Přehled novinek z oblasti GDPR pro soukromé společnosti

Revize dokumentace z důvodu účinnosti zákona č. 110/2019, o zpracování osobních údajů

Na základě účinnosti zákona č. 110/2019 Sb., o zpracování osobních údajů, musejí veřejnoprávní i soukromoprávní subjekty v postavení správce osobních údajů či zpracovatele osobních údajů provést revizi dokumentace upravující zpracování osobních údajů v organizaci / společnosti.

V prvé řadě je nezbytné provést formální revizi dokumentace týkající se osobních údajů, tj. změnu odkazů na relevantní předpisy, zejména tam, kde dokumenty odkazovaly na předchozí zákon č. 101/2000 Sb., o ochraně osobních údajů. Dále je třeba v rámci revizí dokumentace posoudit, zda na správce osobních údajů či zpracovatele osobních údajů dopadají i dílčí změny některých zákonů, k nimž došlo účinností zákona č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů. Revize dokumentace je potřeba také v případě, že se na organizaci / společnost vztahuje povinnost provádět DPIA (posouzení vlivu na ochranu osobních údajů).

V rámci zákona č. 110/2019 Sb. došlo k určitému posunu ve vnímání mlčenlivosti zaměstnanců a spolupracujících osob. Doporučujeme tedy zvážit doplnění pracovních smluv o jasné ustanovení, podle nějž by měli mít všichni zaměstnanci povinnost zachovávat mlčenlivost o osobních údajích a organizačních i technických opatřeních, jejichž zveřejnění by ohrozilo bezpečnost osobních údajů.

Dynamický biometrický podpis je nově posuzován jako zvláštní kategorie osobních údajů

Úřad pro ochranu osobních údajů změnil svůj přístup ke zpracování biometrického dynamického podpisu připojeného ke konkrétnímu dokumentu v rámci běžné smluvní agendy, kdy nedochází k verifikaci či porovnávání podpisu dle referenčního vzoru (nahrazení tradičního podepisování se na papír za podepisování se na speciální zařízení (tablet nebo signpad) pro snímání podpisu). ÚOOÚ nově považuje tento způsob zpracování za zpracování zvláštních kategorií osobních údajů, pro které bude vyžadován výslovný souhlas subjektu údajů.

Dynamický biometrický podpis je tzv. prostým elektronickým podpisem (podpisem bez přívlastku) dle definice čl. 3 bodu 10 nařízení eIDAS, který byl v České republice prostřednictvím § 7 zákona č. 297/2016 Sb. aprobován jako platný typ podpisu v rámci soukromoprávního jednání. Dle Nařízení GDPR je dynamický biometrický podpis osobní údaj, tj. informace o identifikované nebo identifikovatelné fyzické osobě. Informace, které jsou prostřednictvím dynamického biometrického podpisu snímány, totiž představují biometrickou stopu, která je unikátní pro každou fyzickou osobu, a nemohou být reprodukovány.

Pořizování a vyhodnocování kamerového záznamu společností

Kamerový záznam (obrazový, videozáznam) je osobním údajem za předpokladu, že lze ze snímku přímo či nepřímo identifikovat konkrétní fyzickou osobu. Společnost má pravomoc pořizovat záznam z kamerového systému ke sledování budov a objektů v jejím vlastnictví či nájmu proto, aby ochránila svůj majetek, kontrolovala své zaměstnance a klienty společnosti (v těchto případech se jedná o ochranu majetku společnosti, ne o ochranu obecné bezpečnosti a veřejného pořádku). Společnost ale nemá pravomoc provozovat kamerové systémy k jiným účelům, např. k odhalovací činnosti. Odhalovací činnost nemůže provádět společnost sama, neboť se jedná o dohled nad veřejným pořádkem či dodržování předpisů v rámci provozu na pozemních komunikacích (tuto pravomoc má Policie ČR nebo obecní policie).

Z pohledu ochrany osobních údajů není provozování bezzáznamového kamerového systému (pouze přenos bez záznamu) považováno za zpracování osobních údajů. Může se ale stále jednat o zásah do práva na soukromí, a to v režimu občanského zákoníku. Je tedy vždy nezbytné důkladně zvážit nasazení a provozování bezzáznamového kamerového systému.

Při provozování kamerového systému musí společnost zajistit informování subjektů údajů snímaných kamerami (informování o daném monitorování a využití kamerových záznamů). Informování by mělo být v souladu se zásadou transparentnosti dostatečně jasné a jednoduché.

Uchovávání kopií dokladů totožnosti zaměstnanců – cizinců

Zákon č. 435/2004 Sb., o zaměstnanosti definuje, že zaměstnavatel je povinen uchovávat kopie dokladů prokazujících oprávněnost pobytu cizince na území České republiky, a to ještě 3 roky po skončení zaměstnávání tohoto cizince. Tato povinnost se týká cizinců, kteří jsou občany zemí mimo evropskou oblast volného pohybu osob. Zaměstnavatelé tedy musí okopírovat a archivovat povolení k zaměstnání, zaměstnaneckou kartu, kartu vnitropodnikově převedeného zaměstnance nebo modrou kartu každého takového cizince, kterého zaměstnávají.

Zaměstnavatelé mají povinnost vést evidenci cizinců podle § 102 odst. 2 zákona o zaměstnanosti.

Přístup k informacím u bývalého zaměstnavatele po skončení pracovního poměru

Osobní údaje bývalého zaměstnance jsou i po skončení pracovního poměru zaměstnavatelem dále zpracovávány, např. v rámci evidence docházky. Bývalý zaměstnanec může pro získání informace od svého bývalého zaměstnavatele využít práva subjektu údajů na přístup k osobním údajům podle čl. 15 Nařízení GDPR. Součástí tohoto práva je i právo na poskytnutí kopie zpracovávaných osobních údajů, tedy kopie údajů, které jsou o zaměstnanci v evidenci docházky vedeny. Právo na poskytnutí kopie zpracovávaných osobních údajů však nezakládá právo nahlížet do spisů nebo evidencí, tedy např. do evidence docházky nebo osobního spisu (v případě současných zaměstnanců toto výslovně upravuje zákoník práce).

Účinnost zákona č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů

Společně se zákonem č. 110/2019 Sb., o zpracování osobních údajů nabyl účinnosti také zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů.

Zákon č. 111/2019 Sb. za účelem přizpůsobení dosavadního právního řádu nové právní úpravě v oblasti zpracování osobních údajů novelizuje 39 zákonů:

  • Zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád)
  • Zákon č. 99/1963 Sb., občanský soudní řád
  • Zákon České národní rady č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení
  • Zákon České národní rady č. 358/1992 Sb., o notářích a jejich činnosti (notářský řád)
  • Zákon České národní rady č. 555/1992 Sb., o Vězeňské službě a justiční stráži České republiky
  • Zákon České národní rady č. 6/1993 Sb., o České národní bance
  • Zákon č. 96/1993 Sb., o stavebním spoření a státní podpoře stavebního spoření a o doplnění zákona České národní rady č. 586/1992 Sb., o daních z příjmů, ve znění zákona České národní rady č. 35/1993 Sb.
  • Zákon č. 182/1993 Sb., o Ústavním soudu
  • Zákon č. 283/1993 Sb., o státním zastupitelství
  • Zákon č. 269/1994 Sb., o Rejstříku trestů
  • Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců a poslanců Evropského parlamentu
  • Zákon č. 85/1996 Sb., o advokacii
  • Zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů
  • Zákon č. 49/1997 Sb., o civilním letectví a o změně a doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů
  • Zákon č. 106/1999 Sb., o svobodném přístupu k informacím
  • Zákon č. 257/2000 Sb., o Probační a mediační službě a o změně zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, ve znění pozdějších předpisů, zákona č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, a zákona č. 359/1999 Sb., o sociálně-právní ochraně dětí (zákon o Probační a mediační službě)
  • Zákon č. 6/2002 Sb., o soudech, soudcích, přísedících a státní správě soudů a o změně některých dalších zákonů (zákon o soudech a soudcích)
  • Zákon č. 150/2002 Sb., soudní řád správní
  • Zákon č. 256/2004 Sb., o podnikání na kapitálovém trhu
  • Zákon č. 499/2004 Sb., o archivnictví a spisové službě
  • Zákon č. 187/2006 Sb., o nemocenském pojištění
  • Zákon č. 129/2008 Sb., o výkonu zabezpečovací detence a o změně některých souvisejících zákonů
  • Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu
  • Zákon č. 273/2008 Sb., o Policii České republiky
  • Zákon č. 280/2009 Sb., daňový řád
  • Zákon č. 341/2011 Sb., o Generální inspekci bezpečnostních sborů a o změně souvisejících zákonů
  • Zákon č. 427/2011 Sb., o doplňkovém penzijním spoření
  • Zákon č. 456/2011 Sb., o Finanční správě České republiky
  • Zákon č. 17/2012 Sb., o Celní správě České republiky
  • Zákon č. 104/2013 Sb., o mezinárodní justiční spolupráci ve věcech trestních
  • Zákon č. 300/2013 Sb., o Vojenské policii a o změně některých zákonů (zákon o Vojenské policii)
  • Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
  • Zákon č. 234/2014 Sb., o státní službě
  • Zákon č. 374/2015 Sb., o ozdravných postupech a řešení krize na finančním trhu
  • Zákon č. 186/2016 Sb., o hazardních hrách
  • Zákon č. 300/2016 Sb., o centrální evidenci účtů
  • Zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách)
  • Zákon č. 133/2000 Sb., o evidenci obyvatel a o rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel)
  • Zákon č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách)

Požadavek na ztotožnění žadatele o naplnění práv subjektů údajů

Na základě provedené kontroly Úřadem pro ochranu osobních údajů doporučujeme upravit Informační memorandum a návod na plnění práv subjektu údajů v oblasti prokázání totožnosti žadatele. Namísto stávajících požadavků na ztotožnění žadatele:

„Příjem žádostí je prováděn výhradně proti jednoznačné identifikaci subjektu údajů (ztotožnění), tedy podáním žádosti datovou schránkou subjektu údajů, podáním žádosti podepsané uznávaným elektronickým podpisem založeným na kvalifikovaném certifikátu subjektu údajů prostřednictvím elektronické podatelny města, podáním žádosti s úředně ověřeným podpisem subjektu údajů prostřednictvím podatelny města nebo ověřením totožnosti žadatele předložením občanského průkazu při osobním podání žádosti v podatelně města.“

doporučujeme uvést např. takovou formulaci:

„Dovolujeme si Vás upozornit, že jsme povinni řádně ověřit totožnost žadatele o naplnění práv subjektu údajů a toto ověření zdokumentovat. Existuje-li pochybnost o totožnosti subjektu údajů, který podává žádost o informace o zpracování osobních údajů, uplatňuje některé z práv subjektu údajů nebo dává správci podnět, můžeme jej požádat o poskytnutí dodatečných informací nezbytných k potvrzení jeho totožnosti.

Školení zaměstnanců v oblasti ochrany osobních údajů

V rámci zpracování osobních údajů je důležité provádět pravidelná školení zaměstnanců společnosti v oblasti ochrany osobních údajů. Obecně je doporučeno proškolit zaměstnance v oblasti ochrany osobních údajů v rámci vstupního školení pro nové zaměstnance – nastupující zaměstnanec standardně vždy projde základním vstupním školením, tj. BOZP, požární ochrana, IT školení atd., k těmto školením je tedy vhodné přidat i ochranu osobních údajů. Všichni zaměstnanci společnosti by měli být seznámeni se základy GDPR, měli by min. znát základní pojmy a umět identifikovat osobní údaje.

U současných zaměstnan­ců je doporučeno školení v oblasti ochrany osobních údajů provádět 1x ročně. V případě změny právní úpravy je vhodné uspořádat pro zaměstnance mimořádné školení v oblasti ochrany osobních údajů.

Všechna provedená školení doporučujeme zdokumentovat prezenční listinou.

Práva a povinnosti zaměstnavatelů při zpracování osobních údajů

Moderní technologie nabízí širokou škálu prostředků pro sledování činností zaměstnanců, např. kamerové systémy instalované v zájmu ochrany oprávněných zájmů zaměstnavatele, GPS v automobilech, nástroje pro filtrování webových stránek, aplikace či jiná zařízení určená ke sledování za účelem prevence úniku dat atd.

Zákon č. 262/2006 Sb., zákoník práce definuje vztahy mezi zaměstnavatelem a zaměstnancem, tj. definuje i závislou práci a povinnosti vyplývající z pracovního poměru. Z povahy pracovněprávního vztahu vyplývá, že je legitimní, aby zaměstnavatel kontroloval zaměstnance při užívání svěřeného majetku určeného k plnění pracovních úkolů. Zaměstnanec je povinen sdělovat, resp. umožnit sběr informací týkajících se jeho osoby, pokud se týkají vykonávané práce nebo je zaměstnavatel potřebuje ke splnění svých povinností stanovených obecně závaznými právními předpisy. Typicky se jedná o ohlašovací povinnosti zaměstnavatele (např. ČSSZ, zdravotním pojišťovnám atd.).

Zaměstnavatel ale musí vždy respektovat hranici mezi soukromím zaměstnanců a kontrolou pracovních povinností zaměstnanců. Obecně by zaměstnavatel neměl své zaměstnance monitorovat, pokud k tomu nemá závažný důvod, případně lze sledování provádět pouze namátkově. Závažné důvody musí spočívat ve zvláštní povaze činnosti zaměstnavatele. Není však možné obecně určit, kdy jsou tyto závažné důvody spočívající ve zvláštní povaze činnosti zaměstnavatele naplněny, resp. kterých všech činností se výjimka týká. Naplnění podmínek je třeba zkoumat v každém konkrétním případě a zároveň zajistit, aby opatření zaměstnavatele dopadající na soukromí zaměstnance bylo přiměřené jeho účelu.

Využívání online rezervačního systému z pohledu ochrany osobních údajů

Při využívání online rezervačního systému zadávají klienti do systému své jméno a telefonní číslo. Jsou-li tyto osobní údaje poskytovány v souvislosti se vznikem právního vztahu, např. v souvislosti s uzavřením smlouvy (tj. klient si rezervuje službu, ohledně které se uzavírá smlouva), je pro vznik a realizaci daného právní­ho vztahu nezbytná oboustranná výměna informací. V případě následné rezervace služby není tedy potřeba sou­hlasu subjektu se zpracováním osobních údajů a plně postačuje splnění informační po­vinnosti o zpracování osobních údajů na webových stránkách.

Postup provedení „práva být zapomenut“ v Google a sociálních sítích

Právo být zapomenut, tj. vymazat zmínky a údaje o své osobě, lze provést i v rámci internetu – v Google a sociálních sítích.

Google

Společnost Google umožňuje odstranění informací z vyhledávání na základě evropských předpisů o ochraně údajů. Žadatel o odstranění musí prokázat svoji identitu, označit webové stránky, které uvádí jméno dotčené osoby a popsat situaci, v níž dochází k porušení ochrany osobních údajů. Postup pro odstranění informací z vyhledávače Google je uveden na internetové adrese https://support.google.com/webmasters/answer/6332384?hl=cs&ref_topic=1724262. Formulář je uveden na adrese https://support.google.com/legal/contact/lr_eudpa?product=websearch.

Google Maps (Street View)

Podmínky ochrany soukromí při přidávání fotografií na Mapy Google jsou uvedeny na internetových stránkách https://www.google.com/intl/cs/streetview/policy/#privacy-and-blurring. V případě, že byl obsah map přidaný společností Google, lze nahlásit problém (např. požádat o odstranění / rozmazání fotografie s vaší tváří, vaším domovem nebo jinou identifikující informací zveřejněnou bez vašeho souhlasu) na adrese https://support.google.com/maps/answer/3093484?hl=cs.

Mapy.cz

Pravidla (licenční ujednání) ke vkládání fotografií na internetovou stránku Mapy.cz jsou uvedena na adrese https://napoveda.seznam.cz/cz/mapy/licencni-ujednani-ke-vkladani-fotografii-na-mapycz/. Porušení pravidel pro přidávání fotografií lze nahlásit na adrese https://napoveda.seznam.cz/cz/mapy-hlaseni-chyby/.

Facebook

Obecné nastavení soukromí a možnosti zveřejnění uživatelů Facebooku jsou upraveny prostřednictvím nástroje pro soukromí (https://www.facebook.com/help/325807937506242?helpref=popular_topics), v rámci kterého lze kontrolovat veřejnost přidávaných příspěvků, možnosti označení a ochrana osobních údajů. V případě, kdy se profil osoby vedený na Facebooku zobrazuje v internetových prohlížečích, je možné toto zobrazení skrýt pomocí nástroje nastavení veřejného vyhledávání https://www.facebook.com/help/124518907626945?helpref=faq_content.

Twitter

V jednotlivých příspěvcích na Twitter lze kontrolovat označování na fotografiích a příspěvcích, objevitelnost dle telefonního čísla či e-mailové adresy a zobrazování reklam – kontrolu lze provést v sekci zabezpečení a soukromí https://twitter.com/settings/security.

Adaptační zákon

Dne 24.4.2019 vešel v účinnost nový zákon č. 110/2019 Sb., o zpracování osobních údajů. Tímto Adaptačním zákonem se ruší zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, a nový zákon společně s Nařízením GDPR jej tak zcela nahrazují.

Nejzásadnější novinky se týkají stanovení výše pokut, jejichž nastavení má každá členská země EU ve své kompetenci. Pokud se fyzická, právnická nebo podnikající fyzická osoba dopustí přestupku tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným právním předpisem (např. trestním řádem či zákonem o soudnictví ve věcech mládeže), je možné za takový přestupek uložit pokutu do 1.000.000,- Kč, nebo 5.000.000,- Kč, jde-li o přestupek spáchaný tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem.

Orgánům veřejné moci a veřejným subjektům České republiky nebude správní trest (pokuta) uložen, ale v případě, že kontrolovaná osoba neprovedla nápravu na základě předchozího zjištění ÚOOÚ, může proti ní být zahájeno řízení o přestupku nesoucí možné sankce.

V případě, že půjde o porušení některých povinností týkající se ochrany osobních údajů právnickou osobou vyplývající z hlavy III zákona č. 110/2019 Sb. (zpracování osobních údajů za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti ČR nebo zajišťování veřejného pořádku a vnitřní bezpečnosti), může být uložena pokuta až do výše 10.000.000,- Kč. Orgány veřejné moci a veřejné subjekty České republiky již od této pokuty nejsou osvobozeny.

Důležité je připomenout, že výše pokut je uvedena jako maximální a v případě udělení finanční sankce nesmí být její výše pro daný subjekt likvidační.

Zákon dále například stanovuje hranici pro způsobilost dítěte k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti (např. zpracování osobních údajů provozovateli sociálních sítí) na 15 let.

Z důvodu této legislativní úpravy je nezbytné pouze upravit veškeré vzorové dokumenty týkající zpracování osobních údajů tak, aby vycházely již z nového zákona. Jedná se především o směrnici o nakládaní s osobními údaji a souhlasy pro zákonné zástupce, zaměstnance a další osoby. Souhlasy udělené podle zákona č. 101/2000 Sb. se považují za souhlas stále platný a není tedy nutné tyto souhlasy znovu udělovat.

Celé znění Adaptačního zákona naleznete zde.

Zpracování a archivace osobních údajů neúspěšných uchazečů o zaměstnání (v rámci výběrového řízení)

Zpracování osobních údajů uchazečů o zaměstnání v rámci výběrového řízení je nezbytné pro provedení opatření přijatých před případným uzavřením pracovní či jiné smlouvy, zpracování osobních údajů je tedy oprávněné (samozřejmě při zohlednění potřebnosti a relevance požadovaných osobních údajů). Pro fázi samotného výběrového řízení je proto souhlas nejen nadbytečným, ale dokonce nesprávným zákonným důvodem zpracování osobních údajů.

Pokud ale má zaměstnavatel zájem ponechat si po ukončení výběrového řízení shromážděné osobní údaje neúspěšných uchazečů o zaměstnání pro účely jejich budoucího oslovení s novou nabídkou, je souhlas vhodným právním důvodem dalšího zpracování. Pokud neúspěšný uchazeč o zaměstnání písemně vysloví svůj souhlas s dalším zpracováním svých osobních údajů pro účely budoucích výběrových řízení, který splňuje všechny zákonné náležitosti (viz. čl. 7 Nařízení GDPR), je zaměstnavatel oprávněn osobní údaje zpracovávat po dobu, v souhlasu stanovenou.

Zaměstnavatel vždy musí uchazeče o zaměstnání v dostatečné míře informovat o skutečnosti, že jejich osobní údaje zpracovává, proč tak činí a jakou dobu bude ve zpracování pokračovat – tedy jinými slovy splnit informační povinnost dle čl. 13, popř. čl. 14 Nařízení GDPR.

Doložení trestní bezúhonnosti (výpisu z Rejstříku trestů) u zaměstnanců z pohledu GDPR

Opodstatněnost doložení trestní bezúhonnosti – výpisu z Rejstříku trestů v průběhu trvání pracovněprávního vztahu, či před jeho uzavřením, je buď zákonem stanovená povinnost, nebo je dána povahou pracovní náplně zaměstnance společnosti.

Předložení výpisu z Rejstříku trestů zaměstnavateli omezuje přímo zákoník práce ve svém ustanovení § 316 odst. 4. Ačkoli toto ustanovení zmiňuje pouze zaměstnance, panuje shoda v tom, že v souladu s pravidlem a maiori ad minus se toto omezení zaměstnavatele vztahuje jednoznačně i na jeho požadavky vůči uchazečům o zaměstnání. Zaměstnavatel může v souladu s ustanovením § 316 odst. 4 zákoníku práce chtít po zaměstnancích pouze ty informace, které bezprostředně souvisejí s výkonem práce a se základním pracovněprávním vztahem. Výpis z Rejstříku trestů je jedna z informací, kterou zaměstnavatel po zaměstnancích požadovat nesmí. Ustanovení zákoníku práce ale obsahuje i výjimky, kdy informace o trestněprávní bezúhonnosti zaměstnavatel požadovat smí. Je tomu tak v případech, kdy je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a současně, je-li tento požadavek přiměřený anebo v případech, kdy to stanoví právní předpis. Existuje mnoho profesí, u kterých právní předpisy stanoví jako předpoklad trestní bezúhonnost.

Pokud tedy předpoklad trestněprávní bezúhonnosti není stanoven zákonem, je možné požadovat výpis z Rejstříku trestů jen v případě, když existuje vážný věcný důvod spočívající v povaze práce. Záleží tedy na typu pracovní pozice – zda u dané pracovní pozice existují či neexistují věcné důvody pro vyžádání výpisu z Rejstříku trestů, např. v případě mzdové účetní, jež manipuluje s hotovostí, má přístup do trezoru atd., by neměl požadavek na výpis z Rejstříku trestů představovat problém; u pracovní pozice typu údržbář, topič, uklízečka atd. ale věcný důvod k požadavku na doložení trestní bezúhonnosti neexistuje.

V případě doložení výpisu z Rejstříku trestu nemá zaměstnavatel povinnost výpis založit do osobního spisu zaměstnance – pro ověření trestní bezúhonnosti stačí, když si zaměstnavatel výpis nechá předložit a po ověření ho vrátí zaměstnanci, a do osobního spisu udělá zápis, kdy byla trestní bezúhonnost prokázána.

Uchovávání kopií dokladů totožnosti zaměstnanců

Kopie občanského průkazu – podle zákona č. 328/1999 Sb., o občanských průkazech (§ 15a Nakládání s občanským průkazem odst. 2), je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana. Provádění kopií občanských průkazů je tedy možné jen na základě souhlasu zaměstnance.

Dle našich zkušeností z praxe ochrany osobních údajů doporučujeme nepořizovat kopie osobních dokladů, a to ani na základě uděleného souhlasu (souhlas bude vždy zpochybnitelný (podřízené postavení žadatele) a odvolatelný). Zaměstnavatel si např. může při nástupu nového zaměstnance ověřit jeho totožnost z originálu občanského průkazu a učinit o tomto ověření poznámku v osobní složce zaměstnance. Kopie občanského průkazu by se však v osobní složce objevit neměla.

Kopie řidičského průkazu – kopírování řidičského průkazu zákony výslovně nezakazují. Je ale třeba v souladu s GDPR stanovit, na základě jakého zákonného titulu a pro jaký účel je případná kopie pořizována. Pořizování kopie řidičského průkazu se ve vybraných případech může opřít o tzv. oprávněný zájem zaměstnavatele. Zaměstnavatel však musí být schopen jednoznačně vysvětlit, v čem tento svůj oprávněný zájem spatřuje, tedy za jakým konkrétním účelem kopii dokladu potřebuje.

Kopie průkazu zdravotní pojišťovny – kopírování průkazu zdravotní pojišťovny zákony výslovně nezakazují. Je ale třeba v souladu s GDPR stanovit, na základě jakého zákonného titulu a pro jaký účel je případná kopie pořizována. Pořizování kopie průkazu zdravotní pojišťovny se ve vybraných případech může opřít o tzv. oprávněný zájem. Zaměstnavatel však musí být schopen jednoznačně vysvětlit, v čem tento svůj oprávněný zájem spatřuje, tedy za jakým konkrétním účelem kopii dokladu potřebuje.

Uchovávání kopií dokladů totožnosti cizinců – zákon č. 435/2004 Sb., o zaměstnanosti definuje, že zaměstnavatel je naopak povinen uchovávat kopie dokladů prokazujících oprávněnost pobytu cizince na území České republiky, a to ještě 3 roky po skončení zaměstnávání tohoto cizince. Tato povinnost se týká cizinců, kteří jsou občany zemí mimo evropskou oblast volného pohybu osob. Zaměstnavatelé tedy musí okopírovat a archivovat povolení k zaměstnání, zaměstnaneckou kartu, kartu vnitropodnikově převedeného zaměstnance nebo modrou kartu každého takového cizince, kterého zaměstnávají.

Potřebnost uzavření smlouvy o zpracování osob­ních údajů s lékařem poskytujícím pracovnělé­kařské prohlídky

V případě lékařů zajišťujících pracovnělékařské prohlídky není třeba uzavírat smlouvu o zpracování osobních údajů. Povinnost uzavírat zpracovatelskou smlouvu je třeba pouze se zpracovateli osobních údajů. Přestože postavení lékaře v tomto vztahu vykazuje jisté znaky zpracovatele, ÚOOÚ a pracovní skupina WP 29 vydala stanovisko, podle kterého je v tomto vztahu lékař považován za správce, nikoli za zpracovatele, a tato povinnost se tak neuplatní.

Přístup ke knize úrazů

Pro případ pracovního úrazu by na každém pracovišti měla být k dispozici kniha úrazů. V knize úrazů se uvádí jméno a příjmení zaměstnance, datum úrazu a popis úrazu. Kniha úrazů tedy obsahuje osobní údaje a s ohledem na Nařízení GDPR není vhodné, aby byla na pracovišti volně přístupná všem zaměstnancům.

Knihu úrazů má mít u sebe příslušně odborně způsobilý pracovník (např. bezpečnostní pracovník, vedoucí pracovník atd.), který ji bude uchovávat uzamčenou a pracovat s ní výhradně sám.

Zaměstnavatel má po dobu 30 let povin­nost archivovat dokumenty týkající se pracovních úrazů (stejně jako nemocí z povolání). Účelem je zachovat dokumenty obsahující údaje podstat­né pro výpočet výše starobního důchodu. Konkrétně mezi tyto dokumenty patří potvrzení o době, důvodu a výši náhrad za ztrátu na výdělku po skončení pracovní neschopnosti náležející za pracovní úraz nebo nemoc z povolání.

Cookies a cookies lišta na webových stránkách

Informace o cookies jsou osobní údaje, proto provozovatel webu by měl mít pro práci s cookies právně obhajitelný důvod – buď oprávněný zájem (cookies nezbytné pro samotné fungování webu) nebo souhlas, pokud nelze prokázat oprávněný zájem.

ÚOOÚ vydal v souvislosti s GDPR doporučení k zpracování cookies a obdobných prostředků sledování. Podle tohoto doporučení již nejsou cookies lišty na webech potřeba a o sběru cookies stačí někde na stránkách přehledně informovat. Pro cookies nezbytně nutné pro zajištění provozu webových stránek a internetových služeb není nutno získat souhlas uživatele. Pro všechny ostatní cookies je nutno získat souhlas, který však lze získat nastavením běžných prohlížečů. Popisu zpracování osobních údajů, včetně cookies, je podle ÚOOÚ vhodné věnovat speciální a snadno dostupnou informační podstránku, nejlépe označenou jako „cookies“. Toto je ale pouze doporučení ÚOOÚ, není to zavazující stanovisko.

Dle doporučení ÚOOÚ není tedy cookies lišta na webových stránkách již povinná, ale cookies lištu vyžaduje např. Google (pokud při využívání služeb Google nebude mít provozovatel webu souhlas k cookies, porušuje tím smluvní pravidla Google).

Cookies má v budoucnu upravovat nový předpis z dílny EU – nařízení ePrivacy (Nařízení EU o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích).

Osobní údaje vyžadované potenciálním zaměstnavatelem v rámci výběrového řízení na zaměstnance

Zaměstnavatel (společnost) smí dle ustanovení § 30 odst. 2 zákona č. 262/2006 Sb., zákoník práce, vyžadovat v souvislosti s jednáním před vznikem pracovního poměru od fyzické osoby, která se u něj uchází o práci, jen údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy.

Údaje relevantní pro potenciálního zaměstnavatele jsou informace vztahující se ke kvalifikaci, pracovní praxi, dovednostem a znalostem uchazeče o zaměstnání. Obdobné ustanovení obsahuje i § 12 odst. 2 zákona č. 435/2004 Sb., o zaměstnanosti, který stanovuje, že zaměstnavatel nesmí při výběru zaměstnanců vyžadovat informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace, není-li jejich vyžadování v souladu se zvláštním právním předpisem, dále informace, které odporují dobrým mravům, a osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem. Na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje.

Stěžejní pravidla výběrového řízení na zaměstnance z pohledu ochrany osobních údajů:

  • Zveřejněná informace o možnosti zasílat motivační dopisy a životopisy na danou pracovní pozici musí obsahovat konkrétní kontakt pro zaslání těchto dokumentů (nemělo by se tedy jednat o obecnou adresu přístupnou několika zaměstnancům společnosti) a dále musí obsahovat poučení o tom, jak budou chráněny osobní údaje uchazeče / potenciálního zaměstnance, které zaměstnavatel ve výběrovém řízení získá.
  • Zaměstnavatel nesmí vyžadovat od uchazeče / potenciálního zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem.
  • Na základě písemné žádosti neúspěšného uchazeče si zaměstnavatel může pro své účely archivovat dokumenty tohoto uchazeče (motivační dopis, životopis), a to po stanovenou dobu nebo do odvolání uchazečem.

 

Nakládání s osobními údaji při zajištění BOZP a PO

Při zajišťování bezpečnosti a ochrany zdraví při práci a požární ochrany zaměstnavatel (společnost) zpracovává osobní údaje zaměstnanců. Zaměstnavatel je povinen zabezpečit osobní údaje zaměstnanců bez ohledu na to, zda si plnění povinností BOZP a PO zajišťuje sám (svým zaměstnancem), nebo prostřednictvím externí společnosti.

Ve většině případů je zpracování osobních údajů při zajištění BOZP a PO nezbytné pro plnění právní povinnosti (tj. existuje právní důvod zpracování osobních údajů). V případech, když zpracování osobních údajů není podloženo právním důvodem (např. zveřejnění fotografie znázorňující porušení požadavku k zajištění BOZP, na které je možné zřetelně identifikovat konkrétní fyzickou osobu), je nezbytné si ke zpracování osobních údajů od subjektu údajů vyžádat souhlas splňující požadavky GDPR.

V rámci pracovních úrazů se GDPR vztahuje pouze na osobní údaje o živých fyzických osobách, při šetření smrtelného pracovního úrazu se GDPR neuplatňuje.

Porušením GDPR není zveřejnění jmen a příjmení členů preventivní požární hlídky vyvěšením požárního řádu na pracovišti, a to i na veřejně přístupném místě, neboť se jedná o požadavek právního předpisu (viz § 31 odst. 4 vyhlášky Ministerstva vnitra č. 246/2001 Sb., o požární prevenci). Porušením GDPR ale je např. vyvěšení pouhého seznamu členů hlídky s uvedením pracoviště jejich působnosti bez jejich uděleného souhlasu.

Dobu uchovávání dokumentů vztahujících se k BOZP a PO řeší Spisový a skartační řád společnosti, v některých případech je doba uchování upravena přímo právním předpisem, např.:

  • § 40 zákona č. 258/2000 Sb. (evidence rizikové práce) – 10 let, resp. 40 let podle druhu práce;
  • § 44a odst. 6 zákona č. 258/2000 Sb. (školení o nakládání s toxickými látkami) – 3 roky;
  • § 31 odst. 2 zákona č. 563/1991 Sb. (účetní doklady, např. doklad o doplatcích za léky, pokud je možné přímo nebo nepřímo identifikovat fyzickou osobu, doklad je součástí spisu zaměstnance o náhradě škody a nemajetkové újmy) – 5 let;
  • § 35a odst. 4 zákona č. 582/1991 Sb. (záznamy potřebné pro účely důchodového pojištění, mimo jiné záznamy o pracovním úrazu a nemoci z povolání) – 30 let.

 

Frekvence školení zaměstnanců v oblasti ochrany osobních údajů

Obecně je doporučeno proškolit zaměstnance v oblasti ochrany osobních údajů v rámci vstupního školení pro nové zaměstnance – nastupující zaměstnanec standardně vždy projde základním vstupním školením, tj. BOZP, požární ochrana, IT školení atd., k těmto školením lze tedy přidat i ochranu osobních údajů.

U současných zaměstnan­ců je doporučeno školení v oblasti ochrany osobních údajů provádět 1x ročně. V případě změny právní úpravy je vhodné uspořádat pro zaměstnance mimořádné školení v oblasti ochrany osobních údajů.

 

Uvedení rodného čísla účastníka smluvního vztahu ve smlouvě

Používání rodného čísla definuje zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů. Podle § 13 odst. 9 tohoto zákona je rodné číslo oprávněna užívat nebo rozhodovat o jeho využívání v mezích stanovených zákonem výlučně fyzická osoba, které bylo rodné číslo přiděleno (nebo její zákonný zástupce); jinak lze rodné číslo využívat jen v případech stanovených v § 13c tohoto zákona.

Pro smlouvy uzavírané podle zákona č. 89/2012 Sb., občanský zákoník, (např. pro kupní smlouvu), občanský zákoník použití rodného čísla pro identifikaci účastníka smluvního vztahu nevyžaduje. Na základě § 3019 občanského zákoníku by měla být identifikace v těchto případech provedena zejména souborem údajů: jméno, příjmení, bydliště a datum narození, popřípadě identifikujícím údajem podle jiného právního předpisu, což je nejen podle občanského zákoníku množina údajů postačují ke zjištění identity člověka.

V jiných případech, jestliže zákon uvedení rodného čísla ve smlouvě nevyžaduje, avšak pokud je záměrem správce osobních údajů využít smlouvy uzavírané se zaměstnanci nebo zákazníky i jako prostředek shromažďování rodných čísel pro následné využívání rodných čísel pro účel stanovený zákonem správci, je možné ve smlouvě uvést rodné číslo. V případě, že nositel rodného čísla s uvedením rodného čísla v takové smlouvě nesouhlasí, je povinen sdělit rodné číslo pro zákonem stanovené využívání rodných čísel jiným způsobem. To platí pro pracovní smlouvu uzavíranou podle § 33 až 39 zákona č. 262/2006 Sb., zákoník práce, pokud by měla sloužit jako prostředek shromažďování rodných čísel pro jejich následné zákonem stanovené využívání zaměstnavatelem na základě § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění, § 25 zákona č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, a § 46 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení.

 

Kopie dokladů totožnosti

Podle zákona č. 328/1999 Sb., o občanských průkazech (§ 15a Nakládání s občanským průkazem odst. 2), je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana. Provádění kopií občanských průkazů je tedy považováno za závažné porušení ochrany osobních údajů a musí být podloženo výslovným dobrovolným souhlasem subjektu údajů (souhlas musí být v rozsahu dle Nařízení GDPR). Dle našich zkušeností z praxe ochrany osobních údajů doporučujeme nepořizovat kopie osobních dokladů, a to ani na základě uděleného souhlasu (souhlas bude vždy zpochybnitelný (podřízené postavení žadatele) a odvolatelný).

V případě nezbytného pořízení a uchování kopie dokladu totožnosti subjektu údajů, doporučujeme vždy na kopii osobního dokladu ponechat pouze osobní údaje relevantní pro dané účely zpracování (doporučujeme doklad totožnosti vložit do „obálky“ obsahující okénka pouze pro relevantní osobní údaje a vytvořit kopii jen požadovaných osobních údajů).

 

Osobní údaje uvedené na dotačních programech

Čerpá-li zaměstnavatel dotaci z dotačního programu, pak se nejedná o zpracování osobních údajů na základě souhlasu, nýbrž na základě práv­ního předpisu. Zaměstnavatel by měl zaměstnance informovat, že se jeho údaje zpracovávají v rámci dotačního programu či že se předávají dotačnímu orgánu nebo např. krajské pobočce Úřadu práce. Jedná se však o informaci, nikoliv o souhlas.

 

Personální agenda – archivace a skartace spisů zaměstnanců

Vedení a archivace personální agendy musí korespondovat se schváleným Spisovým a skartačním plánem původce (společnosti). Pokud jsou položky z oblasti personalistiky ve Spisovém a skartačním plánu společnosti uvedeny pod samostatnými spisovými znaky, musí je zaměstnanci společnosti i takto ukládat a nelze je vkládat do spisu, který má spisový znak a skartační režim jiný než zbytek dokumentů.

Osobní spis zaměstnance společnosti má být koncipován jako typový spis s více součástmi – je chápán jako složka zaměstnance bez skartačního režimu, do které budou vkládány k němu se vážící dokumenty se svými skartačními režimy. Tyto dokumenty se budou průběžně ze složky zaměstnance skartovat poté, co jim uplynou přidělené skartační lhůty. Vyskartováním posledního dokumentu osobní spis zaměstnance zanikne.

 

Mzdová agenda – zpracování, archivace a skartace mzdových a účetních dokladů

Mzdovou agendu, tj. doklady, které byly zaměstnavatelem (společností) vytvořeny či získány při zpracování mezd zaměstnanců a týkající se sociálního a zdravotního pojištění zaměstnanců, odvádění daní atd., je nutné uchovávat po dobu určenou zákonem:

  • obecnou archivační dobu stanovuje zákon č. 563/1991 Sb., o účetnictví, v délce 10 let pro účetní závěrky a výroční zprávy a v délce 5 let pro ostatní účetní doklady a účetní záznamy (počítá se vždy od konce daného účetního období);
  • speciální lhůty pro archivaci mzdových listů a dalších údajů potřebných pro důchodové pojištění (30 let a 10 let) stanovuje zákon č. 155/1995 Sb., o důchodovém pojištění;
  • zvláštní lhůty pro archivaci evidence pro účely nemocenského pojištění (10 let) stanovuje zákon č. 187/2006 Sb., o nemocenském pojištění.

Z výše uvedeného tedy vyplývají jednotlivé lhůty pro archivaci složek mzdové agendy:

  • mzdové listy a další údaje potřebné pro důchodové pojištění min. 30 let (jde-li o mzdové listy poživatele starobního důchodu, činí lhůta pouze 10 let);
  • záznamy o vzniku a zániku pracovněprávního vztahu, evidenci pracovní doby min. 10 let;
  • doklady o mzdách a dávkách nemocenského pojištění min. 10 let;
  • stejnopisy evidenčních listů min. 3 roky.

Za nedodržení archivačních lhůt a provedení skartace může být zaměstnavatel sankcionován, proto je třeba věnovat nastavení archivačního systému řádnou pozornost.

 

Zveřejňování informací o přítomnosti zaměstnanců společnosti na pracovišti

Některé společnosti v návaznosti na transparentnost činností a dostupnost služeb poskytovaných zákazníkům zveřejňují na webových stránkách společnosti (prostřednictvím docházkového systému společnosti) informace o přítomnosti či nepřítomnosti jednotlivých zaměstnanců společnosti na pracovišti. Takové zveřejnění osobních údajů představuje nedůvodný zásah do práv subjektů údajů (zaměstnanců společnosti) na ochranu jejich osobního a soukromého života a není proto v souladu se základními zásadami vyjádřenými v čl. 5 Nařízení GDPR.

Zveřejnění informace o přítomnosti zaměstnance společnosti na pracovišti navíc nevede k vyšší informovanosti zákazníka. Zákazník z uvedené informace pouze zjistí, že konkrétní zaměstnanec společnosti je v danou chvíli přítomen v zaměstnání. Zveřejněná informace ovšem nezaručuje přítomnost zaměstnance společnosti na jeho pracovišti po celou pracovní dobu.

 

Evidence kontaktních údajů

Součástí některých formulářů společnosti mohou být navíc i doplňující údaje, mezi které patří kontaktní údaje osob (subjektu údajů), např. telefon, e-mailová adresa, datová schránka atd.

V případě, že neexistuje žádný právní základ zpracování těchto osobních údajů, který by explicitně vyžadoval sběr doplňujících kontaktních osobních údajů, je jejich vyplnění ve formuláři nepovinné a dobrovolné. Subjekt údajů zároveň svým podpisem zodpovídá za jejich správnost. V případě existence takových formulářů (pokud se jedná o editovatelný formulář) doporučujeme ve formuláři uvést informaci o dobrovolnosti poskytnutí těchto osobních údajů jakožto nepovinných položek formuláře.

V případě Vašeho zájmu jsme připraveni provést kontrolu Vašich formulářů a pomoci Vám s formulací vhodné informace o dobrovolnosti poskytnutí osobních údajů.

 

Zabezpečení osobních údajů

Je potřeba věnovat pozornost pracovnímu prostředí zaměstnanců ve vztahu k dokumentům, kterém mají ve své správě. Nemělo by docházet k situaci, kdy zaměstnanci, které v rámci výkonu činnosti navštěvuje veřejnost, mají na stole či jinde volně přístupné dokumenty. Jedná se o riziko úniku neveřejných informací (minimálně v rozsahu jméno, příjmení a samotná informace o existenci tohoto řízení ve vztahu k identifikovatelné fyzické osobě).

 

Anonymizace smluv v registru smluv

V případě zveřejnění smluv v registru smluv je potřeba provést anonymizaci osobních údajů. Ministerstvo vnitra ČR vydalo Metodický návod k aplikaci zákona o registru smluv – metodickou pomůcku k anonymizaci zveřejňovaných dokumentů – především smluv v registru smluv, na profilu zadavatele nebo na webových stránkách, ale jako metodický návod může posloužit i pro obecná pravidla anonymizace ostatních typů dokumentů. Jedná se o aktualizovanou Metodiku MV ČR, která se zaměřuje na aplikaci zákona o registru smluv, ale na stranách 53-54 je formou tabulky velmi přehledně popsáno, které položky je a není nutné před zveřejněním anonymizovat. Zároveň nám dovolte Vám připomenout, abyste při anonymizaci nezapomínali ani na přílohy smlouvy nebo např. notářské doložky.

Metodický návod k aplikaci zákona o registru smluv, který vydalo MV ČR, naleznete zde.

 

Kamerový systém společnosti na veřejných prostranstvích

Je potřeba zajistit, že kamerové systémy nepořizují záběry ze soukromých prostor, např. kamery míří do oken domů.

Kompletní informace z oblasti ochrany osobních údajů naleznete zde.

Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).