Přehled novinek z oblasti GDPR pro soukromé společnosti

Osobní údaje vyžadované potenciálním zaměstnavatelem v rámci výběrového řízení na zaměstnance

Zaměstnavatel (společnost) smí dle ustanovení § 30 odst. 2 zákona č. 262/2006 Sb., zákoník práce, vyžadovat v souvislosti s jednáním před vznikem pracovního poměru od fyzické osoby, která se u něj uchází o práci, jen údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy.

Údaje relevantní pro potenciálního zaměstnavatele jsou informace vztahující se ke kvalifikaci, pracovní praxi, dovednostem a znalostem uchazeče o zaměstnání. Obdobné ustanovení obsahuje i § 12 odst. 2 zákona č. 435/2004 Sb., o zaměstnanosti, který stanovuje, že zaměstnavatel nesmí při výběru zaměstnanců vyžadovat informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace, není-li jejich vyžadování v souladu se zvláštním právním předpisem, dále informace, které odporují dobrým mravům, a osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem. Na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje.

Stěžejní pravidla výběrového řízení na zaměstnance z pohledu ochrany osobních údajů:

  • Zveřejněná informace o možnosti zasílat motivační dopisy a životopisy na danou pracovní pozici musí obsahovat konkrétní kontakt pro zaslání těchto dokumentů (nemělo by se tedy jednat o obecnou adresu přístupnou několika zaměstnancům společnosti) a dále musí obsahovat poučení o tom, jak budou chráněny osobní údaje uchazeče / potenciálního zaměstnance, které zaměstnavatel ve výběrovém řízení získá.
  • Zaměstnavatel nesmí vyžadovat od uchazeče / potenciálního zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem.
  • Na základě písemné žádosti neúspěšného uchazeče si zaměstnavatel může pro své účely archivovat dokumenty tohoto uchazeče (motivační dopis, životopis), a to po stanovenou dobu nebo do odvolání uchazečem.

 

Nakládání s osobními údaji při zajištění BOZP a PO

Při zajišťování bezpečnosti a ochrany zdraví při práci a požární ochrany zaměstnavatel (společnost) zpracovává osobní údaje zaměstnanců. Zaměstnavatel je povinen zabezpečit osobní údaje zaměstnanců bez ohledu na to, zda si plnění povinností BOZP a PO zajišťuje sám (svým zaměstnancem), nebo prostřednictvím externí společnosti.

Ve většině případů je zpracování osobních údajů při zajištění BOZP a PO nezbytné pro plnění právní povinnosti (tj. existuje právní důvod zpracování osobních údajů). V případech, když zpracování osobních údajů není podloženo právním důvodem (např. zveřejnění fotografie znázorňující porušení požadavku k zajištění BOZP, na které je možné zřetelně identifikovat konkrétní fyzickou osobu), je nezbytné si ke zpracování osobních údajů od subjektu údajů vyžádat souhlas splňující požadavky GDPR.

V rámci pracovních úrazů se GDPR vztahuje pouze na osobní údaje o živých fyzických osobách, při šetření smrtelného pracovního úrazu se GDPR neuplatňuje.

Porušením GDPR není zveřejnění jmen a příjmení členů preventivní požární hlídky vyvěšením požárního řádu na pracovišti, a to i na veřejně přístupném místě, neboť se jedná o požadavek právního předpisu (viz § 31 odst. 4 vyhlášky Ministerstva vnitra č. 246/2001 Sb., o požární prevenci). Porušením GDPR ale je např. vyvěšení pouhého seznamu členů hlídky s uvedením pracoviště jejich působnosti bez jejich uděleného souhlasu.

Dobu uchovávání dokumentů vztahujících se k BOZP a PO řeší Spisový a skartační řád společnosti, v některých případech je doba uchování upravena přímo právním předpisem, např.:

  • § 40 zákona č. 258/2000 Sb. (evidence rizikové práce) – 10 let, resp. 40 let podle druhu práce;
  • § 44a odst. 6 zákona č. 258/2000 Sb. (školení o nakládání s toxickými látkami) – 3 roky;
  • § 31 odst. 2 zákona č. 563/1991 Sb. (účetní doklady, např. doklad o doplatcích za léky, pokud je možné přímo nebo nepřímo identifikovat fyzickou osobu, doklad je součástí spisu zaměstnance o náhradě škody a nemajetkové újmy) – 5 let;
  • § 35a odst. 4 zákona č. 582/1991 Sb. (záznamy potřebné pro účely důchodového pojištění, mimo jiné záznamy o pracovním úrazu a nemoci z povolání) – 30 let.

 

Frekvence školení zaměstnanců v oblasti ochrany osobních údajů

Obecně je doporučeno proškolit zaměstnance v oblasti ochrany osobních údajů v rámci vstupního školení pro nové zaměstnance – nastupující zaměstnanec standardně vždy projde základním vstupním školením, tj. BOZP, požární ochrana, IT školení atd., k těmto školením lze tedy přidat i ochranu osobních údajů.

U současných zaměstnan­ců je doporučeno školení v oblasti ochrany osobních údajů provádět 1x ročně. V případě změny právní úpravy je vhodné uspořádat pro zaměstnance mimořádné školení v oblasti ochrany osobních údajů.

 

Uvedení rodného čísla účastníka smluvního vztahu ve smlouvě

Používání rodného čísla definuje zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů. Podle § 13 odst. 9 tohoto zákona je rodné číslo oprávněna užívat nebo rozhodovat o jeho využívání v mezích stanovených zákonem výlučně fyzická osoba, které bylo rodné číslo přiděleno (nebo její zákonný zástupce); jinak lze rodné číslo využívat jen v případech stanovených v § 13c tohoto zákona.

Pro smlouvy uzavírané podle zákona č. 89/2012 Sb., občanský zákoník, (např. pro kupní smlouvu), občanský zákoník použití rodného čísla pro identifikaci účastníka smluvního vztahu nevyžaduje. Na základě § 3019 občanského zákoníku by měla být identifikace v těchto případech provedena zejména souborem údajů: jméno, příjmení, bydliště a datum narození, popřípadě identifikujícím údajem podle jiného právního předpisu, což je nejen podle občanského zákoníku množina údajů postačují ke zjištění identity člověka.

V jiných případech, jestliže zákon uvedení rodného čísla ve smlouvě nevyžaduje, avšak pokud je záměrem správce osobních údajů využít smlouvy uzavírané se zaměstnanci nebo zákazníky i jako prostředek shromažďování rodných čísel pro následné využívání rodných čísel pro účel stanovený zákonem správci, je možné ve smlouvě uvést rodné číslo. V případě, že nositel rodného čísla s uvedením rodného čísla v takové smlouvě nesouhlasí, je povinen sdělit rodné číslo pro zákonem stanovené využívání rodných čísel jiným způsobem. To platí pro pracovní smlouvu uzavíranou podle § 33 až 39 zákona č. 262/2006 Sb., zákoník práce, pokud by měla sloužit jako prostředek shromažďování rodných čísel pro jejich následné zákonem stanovené využívání zaměstnavatelem na základě § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění, § 25 zákona č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, a § 46 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení.

 

Kopie dokladů totožnosti

Podle zákona č. 328/1999 Sb., o občanských průkazech (§ 15a Nakládání s občanským průkazem odst. 2), je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana. Provádění kopií občanských průkazů je tedy považováno za závažné porušení ochrany osobních údajů a musí být podloženo výslovným dobrovolným souhlasem subjektu údajů (souhlas musí být v rozsahu dle Nařízení GDPR). Dle našich zkušeností z praxe ochrany osobních údajů doporučujeme nepořizovat kopie osobních dokladů, a to ani na základě uděleného souhlasu (souhlas bude vždy zpochybnitelný (podřízené postavení žadatele) a odvolatelný).

V případě nezbytného pořízení a uchování kopie dokladu totožnosti subjektu údajů, doporučujeme vždy na kopii osobního dokladu ponechat pouze osobní údaje relevantní pro dané účely zpracování (doporučujeme doklad totožnosti vložit do „obálky“ obsahující okénka pouze pro relevantní osobní údaje a vytvořit kopii jen požadovaných osobních údajů).

 

Osobní údaje uvedené na dotačních programech

Čerpá-li zaměstnavatel dotaci z dotačního programu, pak se nejedná o zpracování osobních údajů na základě souhlasu, nýbrž na základě práv­ního předpisu. Zaměstnavatel by měl zaměstnance informovat, že se jeho údaje zpracovávají v rámci dotačního programu či že se předávají dotačnímu orgánu nebo např. krajské pobočce Úřadu práce. Jedná se však o informaci, nikoliv o souhlas.

 

Personální agenda – archivace a skartace spisů zaměstnanců

Vedení a archivace personální agendy musí korespondovat se schváleným Spisovým a skartačním plánem původce (společnosti). Pokud jsou položky z oblasti personalistiky ve Spisovém a skartačním plánu společnosti uvedeny pod samostatnými spisovými znaky, musí je zaměstnanci společnosti i takto ukládat a nelze je vkládat do spisu, který má spisový znak a skartační režim jiný než zbytek dokumentů.

Osobní spis zaměstnance společnosti má být koncipován jako typový spis s více součástmi – je chápán jako složka zaměstnance bez skartačního režimu, do které budou vkládány k němu se vážící dokumenty se svými skartačními režimy. Tyto dokumenty se budou průběžně ze složky zaměstnance skartovat poté, co jim uplynou přidělené skartační lhůty. Vyskartováním posledního dokumentu osobní spis zaměstnance zanikne.

 

Mzdová agenda – zpracování, archivace a skartace mzdových a účetních dokladů

Mzdovou agendu, tj. doklady, které byly zaměstnavatelem (společností) vytvořeny či získány při zpracování mezd zaměstnanců a týkající se sociálního a zdravotního pojištění zaměstnanců, odvádění daní atd., je nutné uchovávat po dobu určenou zákonem:

  • obecnou archivační dobu stanovuje zákon č. 563/1991 Sb., o účetnictví, v délce 10 let pro účetní závěrky a výroční zprávy a v délce 5 let pro ostatní účetní doklady a účetní záznamy (počítá se vždy od konce daného účetního období);
  • speciální lhůty pro archivaci mzdových listů a dalších údajů potřebných pro důchodové pojištění (30 let a 10 let) stanovuje zákon č. 155/1995 Sb., o důchodovém pojištění;
  • zvláštní lhůty pro archivaci evidence pro účely nemocenského pojištění (10 let) stanovuje zákon č. 187/2006 Sb., o nemocenském pojištění.

Z výše uvedeného tedy vyplývají jednotlivé lhůty pro archivaci složek mzdové agendy:

  • mzdové listy a další údaje potřebné pro důchodové pojištění min. 30 let (jde-li o mzdové listy poživatele starobního důchodu, činí lhůta pouze 10 let);
  • záznamy o vzniku a zániku pracovněprávního vztahu, evidenci pracovní doby min. 10 let;
  • doklady o mzdách a dávkách nemocenského pojištění min. 10 let;
  • stejnopisy evidenčních listů min. 3 roky.

Za nedodržení archivačních lhůt a provedení skartace může být zaměstnavatel sankcionován, proto je třeba věnovat nastavení archivačního systému řádnou pozornost.

 

Zveřejňování informací o přítomnosti zaměstnanců společnosti na pracovišti

Některé společnosti v návaznosti na transparentnost činností a dostupnost služeb poskytovaných zákazníkům zveřejňují na webových stránkách společnosti (prostřednictvím docházkového systému společnosti) informace o přítomnosti či nepřítomnosti jednotlivých zaměstnanců společnosti na pracovišti. Takové zveřejnění osobních údajů představuje nedůvodný zásah do práv subjektů údajů (zaměstnanců společnosti) na ochranu jejich osobního a soukromého života a není proto v souladu se základními zásadami vyjádřenými v čl. 5 Nařízení GDPR.

Zveřejnění informace o přítomnosti zaměstnance společnosti na pracovišti navíc nevede k vyšší informovanosti zákazníka. Zákazník z uvedené informace pouze zjistí, že konkrétní zaměstnanec společnosti je v danou chvíli přítomen v zaměstnání. Zveřejněná informace ovšem nezaručuje přítomnost zaměstnance společnosti na jeho pracovišti po celou pracovní dobu.

 

Evidence kontaktních údajů

Součástí některých formulářů společnosti mohou být navíc i doplňující údaje, mezi které patří kontaktní údaje osob (subjektu údajů), např. telefon, e-mailová adresa, datová schránka atd.

V případě, že neexistuje žádný právní základ zpracování těchto osobních údajů, který by explicitně vyžadoval sběr doplňujících kontaktních osobních údajů, je jejich vyplnění ve formuláři nepovinné a dobrovolné. Subjekt údajů zároveň svým podpisem zodpovídá za jejich správnost. V případě existence takových formulářů (pokud se jedná o editovatelný formulář) doporučujeme ve formuláři uvést informaci o dobrovolnosti poskytnutí těchto osobních údajů jakožto nepovinných položek formuláře.

V případě Vašeho zájmu jsme připraveni provést kontrolu Vašich formulářů a pomoci Vám s formulací vhodné informace o dobrovolnosti poskytnutí osobních údajů.

 

Zabezpečení osobních údajů

Je potřeba věnovat pozornost pracovnímu prostředí zaměstnanců ve vztahu k dokumentům, kterém mají ve své správě. Nemělo by docházet k situaci, kdy zaměstnanci, které v rámci výkonu činnosti navštěvuje veřejnost, mají na stole či jinde volně přístupné dokumenty. Jedná se o riziko úniku neveřejných informací (minimálně v rozsahu jméno, příjmení a samotná informace o existenci tohoto řízení ve vztahu k identifikovatelné fyzické osobě).

 

Anonymizace smluv v registru smluv

V případě zveřejnění smluv v registru smluv je potřeba provést anonymizaci osobních údajů. Ministerstvo vnitra ČR vydalo Metodický návod k aplikaci zákona o registru smluv – metodickou pomůcku k anonymizaci zveřejňovaných dokumentů – především smluv v registru smluv, na profilu zadavatele nebo na webových stránkách, ale jako metodický návod může posloužit i pro obecná pravidla anonymizace ostatních typů dokumentů. Jedná se o aktualizovanou Metodiku MV ČR, která se zaměřuje na aplikaci zákona o registru smluv, ale na stranách 53-54 je formou tabulky velmi přehledně popsáno, které položky je a není nutné před zveřejněním anonymizovat. Zároveň nám dovolte Vám připomenout, abyste při anonymizaci nezapomínali ani na přílohy smlouvy nebo např. notářské doložky.

Metodický návod k aplikaci zákona o registru smluv, který vydalo MV ČR, naleznete zde.

 

Kamerový systém společnosti na veřejných prostranstvích

Je potřeba zajistit, že kamerové systémy nepořizují záběry ze soukromých prostor, např. kamery míří do oken domů.

Kompletní informace z oblasti ochrany osobních údajů naleznete zde.

Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).