Nepřístupný dokument, nutné přihlášení
Input:

GDPR - hrozba nebo příležitost?

24.11.2017, , Zdroj: Verlag Dashöfer

2017.25.01
GDPR – hrozba nebo příležitost?

Mgr. Jaroslav Šuchman, LL.M, JUDr. Ján Jaroš

Obecné nařízení Evropského parlamentu a Rady o ochraně osobních údajů č. 2016/679, známé pod pomalu ikonickou zkratkou „GDPR” vycházející z anglického General Data Protection Regulation. (dále též „nařízení”), představuje nový právní rámec ochrany osobních údajů na území EU a nahrazuje tak stávající Směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále „směrnice”), od které se pak odvíjí český zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Nařízení bylo přijato v dubnu 2016 a účinným se stane 25. května 2018. Hlavním cílem a smyslem nařízení je modernizovat a sjednotit právní úpravu ochrany osobních údajů, zásady nakládání s osobními údaji a zvýšit tak standard ochrany fyzických osob v rámci EU.

Nařízení přináší koncepční posun v této důležité oblasti právní regulace, nejedná se však – navzdory mnohým novinovým titulkům z poslední doby – o zlom či „revoluci”. Spíše jde o navázání na dosavadní právní úpravu a zakotvení „evolučního” vývoje z posledních let do nového předpisu. Přestože se tedy GDPR dotkne veškerého podnikání, ti, kteří se správnému nastavení zpracování osobních údajů pravidelně věnovali dosud, se adaptují významně jednodušeji než ti, kteří pod hrozbou zvýšených pokut či zvýšené pozornosti k této oblasti regulace osobní údaje začnou řešit až nyní. Při následujícím výkladu vybraných problémů, se kterými se setkáváme v praxi, tak budeme popisovat praktické problémy nejen ve vztahu k nařízení, ale do značné míry i ke stávajícím předpisům. GDPR však současně přináší úplné novinky, zejména v oblasti práv a povinností. Vybranými z nich v kontextu HR agendy se dále budeme zabývat podrobněji. Na jiné, neméně důležité, zde však nezbyde prostor (např. institut pověřence pro ochranu osobních údajů, vedení záznamů o činnostech zpracování, posouzení dopadů na soukromí či oznamování narušení bezpečnosti osobních údajů).

Každý subjekt, ať již se jedná o obchodní korporaci, spolek, veřejnou instituci či jednotlivce, zpracovávající osobní údaje jinak než pro osobní potřebu a nahodile, musí zejména dbát základních zásad zpracování, které jsou nařízením stanoveny. Mezi tyto zásady patří korektnost, zákonnost a transparentnost zpracování, shromažďování pouze pro určité, výslovně vyjádřené a legitimní účely, přiměřenost, relevance a omezenost zpracování na nezbytný rozsah, anebo také dodržení způsobu zpracování, které zajistí náležité zabezpečení údajů, včetně jejich ochrany pomocí vhodných technických a organizačních opatření. Každý správce osobních údajů musí zvažovat všechna rizika spojená se zamýšleným zpracováním. Musí přitom brát v potaz povahu, rozsah a účel zpracování a přihlédnout k rizikům pro práva a svobody fyzických osob. Tomu musí přizpůsobit zabezpečení osobních údajů, zejména ve vztahu k předávání dat, umožnění přístupu k nim apod.

Typickými subjekty, na které nařízení dopadne, jsou zaměstnavatelé, jelikož zpracovávají – vedle dalších údajů – osobní údaje o svých zaměstnancích. Pomůckou pro výklad nového nařízení budou mimo jiné stanoviska vydávaná tzv. skupinou WP29.1 Jedním z nich je stanovisko č. 2/20172 zabývající se problematikou ochrany osobních údajů zaměstnanců. Byť k jeho vypracování pracovní skupina WP29 přistoupila v reakci na rozvíjející se technologie a s tím související širší možnosti monitorování zaměstnanců, obsahuje stanovisko doporučení v souvislosti s novým nařízením.

SHROMAŽĎOVÁNÍ ÚDAJŮ A JEJICH SKARTACE

V poslední době sledujeme vzestup trendu, kdy nikoli zaměstnanec oslovuje potenciálního zaměstnavatele, ale je to právě zaměstnavatel, který – často prostřednictvím dalšího subjektu, „headhuntera” – oslovuje konkrétní osobu s nabídkou pracovního uplatnění. V době moderních technologií je „lovec lidí” schopen vyhledat spoustu informací a na základě požadavku svého klienta-zaměstnavatele identifikovat vhodného kandidáta.

Zaměstnavatelé by se však neměli chovat jako rozvědka a dle doporučení pracovní skupiny WP29 by v náborovém procesu měli údaje získané ze sociálních sítí vybírat a rozlišovat zdroje ze kterých o uchazeči čerpají. Zaměstnavatel, příp. headhunter by měl např. odlišovat profily soukromé povahy či profily spíše profesní, jako je linkedin. Pracovní skupina WP29 doporučuje, aby každý zaměstnavatel již před zpracováním osobních údajů důsledně zvážil, zdali je zpracování nezbytné, případně jaký právní základ bude v daném případě aplikovatelný, dále zdali je navrhované zpracování k zaměstnancům férové, zda je zachována proporcionalita zpracování vzhledem k jeho účelu a zda je zpracování dostatečně transparentní.

Zpracování dat v souvislosti s náborem lze bezpochyby provádět pouze na základě souhlasu a po dobu, se kterou kandidát souhlasí. Neomezená doba nebo neurčitě stanovená může být Úřadem pro ochranu osobních údajů vyhodnocena v rozporu s principem transparentního jednání.

V praxi tak může být problematická retence dat, tedy doba jejich uchování. Zaměstnavatelé totiž často uchovávají veškerá data v jedné složce zaměstnance. Ty pak s určitým odstupem od ukončení pracovního poměru archivují jako celek, aniž by rozlišovali specifické lhůty pro jednotlivé procesy zpracování. Např. uchování údajů z životopisu po dobu 30 let bude většinou těžko ospravedlnitelné, na rozdíl od mzdových listů nebo účetních záznamů o údajích potřebných pro účely důchodového pojištění, kde je doba uchování stanovena přímo zvláštním zákonem. Zaměstnavatel by měl při skončení pracovněprávního vztahu zlikvidovat ty osobní údaje, které nejsou z hlediska účelu již potřebné. Dále se může jednat např. o kopie osobních dokladů, informace o čerpání zaměstnaneckých bonusů či jiné obdobné dokumenty. Obecně použitelný výčet dokumentů neexistuje a pro konkrétní případ by jej měl po analýze stanovit interní předpis, např. skartační řád.

SOUHLAS ZAMĚSTNANCE SE ZPRACOVÁNÍM

GDPR rozšiřuje povinnosti zaměstnavatelů, kteří od května 2018 budou muset své zaměstnance informovat o jejich právech šířeji, nově zejména o existenci práva podat stížnost u dozorového orgánu, o právu na přenositelnost osobních údajů, anebo o právu vznést námitky proti zpracování, Pro zaměstnavatele to může znamenat úpravu dokumentů jako např. pracovní smlouvy, osobního dotazníku atd. Tyto dokumenty by měly obsahovat informace ve srozumitelné formě tak, aby nebylo pochyb, že zaměstnanec byl o svých právech řádně poučen. Zaměstnavatel bude mít povinnost kdykoli prokázat poučení zaměstnance, a proto by měl důkladně zvážit rozsah poskytnutých informací a prokazatelnost jejich poskytnutí. V souvislosti s plněním informační povinnosti považuje Úřad pro ochranu osobních údajů za problematické např. směšování souhlasu a jiného zákonného titulu ke zpracování údajů.3

Aby bylo zpracování dle GDPR zákonné, musí být založeno na právním důvodu, jejichž seznam nařízení obsahuje. Mezi takové důvody patří souhlas udělený dotčenou osobou, který je v oblasti HR hojně využíván. Často se tak ale děje nadbytečně, a tedy v rozporu se zákonem. Nařízení vyjmenovává podmínky vyjádření souhlasu. Tyto atributy řádného souhlasu tkví zejména v konkrétnosti, informovanosti, v jednoznačnosti a v neposlední řadě také ve svobodě vyjádřeného souhlasu. Souhlas musí být také jasně odlišitelný, srozumitelný a odvolatelný, přičemž právě odvolatelnost souhlasu způsobuje v oblasti pracovněprávních vztahů potíže. Souhlas je totiž možné považovat za svobodný jen tehdy, když je osobě skutečně dána možnost projevit vůli, tedy učinit volbu bez nátlaku. Pokud by u souhlasu absentovala tato vlastnost, jednalo by se o souhlas neplatný.

Vzhledem k nerovnému postavení zaměstnavatelů a zaměstnanců v daném právním vztahu je však poměrně náročné souhlas nastavit tak, aby naplňoval výše zmíněné atributy. GDPR nově dokonce výslovně předvídá situace, kdy se subjekty mohou ocitnout v nerovném postavení a kdy souhlas nebude vhodně zvoleným titulem ke zpracování údajů. V preambuli nařízení se uvádí, že s cílem zajistit, aby byl souhlas svobodný, by vyjádření souhlasu nemělo představovat platný právní důvod pro zpracování osobních údajů ve zvláštním případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha. Pokud tedy zaměstnavatel může konkrétní osobní údaj získat a zpracovávat na základě jiného titulu (zákonná povinnost, oprávněný zájem apod.), měl by i z výše uvedených důvodů na souhlas zaměstnance spoléhat co nejméně.

Na správci leží břemeno prokázání, zda byl souhlas skutečně udělen, a tím splněny povinnosti v souvislosti s informační povinností. Ačkoli ani nařízení písemnou formu souhlasu nestanoví, je zřejmé, že forma souhlasu a její obsahové náležitosti budou pro prokazatelnost a platnost rozhodující. Pro zaměstnavatele bude vždy praktičtější získat souhlas v písemné podobě. Možnost odvolání souhlasu pak musí být stejně snadná jako možnost jeho poskytnutí. V praxi to znamená, že k odvolání bude docházet stejným postupem a stejnými prostředky (např. elektronický formulář) jako