Zaměstnavatel a GDPR – jak se připravit?

Zaměstnavatel a GDPR – jak se připravit?

Již nyní zpracovávají zaměstnavatelé osobní údaje, většinou na základě svých zákonných povinností – typicky pro plnění odvodových a mzdových povinností. V tomto smyslu GDPR nepřinese žádné změny. Jak je to však s osobními údaji, s nimiž zaměstnavatel nakládá na základě souhlasu zaměstnance? Zase typicky vyvěšení fotografie na firemní web či monitoring zaměstnanců pomocí kamer.

Každá firma by se měla zamyslet, jaké osobní údaje od svých zaměstnanců skutečně potřebuje nad rámec těch, u nichž to vyžaduje zákon. Totéž platí pro uchazeče o zaměstnání a bývalé zaměstnance.

Jak tedy nastavit pravidla ochrany osobních údajů zaměstnanců? Základem je povinnost zacházet se všemi zaměstnanci, resp. uchazeči stejně a zdržet se jakékoli diskriminace.

Například u zájemců o zaměstnání nesmí zaměstnavatel zjišťovat informace, které nesouvisí s pracovním poměrem – politické postoje, vyznání, sexuální orientace, členství v odborech. Vždy však záleží na tom, jak zaměstnavatel potřebu konkrétní informace věrohodně odůvodní. Je zcela jistě legitimní zjistit, zda má zaměstnankyně děti, aby jí zaměstnavatel následně mohl vyjít vstříc při sladění pracovního a rodinného života. Dodá-li uchazeč životopis a následně není vybrán, je třeba životopis skartovat, pokud uchazeč výslovně nesouhlasil s tím, že jeho kontakt zůstane v databázi pro případné budoucí využití.

Jak je to s již zmíněnou fotografií zaměstnance? Je-li použita při plnění povinností zaměstnavatele, není nutný výslovný souhlas zaměstnance s jejím použitím. O tyto situace půjde tehdy, bude-li fotografie umístěna na průkazu zaměstnance, na firemním intranetu, na nástěnce ve výrobní hale. Zveřejnění fotografie na webu však již pod plnění zákonných povinností zpravidla nespadne a bude tedy nutné vyžádat souhlas zaměstnance. Obdobné zásady platí u monitoringu zaměstnanců. Dochází-li k němu v rámci kontroly ochrany majetku zaměstnavatele, bezpečnosti a ochrany zdraví při práci, pak se jedná o plnění povinností zaměstnavatele. Pokud by však již došlo k narušení soukromí zaměstnance, např. v prostoru šatny, je třeba souhlas zaměstnance.

Výše uvedené obecné principy zůstávají zachovány i po účinnosti GDPR. Co se však mění, jsou požadavky na souhlas. Ten musí být svobodný, konkrétní, informovaný a jednoznačný. Jeho začlenění do pracovní smlouvy je diskutabilní. Souhlas může zaměstnanec totiž kdykoli odvolat. Je-li ve smlouvě, musel by být uzavírán dodatek, což může být nepraktické.

Na závěr připomeňme, že jakmile pomine účel zpracování osobních údajů, je vhodné je vymazat, a to i ze záloh a záložních úložišť. Předejde se tak případným sankcím například při neoprávněném úniku dat.

Markéta Schormová, Úřad HK ČR

GDPR

General Data Protection Regulation – nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů), kterým se zrušuje směrnice 95/46/ES a které nabyde účinnosti 25. května 2018

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *