Ochrana osobních údajů zaměstnanců
Zdroj: Verlag Dashofer
Zaměstnavatel se při plnění svých zákonných povinností vyplývajících z uzavřených pracovněprávních vztahů setkává s řadou osobních údajů o svých zaměstnancích… Zaměstnavatel se při plnění svých zákonných povinností vyplývajících z uzavřených pracovněprávních vztahů setkává s řadou osobních údajů o svých zaměstnancích, popřípadě jeho rodinných příslušnících. Některé z těchto údajů zaměstnavatel nejenom shromažďuje, ale i dále zpracovává. Na ochranu osobních údajů se uplatňuje zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon“), pokud ochrana osobních údajů není upravena normou speciální (zákonem o bankách, zákonem o archivnictví apod.). Za osobní údaj se považuje jakýkoliv údaj, který se týká určeného nebo určitelného subjektu údajů (subjektem údajů je vždy fyzická osoba). Subjekt údajů se považuje za určený nebo určitelný, pokud lze na základě jednoho či více osobních údajů zjistit jeho identitu; o osobní údaj se nejedná, jestliže ke zjištění identity subjektu údajů je třeba nepřiměřené množství času, úsilí nebo materiálních prostředků. Ačkoliv z označení předmětu ochrany je zřejmé, že osobní údaj se týká pouze fyzické osoby, řada zaměstnavatelských subjektů má snahu chránit údaje o firmě coby údaje osobní. V této souvislosti připomínáme, že: Citlivým osobním údajem jsou pak takové údaje, které vypovídají o: – národnostním, rasovém nebo etnickém původu, – politických postojích, členství v odborových organizacích, – náboženství a filozofickém přesvědčení, – odsouzení za trestný čin, – zdravotním stavu a sexuálním životě subjektu údajů a – jakýkoliv biometrický nebo genetický údaj subjektu údajů. Z uvedeného vyplývá, že ten, kdo příslušné údaje shromažďuje, musí některé běžně užívané pojmy rozlišovat. Jedná se například o pojmy „zdravotní stav“ a „zdravotní způsobilost“ nebo „odsouzení za trestný čin“ a „bezúhonnost“. Zaměstnavatel, který osobní údaje svých zaměstnanců shromažďuje a zpracovává, je správcem osobních údajů. Správce může zmocnit zpracováním osobních údajů zpracovatele, tj. jiný subjekt. Shromažďováním osobních údajů se rozumí systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování (§ 4 písm. f zákona). Zpracováním osobních údajů je jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. Ochrana osobních údajů je založena na zásadě, podle níž správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. a) jestliže provádí zpracování nezbytné pro dodržení právní povinnosti správce, b) jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů, c) pokud je to nezbytně třeba k ochraně životně důležitých zájmů subjektu údajů. V tomto případě je třeba bez zbytečného odkladu získat jeho souhlas. Pokud souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat, d) jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem; tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů, e) pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života, f) pokud poskytuje osobní údaje o veřejně činné osobě, funkcionáři či zaměstnanci veřejné správy, které vypovídají o jeho veřejné anebo úřední činnosti, o jeho funkčním nebo pracovním zařazení, nebo, g) jedná-li se o zpracování výlučně pro účely archivnictví. V pracovněprávních vztazích může přicházet v úvahu shromažďování fotografií zaměstnanců, popřípadě údajů o trestné činnosti vyplývajících z výpisu z rejstříku trestů – zaměstnavatel je však povinen si ke shromažďování a zpracovávání těchto citlivých osobních údajů vyžádat předchozí písemný souhlas zaměstnanců. Zaměstnavatel coby správce může svěřit zpracování osobních údajů zpracovateli, pokud se tak rozhodne, musí s ním uzavřít smlouvu. Smlouva musí být písemná, jinak je neplatná. Smlouva musí povinně obsahovat, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Jestliže zpracovatel ve smlouvě neposkytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů, je smlouva neplatná. Zpracovatel má tytéž povinnosti při zpracování osobních údajů jako správce. Pokud správce porušuje povinnosti stanovené zákonem a zpracovatel tuto skutečnost zjistí, je povinen jej na to neprodleně upozornit a zároveň ukončit zpracování. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, a to společně a nerozdílně se správcem. Zákon zde zakládá tzv. solidární odpovědnost ve smyslu § 511 ObčZ. Věřitel, zde subjekt osobních údajů, je oprávněn požadovat plnění – náhradu škody, na kterémkoliv z nich a jestliže splní dluh jeden z nich, povinnost ostatních zanikne. Správce (zpracovatel) je povinen před zpracováváním osobních údajů přijmout taková organizační a věcná opatření, aby nedošlo k porušení jeho povinností uložených mu zákonem. Správce musí zamezit neoprávněnému nebo nahodilému přístupu k osobním údajů, nesmí připustit jejich změnu, zničení nebo ztrátu. Správce musí vytvořit taková technická opatření, aby byl znemožněn neoprávněný přenos osobních údajů, jejich neoprávněné zpracování či jiné zneužití osobních údajů. Má-li zaměstnavatel v úmyslu zpracovávat osobní údaje, jejichž zpracování je mu uloženo zákonem nebo kterých je zapotřebí k plnění některé jeho zákonné povinnosti, nemusí plnit oznamovací povinnost vůči Úřadu na ochranu osobních údajů. Tato oznamovací povinnost mu vzniká až při shromažďování a zpracovávání osobních údajů zaměstnanců (nebo budoucích zaměstnanců) jdoucích nad tento rámec. Ke shromažďování osobních údajů zaměstnanců v mezích zákona zaměstnavatel rovněž nepotřebuje souhlasu zaměstnanců. V případě, že se jedná o shromažďování nebo zpracovávání osobních údajů nad rámec zákonných povinností zaměstnavatele, zaměstnavatel může tyto činnosti vykonávat jen s písemným souhlasem zaměstnance. Je-li zaměstnavateli takový souhlas udělován, musí z něho být patrné: – v jakém rozsahu je udělován, – komu a k jakému účelu je udělován, – na jaké období, – kdo jej uděluje. Zaměstnanec může jednou udělený souhlas odvolat. Zaměstnavatel vede k plnění svých povinností řadu evidencí: – osobní evidenci (osobní spis), – mzdový list, – evidenční list důchodového pojištěné (ELDP), – Prohlášení poplatníka daně z příjmů ze závislé činnosti. Zaměstnavatel má při skončení pracovního poměru řadu zákonných povinností, mj. i povinnost vydat zaměstnanci pracovní posudek a písemné dokumenty obsahující údaje o jeho osobě. Pracovní posudek se vydává výlučně k žádosti zaměstnance, a to ve lhůtě 15 dnů ode dne, kdy zaměstnanec o jeho vydání požádal, zaměstnavatel však není povinen pracovní posudek vydat dříve než dva měsíce přede dnem, kdy má pracovní poměr skončit. Obsahem pracovního posudku může být výlučně hodnocení práce zaměstnance, údaj o jeho kvalifikaci, schopnostech, popřípadě o dalších skutečnostech, které mají vztah k práci. Do obsahu pracovního posudku naopak nepatří jakékoliv subjektivní hodnocení, pro které zaměstnavatel nemá objektivní podklad, a dále jakékoliv doporučení dalšímu zaměstnavateli. Zaměstnavatel vydává pracovní posudek přímo zaměstnanci, nikoliv jiné osoby – pokud by se tak mělo stát, k takovému úkonu potřebuje souhlasu zaměstnance. V praxi řady zaměstnavatelských subjektů nebo i právnických a fyzických osob, které se zabývají zprostředkováním zaměstnání za úplatu, se používají tzv. reference. Nejde o právní pojem, nicméně pokud takovou „referenci“ podává zaměstnavatel, je třeba, aby posoudil, zda se věcně nejedná o pracovní posudek. Podává-li „reference“ například vedoucí zaměstnanec na svého bývalého podřízeného, který se uchází o zaměstnání, jde zpravidla o jeho soukromé vyjádření. Zatímco o vydání pracovního posudku musí zaměstnanec požádat, u vydání písemností obsahujících jeho osobní údaje tomu tak není, neboť tato povinnost vyplývá zaměstnavateli přímo ze zákona (§ 60 odst. 2 ZP). Rozsah těchto písemností závisí na tom, jaké písemnosti zaměstnavatel v průběhu pracovního poměru „nashromáždil“. 1. Plní-li zaměstnavatel některou ze svých povinností stanovených právním předpisem, ke shromažďování a zpracovávání osobních údajů souhlasu svých zaměstnanců nepotřebuje. 2. Souhlasu zaměstnanců je naopak zapotřebí ke shromažďování a zpracovávání citlivých osobních údajů. 3. Má-li zaměstnavatel v úmyslu shromažďovat osobní údaje bez zákonné opory, potřebuje k této činnosti souhlas všech zaměstnanců, jichž se tato jeho činnost bude týkat. Tento souhlas musí mít předepsané náležitosti. Zaměstnavatel v tomto případě plní zákonnou oznamovací povinnost vůči Úřadu na ochranu osobních údajů. 4. Svěřuje-li zaměstnavatel zpracovávání osobních údajů svých zaměstnanců jinému subjektu, musí s ním uzavřít písemnou smlouvu. Rovněž tato smlouva musí mít předepsané náležitosti. 5. Zaměstnavatel by neměl opomenout, že svěřením zpracování osobních údajů svých zaměstnanců třetí osobě se nezbavuje své odpovědnosti; tato odpovědnost je odpovědností společnou a nerozdílnou.
– údaje o zaměstnavateli jsou součástí písemné informace, která se zaměstnanci musí dostat nejpozději do jednoho měsíce od vzniku pracovního poměru, pokud tato informace již není obsažena v pracovní smlouvě,
– údaje o obchodních společnostech jsou zapisovány do obchodního rejstříku, který je veřejnou listinou.
Zařazeno v Aktuality
