dnes je 11.12.2018
Input:

Souhlas zaměstnance se zpracováním osobních údajů z pohledu GDPR

16.3.2018, , Zdroj: Verlag Dashöfer

2018.06.01
Souhlas zaměstnance se zpracováním osobních údajů z pohledu GDPR

Mgr. Jan Vácha

.

1. ÚVODEM

V pracovněprávních vztazích musí zaměstnavatelé chránit nejen osobní údaje svých zaměstnanců, ale také uchazečů o zaměstnání nebo svých bývalých zaměstnanců. V některých případech zaměstnavatel potřebuje souhlas se zpracováním osobních údajů zaměstnance nebo uchazeče o zaměstnání a v některých nikoliv. Stejně jako nyní bude i podle Obecného nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR”) možné zpracovávat údaje pouze na základě oprávněných titulů. V GDPR je tedy udělení souhlasu subjektu údajů se zpracováním pro jeden či více konkrétních účelů pouze jednou ze šesti právních podmínek zákonnosti zpracování (jeho právním základem) a nařízení výslovně upravuje podmínky jeho získání. Ve srovnání se současným stavem v České republice přináší obecné nařízení formální změnu v tom, že souhlas je rovnocenný s pěti dalšími právními tituly, zatímco dnes je souhlas alespoň dle textu zákona právním titulem základním a všechny ostatní jsou formálně zakotveny jako výjimky, na něž se zpravidla hledí tak, že mají být vykládány co nejúžeji.

Správce vyhoví požadavkům zásady zákonnosti, pokud v odpovídajícím rozsahu splní alespoň jednu z podmínek danou čl. 6 odst. 1 GDPR:

  • získá souhlas subjektu údajů se zpracováním jeho osobních údajů pro jeden či více konkrétních účelů;

  • zpracování je nutné pro jednání o smlouvě nebo plnění smlouvy uzavřené se subjektem údajů;

  • zpracování je nezbytné pro splnění právní povinnosti správce (například pro účely mzdové evidence);

  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů či jiné fyzické osoby;

  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;

  • zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany s výjimkou případů, kdy mají přednost zájmy nebo základní práva a svobody subjektu údajů, které vyžadují ochranu osobních údajů (například provozování kamerového systému se záznamem za účelem ochrany majetku zaměstnavatele).

S GDPR se tento systém právních základů nemění. V rámci tohoto systému by však měl každý správce nejprve pečlivě posoudit, zda může zpracovávat osobní údaje na základě jiného právního základu, a na souhlas spoléhat pouze v případě, že to možné není. Uvažování by tedy mělo být přesně opačné, než jaké je v mnoha případech dnes, přičemž velké množství zpracování (typicky zpracování týkající se samotné podstaty podnikání správce) bude možné činit na základě nezbytnosti pro uzavření či plnění smlouvy. Další zpracování, které je nutné provádět např. v roli zaměstnavatele, bude možné provádět částečně na stejném základě, částečně na základě nezbytnosti pro plnění právních povinností. Velká množina zpracování bude v neposlední řadě prováděna na základě oprávněného zájmu - do této skupiny lze zařadit např. provozování kamerových systémů.

Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. První informací tedy musí být účel, pro který mají být údaje zpracovávány. Samozřejmě je možné osobní údaje zpracovávat i pro více účelů a pak musí být poskytnuta informace o všech účelech zpracování. Dalším nezbytnou informací je rozsah osobních údajů určených ke zpracovávání. Dále pak musí být sdělena identita správce, a to natolik přesně, aby nebyl zaměnitelný s jinou osobou, lhostejno, zda fyzickou, nebo právnickou. Poslední součástí povinné informace je stanovení období, na jak dlouho bude souhlas primárně poskytnut.

Je zcela jednoznačnou povinností, stanovenou správcům osobních údajů, prokázat souhlas se zpracováním, a to po celou dobu, po kterou jsou osobní údaje zpracovávány.

Souhlas se zpracováním osobních údajů nemusí být podle současné právní úpravy písemný, nicméně je nepochybné, že zajištění prokazatelnosti po celou dobu zpracování nejlépe zajistí písemná podoba. Souhlas však také může být konkludentní, např. předání dokumentu, který osobní údaje obsahuje.

Nová definice souhlasu se zpracováním osobních údajů je uvedena v článku 4 odst. 11 GDPR. Podle tohoto ustanovení se souhlasem subjektu údajů rozumí jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

GDRP tedy jednoznačně uvádí, že takový souhlas musí být konkrétní a jednoznačný. To potvrzuje i recitál 32, který říká, že souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, učiněného i elektronicky, nebo ústního prohlášení.

Aby byl souhlas konkrétní, musí být udělen vždy pro konkrétní účel, který je dostatečně specifický na to, aby z něj subjekt údajů získal nějakou představu o tom, jak bude s jeho osobními údaji nakládáno. V případě, že bude účel vymezen příliš vágně, je pravděpodobné, že souhlas nebude dostatečně konkrétní.

Případů, kdy je možné považovat souhlas za nesvobodný, je více. Jedním z nich je situace, kdy je předpoklad svobodně uděleného souhlasu menší, tj. kdy je souhlas udělený subjektem ve slabším postavení - typicky zaměstnancem zaměstnavateli. Obecným klíčem pro rozpoznání toho, kdy je a kdy není udělený souhlas svobodný, je skutečnost, zda hrozí subjektu údajů za neudělení souhlasu nějaká újma.

Informovaný je souhlas tehdy, pokud subjekt údajů obdržel před jeho udělením veškeré informace podle čl. 13 GDPR. Tyto údaje musí být navíc v souladu s čl. 12 GDPR sděleny transparentně, srozumitelně a za použití jasných a jednoduchých jazykových prostředků. Rovněž samotná písemná žádost o poskytnutí souhlasu má stanoveny formální náležitosti, kdy podle čl. 7 odst. 2 GDPR musí být taková žádost jasně odlišitelná od jiných skutečností, musí být srozumitelná a snadno přístupná opět za použití jasných a jednoduchých jazykových prostředků. Odchylka od těchto formálních náležitostí bude mít za následek nezávaznost té části prohlášení o souhlasu, která trpí vadami.

GDPR stanoví, že osobním údajem je jakákoliv informace o identifikované nebo identifikovatelné fyzické osobě. V první řadě tedy není osobním údajem pouze samotný identifikátor jako rodné číslo nebo jméno a příjmení, ale veškeré informace o dané osobě, které jsou s tímto identifikátorem spojeny (např. kompletní záznam v personálním systému, který se vztahuje ke konkrétnímu zaměstnanci).

I v případě, kdy ze záznamu odstraníme všechny přímé identifikátory jako rodné číslo nebo jméno a příjmení, nemusí konkrétní záznam přestat obsahovat osobní údaje, pokud lze příslušná data přiřadit ke konkrétní fyzické osobě nepřímo. Pokud tedy např. zmíněný záznam v personálním systému obsahuje informace o věku, dosaženém vzdělání a kvalifikaci, které v rámci dané organizace odpovídají pouze jedné osobě, pak celý záznam (vč. případné výše mzdy daného zaměstnance apod.) stále představuje osobní údaje, i když jsou přímé identifikátory odstraněny.

GDPR požaduje, aby - pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností - byla žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků.

Podle článku 7 odst. 3 GDPR má subjekt údajů právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.

Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny. Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen.

2. ROZSAH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Zaměstnavatelé by vždy měli zpracovávat osobní údaj pro jasně vymezené účely, které jsou proporcionální a nutné, a to pouze v nezbytném rozsahu, zajišťovat proporcionalitu zpracování a dostatečně informovat své zaměstnance o zpracování jejich údajů. Dále by svým zaměstnancům měli umožnit uplatňovat jejich práva, jako je právo na přístup či na výmaz, uchovávat údaje pouze po nezbytnou dobu, zajistit jejich aktuálnost a v neposlední řadě zajistit bezpečnost uchovávaných údajů (viz v dalších bodech).

Začátkem června tohoto roku vydala WP29 [Pracovní skupina podle čl. 29 (Article 29 Working Party, WP29), sdružující zástupce národních dozorových úřadů v oblasti ochrany osobních údajů ze všech členských zemí EU] nové Stanovisko č. 2/2017, zabývající se problematikou zpracování osobních údajů v souvislosti se zaměstnáním. Hlavním důvodem pro vydání stanoviska byl vývoj nových technologií, které umožňují systematičtější zpracování osobních údajů a mnohdy také představují rizika pro ochranu osobních údajů a soukromí. Nepřináší však zásadní revoluci v této oblasti. Obecně lze říct, že koriguje a upravuje vyvážení oprávněných zájmů zaměstnavatelů s cílem chránit své podnikání a přiměřeného očekávání ochrany soukromí ze strany zaměstnanců.

V tomto novém stanovisku WP29 zdůrazňuje nutnost brát při zpracování osobních údajů ohledy na základní zásady zpracování osobních údajů. Přednostně však uvádí tři principy, a to konkrétně nutnost zpracování osobních údajů pouze na základě platného právního základu, transparentnost zpracování, tedy povinnost efektivně informovat zaměstnance o monitoringu či prováděném zpracování jejich údajů, a problematiku automatizovaného rozhodování.

WP29 dále v souladu s předchozím stanoviskem z roku 2001 opakuje, že souhlas zaměstnance se zpracováním jeho osobních údajů zaměstnavatelem nelze až na výjimky považovat za vhodný právní titul pro zpracování údajů. Důvodem je především vzájemné postavení a závislost těchto subjektů, a tedy faktická neodvolatelnost takového souhlasu.

Bez ohledu na právní základ pro zpracování údajů by tedy zaměstnavatelé měli prvně provést test proporcionality a zavést nástroje k zajištění minimalizace zásahu do osobních údajů a soukromí.

Zvláštní kategorií osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.

Jejich výčet je téměř totožný s výčtem citlivých údajů v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, až na údaj o odsouzení za trestný čin, který již nebude považován za zvláštní kategorii osobních údajů, ale podmínky pro zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů mají zvláštní režim v článku 10 GDPR.

Zvláštní kategorie osobních údajů lze mimo jiné zpracovávat, pokud subjekt údajů udělil výslovný souhlas nebo pokud je zpracování nezbytné pro plnění povinností v oblasti pracovního práva, práva sociálního zabezpečení a sociální ochrany.

Velmi často bude zmocnění pro zpracování zvláštní kategorie osobních údajů obsaženo v příslušném právním předpise, kterým se správce musí řídit, či bude vyplývat z oprávněné činnosti správce.

.
  1. Smlouva o poskytnutí užívacích práv k On-line produktu (dále také jen   "smlouva") se uzavírá na dobu určitou, a to na dobu předplatného uvedenou v objednávce a ve faktuře. 
  2. Dojde-li k objednání On-line produktu nakladatelství přes internet, vzniká smlouva mezi objednatelem a nakladatelstvím okamžikem odeslání objednávky učiněné v internetovém obchodu nakladatelství. Podmínkou odeslání objednávky je odsouhlasení těchto všeobecných obchodních podmínek pro On-line produkty (dále také "VOP-O"), které se tak stávají právně závazné pro obě smluvní strany. 
  3. V případě objednání On-line produktu jakýmkoli jiným způsobem vzniká smlouva mezi objednatelem a nakladatelstvím zaplacením zálohové faktury. Úhradou zálohové faktury se stávají VOP-O právně závaznými pro obě smluvní strany. 
  4. Ke vzniku smlouvy mezi nakladatelstvím a objednatelem dojde vždy s výhradou ztráty schopnosti nakladatelství smlouvu plnit. 
  5. Objednateli vzniká právo užívat On-line produkt po uzavření smlouvy, zaplacení ceny (předplatného) On-line produktu  a aktivaci přístupu objednatele do On-line produktu provedené nakladatelstvím.
    O aktivaci přístupu do On-line produktu je objednatel nakladatelstvím informován emailem a současně jsou mu zaslány pokyny k přihlášení do On-line produktu. Rozhodne-li se objednatel svého práva na užívání On-line produktu nevyužít, nemá tato skutečnost vliv na platnost smlouvy a povinnost objednatele platit cenu On-line produktu (předplatné). 
  6. Smlouva se vždy automaticky prodlužuje o další předplatné období, jehož délka je shodná s délkou předcházejícího  předplatného období, nedoručí-li nejpozději 6 týdnů před uplynutím předplaceného období uvedeného na faktuře jakákoli ze smluvních stran druhé smluvní straně emailem nebo dopisem učiněné oznámení, že o automatické prodloužení předplatného nemá zájem. V případě jednoměsíčního předplatného se šestitýdenní lhůta pro doručení oznámení zkracuje na 15 dní a ust. čl. 8 VOP-O se nepoužije. Obě smluvní strany s automatickým prodlužováním smlouvy výslovně souhlasí. Objednatel je povinen platit nakladatelství předplatné navýšené o DPH po celou dobu platnosti smlouvy. 
  7.  Nakladatelství je s ohledem na nárůst průměrného indexu spotřebitelským cen oprávněno zvýšit jednou ročně ceny předplatného na další předplatné období, maximálně však vždy o 3 % z  ceny předplatného předcházejícího předplatného období. 
  8. Nakladatelství odešle objednateli zálohovou fakturu na další předplatné období vždy nejpozději 4 týdny před koncem stávajícího předplaceného období. 
  9. Dojde-li ze strany objednatele k prodlení se zaplacením ceny předplatného, je nakladatelství oprávněno požadovat od objednatele zaplacení nákladů spojených s vymáháním každé pohledávky ve výši 1200 Kč v souladu s nařízením vlády č. 351/2013 Sb. 
  10. Objednatel je povinen nakladatelství bez zbytečného odkladu oznámit jakékoli změny údajů, které  uvedl při uskutečnění objednávky. 
  11. On-line produkt podléhá autorskoprávní ochraně. On-line produkt nesmí být objednatelem ani nikým jiným bez předchozího souhlasu nakladatelství jakkoli rozmnožován, rozšiřován, pronajímán, propachtován, vystavován či půjčován třetím osobám a jeho obsah nesmí být sdělován v jakékoli formě veřejnosti. 
  12. Právo užívat On-line produkt je nepřenosné. Není-li mezi stranami smlouvy ujednáno jinak (multilicenční ujednání obsažené ve faktuře), má právo užívat On-line produkt
    a) v případě objednatelů - fyzických osob pouze tato jedna fyzická osoba a b) v případě objednatelů - právnických osob pouze jedna fyzická osoba u objednatele. 
  13. Poruší-li objednatel toto podlicenční ujednání nebo poruší-li jinou svou zákonnou či smluvní povinnost podstatným způsobem, je nakladatelství oprávněno od smlouvy s    okamžitým účinkem odstoupit a zrušit přístup objednatele k On-line produktu formou deaktivace přístupu nebo přístupového jména a hesla objednatele. 
  14. Nakladatelství nenese jakoukoli odpovědnost za správnost či úplnost obsahu On-line produktu a za případnou škodu či nemajetkovou újmu způsobenou přímo či nepřímo užitím obsahu On-line produktu. Ustanovení § 2950 zákona č. 89/2012 Sb., občanský zákoník, se na odpovědnost nakladatelství neuplatní. 
  15. Nakladatelství odpovídá za to, že dostupnost On-line produktu nebude v průměru měsíčně nižší než 90%. Tato odpovědnost se však nevztahuje na kvalitu internetového připojení poskytovaného objednateli třetími osobami. Objednatel má právo odstoupit od smlouvy s účinky do budoucna, bude-li alespoň dva po sobě následující měsíce dostupnost On-line produktu nižší než 90 %. 
  16. V případě potřeby (oznámení, reklamace, stížnosti atp.) může objednatel kontaktovat nakladatelství na emailové adrese info@dashofer.cz nebo prostřednictvím kontaktů uvedených na www.dashofer.cz.  
  17. Není-li uvedeno jinak, mohou být veškerá oznámení adresovaná objednateli nakladatelstvím činěna ve formě elektronické zprávy adresované na emailovou adresu objednatele. Nakladatelství je dále oprávněno zasílat zálohové faktury a daňové doklady objednateli elektronicky, případně poštou. 
  18. Není-li v objednávce výslovně uvedeno jinak, má se za to, že objednatel je podnikatel a objednávku činí v souvislosti se svou podnikatelskou činností. V těchto případech se na právní vztah mezi objednatelem a nakladatelstvím neuplatní ustanovení § 1799 a § 1800 zákona č. 89/2012 Sb., občanský zákoník. Zákonná práva objednatelů - spotřebitelů nejsou tímto ustanovením dotčena. 
  19. Případné soudní spory vyplývající z právních vztahů mezi objednatelem a nakladatelstvím  bude rozhodovat obecný soud místně příslušný podle sídla nakladatelství. 
  20. Tyto všeobecné obchodní podmínky pro On-line produkty tvoří nedílnou součást smlouvy. Nakladatelství je oprávněno v případě potřeby tyto VOP-O jednostranně změnit. O takovéto změně bude objednatel vždy s dostatečným časovým předstihem písemně, elektronicky emailem anebo na internetových stránkách nakladatelství informován a bude mít možnost změnu VOP-O odmítnout a smlouvu z tohoto důvodu ukončit. 
  21. V případě rozporu mezi ustanovením smlouvy a těmito VOP-O má příslušné ustanovení smlouvy před VOP-O přednost . 
  22. Společnost Verlag Dashöfer, nakladatelství,spol.s r.o. se sídlem Praha 6 - Vokovice, Evropská 423/178, PSČ 160 00, IČ: 45245681, je zapsána u Městského soudu v Praze, oddíl C, vložka 7702.


Tyto obchodní podmínky si můžete vytisknout kliknutím na následující odkaz:
http://www.dashofer.cz/vop/online/vop-online.pdf.

.

Ochrana osobních údajů a jejich používání

Ochrana soukromí je záležitostí  důvěry a vaše důvěra je pro nás důležitá. Respektujeme vaše soukromí a při zpracování vašich osobních údajů dodržujeme zákonná právní předpisy týkající se ochrany osobních údajů, zejména tzv. GDPR (nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)) (dále jen "Nařízení").

Chtěli bychom vás tímto informovat o našem nakládání s osobními údaji pro zajištění vaší informovanosti příp. pro získání souhlasu s jejich zpracováním.

1. Data a jejich využití 

Verlag Dashöfer, nakladatelství spol s r.o. jakožto Správce zpracovává osobní údaje za tímto účelem:

 

 

 

 

Výše uvedené údaje zpracováváme po dobu aktivní objednané služby a po dobu 5 let od ukončení objednané služby nebo nákupu singulárního produktu, nepožaduje-li právní předpis uchování smluvní dokumentace po dobu delší. V případě zpracování osobních údajů na základě uděleného dobrovolného souhlasu po dobu 5 let od udělení souhlasu.

Aktuální seznam našich zpracovatelů můžete nalézt zde.

2. Zabezpečení dat 

Ochrana vašich údajů je pro nás klíčová, proto vynakládáme maximální úsilí pro zajištění jejich bezpečnosti. Plně využíváme technická i organizační opatření pro prevenci neoprávněného přístupu k těmto datům a zamezení jejich zničení nebo zneužití. Způsoby zabezpečení vašich dat jsou také pravidelně kontrolovány.

Při zpracování údajů v plné míře využíváme možností pseudonymizace a anonymizace, abychom co nejvíce posílili jejich zabezpečení.   

 

3. Práva subjektů

Nad svými osobními údaji neztrácíte kontrolu. Můžete k nim kdykoliv přistupovat nebo je opravit. Jako subjekt zpracování osobních dat máte také následující práva: právo na potvrzení o zpracování a informace o tom, jaké osobní údaje o vás zpracováváme, na opravu, výmaz (pokud se nejedná o osobní údaje, které jsme povinni nebo oprávněni dále zpracovávat dle příslušných právních předpisů), omezení zpracování, přenos osobních údajů, námitku proti zpracování, podat stížnost u dozorového úřadu(ÚOOÚ), na účinnou soudní ochranu, pokud máte za to, že vaše práva podle Nařízení byla porušena v důsledku zpracování vašich osobních údajů v rozporu s tímto Nařízením. V případě zpracování na základě uděleného dobrovolného souhlasu máte také právo kdykoliv tento souhlas vzít zpět. 

V případě dalších dotazů ohledně zpracování osobních údajů nás můžete kontaktovat na info@dashofer.cz