případě, kdy společnost XY nevyhoví jeho žádosti o vysvětlení či odstranění stavu vzniklého zpracováním jeho osobních údajů, které je v rozporu s ochranou jeho soukromého a osobního života nebo v rozporu se zákonem.

Zaměstnanec společnosti XY má právo na přístup k osobním údajům a právo na opravu osobních údajů. Zjistí-li nebo domnívá-li se zaměstnanec společnosti XY, že společnost provádí zpracování jeho osobních údajů, které je v rozporu s ochranou jeho soukromého a osobního života nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může požádat společnost XY o vysvětlení či požadovat, aby byl odstraněn takto vzniklý stav. Zejména může žádat blokování, provedení opravy, doplnění nebo likvidaci osobních údajů.

Zaměstnanec má právo obrátit se na Úřad pro ochranu osobních údajů se sídlem v Praze 7, Pplk. Sochora 27, a to zejména v případě, kdy společnost XY nevyhoví jeho žádosti o vysvětlení či odstranění stavu vzniklého zpracováním jeho osobních údajů, které je v rozporu s ochranou jeho soukromého a osobního života nebo v rozporu se zákonem.

V případě vzniku nemajetkové újmy v důsledku zpracování osobních údajů může zaměstnanec uplatnit svůj nárok podle obecných předpisů (občanský zákoník).

Uděluji tímto souhlas se zpracováním mých osobních údajů v rozsahu a pro účely, které jsou uvedeny v tomto oznámení o zpracování údajů, a to na dobu trvání mého pracovního poměru u společnosti Alfa s.r.o., nejdéle však na dobu dvaceti let.

V …………….. dne ………………..

……………………………………

podpis zaměstnance

Komentář:

V pracovněprávních vztazích musí zaměstnavatelé chránit nejen osobní údaje svých zaměstnanců, ale také uchazečů o zaměstnání nebo svých bývalých zaměstnanců. V některých případech zaměstnavatel potřebuje souhlas se zpracováním osobních údajů zaměstnance nebo uchazeče o zaměstnání a v některých nikoliv. Stejně jako nyní bude i podle Obecného nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR”) možné zpracovávat údaje pouze na základě oprávněných titulů. V GDPR je tedy udělení souhlasu subjektu údajů se zpracováním pro jeden či více konkrétních účelů pouze jednou ze šesti právních podmínek zákonnosti zpracování (jeho právním základem) a nařízení výslovně upravuje podmínky jeho získání. Ve srovnání se současným stavem v České republice přináší obecné nařízení formální změnu v tom, že souhlas je rovnocenný s pěti dalšími právními tituly, zatímco dnes je souhlas alespoň dle textu zákona právním titulem základním a všechny ostatní jsou formálně zakotveny jako výjimky, na něž se zpravidla hledí tak, že mají být vykládány co nejúžeji.

Správce vyhoví požadavkům zásady zákonnosti, pokud v odpovídajícím rozsahu splní alespoň jednu z podmínek danou čl. 6 odst. 1 GDPR:

  • získá souhlas subjektu údajů se zpracováním jeho osobních údajů pro jeden či více konkrétních účelů;

  • zpracování je nutné pro jednání o smlouvě nebo plnění smlouvy uzavřené se subjektem údajů;

  • zpracování je nezbytné pro splnění právní povinnosti správce (například pro účely mzdové evidence);

  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů či jiné fyzické osoby;

  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;

  • zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany s výjimkou případů, kdy mají přednost zájmy nebo základní práva a svobody subjektu údajů, které vyžadují ochranu osobních údajů (například provozování kamerového systému se záznamem za účelem ochrany majetku zaměstnavatele).

S GDPR se tento systém právních základů nemění. V rámci tohoto systému by však měl každý správce nejprve pečlivě posoudit, zda může zpracovávat osobní údaje na základě jiného právního základu, a na souhlas spoléhat pouze v případě, že to možné není. Uvažování by tedy mělo být přesně opačné, než jaké je v mnoha případech dnes, přičemž velké množství zpracování (typicky zpracování týkající se samotné podstaty podnikání správce) bude možné činit na základě nezbytnosti pro uzavření či plnění smlouvy. Další zpracování, které je nutné provádět např. v roli zaměstnavatele, bude možné provádět částečně na stejném základě, částečně na základě nezbytnosti pro plnění právních povinností. Velká množina zpracování bude v neposlední řadě prováděna na základě oprávněného zájmu - do této skupiny lze zařadit např. provozování kamerových systémů.

Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. První informací tedy musí být účel, pro který mají být údaje zpracovávány. Samozřejmě je možné osobní údaje zpracovávat i pro více účelů a pak musí být poskytnuta informace o všech účelech zpracování. Dalším nezbytnou informací je rozsah osobních údajů určených ke zpracovávání. Dále pak musí být sdělena identita správce, a to natolik přesně, aby nebyl zaměnitelný s jinou osobou, lhostejno, zda fyzickou, nebo právnickou. Poslední součástí povinné informace je stanovení období, na jak dlouho bude souhlas primárně poskytnut.

Je zcela jednoznačnou povinností, stanovenou správcům osobních údajů, prokázat souhlas se zpracováním, a to po celou dobu, po kterou jsou osobní údaje zpracovávány.

Souhlas se zpracováním osobních údajů nemusí být podle současné právní úpravy písemný, nicméně je nepochybné, že zajištění prokazatelnosti po celou dobu zpracování nejlépe zajistí písemná podoba. Souhlas však také může být konkludentní, např. předání dokumentu, který osobní údaje obsahuje.

Nová definice souhlasu se zpracováním osobních údajů je uvedena v článku 4 odst. 11 GDPR. Podle tohoto ustanovení se souhlasem subjektu údajů rozumí jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

GDRP tedy jednoznačně uvádí, že takový souhlas musí být konkrétní a jednoznačný. To potvrzuje i recitál 32, který říká, že souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, učiněného i elektronicky, nebo ústního prohlášení.

Aby byl souhlas konkrétní, musí být udělen vždy pro konkrétní účel, který je dostatečně specifický na to, aby z něj subjekt údajů získal nějakou představu o tom, jak bude s jeho osobními údaji nakládáno. V případě, že bude účel vymezen příliš vágně, je pravděpodobné, že souhlas nebude dostatečně konkrétní.

Případů, kdy je možné považovat souhlas za nesvobodný, je více. Jedním z nich je situace, kdy je předpoklad svobodně uděleného souhlasu menší, tj. kdy je souhlas udělený subjektem ve slabším postavení - typicky zaměstnancem zaměstnavateli. Obecným klíčem pro rozpoznání toho, kdy je a kdy není udělený souhlas svobodný, je skutečnost, zda hrozí subjektu údajů za neudělení souhlasu nějaká újma.

Informovaný je souhlas tehdy, pokud subjekt údajů obdržel před jeho udělením veškeré informace podle čl. 13 GDPR. Tyto údaje musí být navíc v souladu s čl. 12 GDPR sděleny transparentně, srozumitelně a za použití jasných a jednoduchých jazykových prostředků. Rovněž samotná písemná žádost o poskytnutí souhlasu má stanoveny formální náležitosti, kdy podle čl. 7 odst. 2 GDPR musí být taková žádost jasně odlišitelná od jiných skutečností, musí být srozumitelná a snadno přístupná opět za použití jasných a jednoduchých jazykových prostředků. Odchylka od těchto formálních náležitostí bude mít za následek nezávaznost té části prohlášení o souhlasu, která trpí vadami.

GDPR stanoví, že osobním údajem je jakákoliv informace o identifikované nebo identifikovatelné fyzické osobě. V první řadě tedy není osobním údajem pouze samotný identifikátor jako rodné číslo nebo jméno a příjmení, ale veškeré informace o dané osobě, které jsou s tímto identifikátorem spojeny (např. kompletní záznam v personálním systému, který se vztahuje ke konkrétnímu zaměstnanci).

I v případě, kdy ze záznamu odstraníme všechny přímé identifikátory jako rodné číslo nebo jméno a příjmení, nemusí konkrétní záznam přestat obsahovat osobní údaje, pokud lze příslušná data přiřadit ke konkrétní fyzické osobě nepřímo. Pokud tedy např. zmíněný záznam v personálním systému obsahuje informace o věku, dosaženém vzdělání a kvalifikaci, které v rámci dané organizace odpovídají pouze jedné osobě, pak celý záznam (vč. případné výše mzdy daného zaměstnance apod.) stále představuje osobní údaje, i když jsou přímé identifikátory odstraněny.

GDPR požaduje, aby - pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností - byla žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků.

Podle článku 7 odst. 3 GDPR má subjekt údajů právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování