Mnoho firem si dosud se svými povinnostmi v oblasti zpracování osobních údajů nedělá těžkou hlavu. Zaměstnanci tak často ani netuší, k čemu jejich data slouží a kdo všechno k nim má přístup. To se však od května změní, protože začne platit nové evropské nařízení o ochraně osobních údajů známé pod zkratkou GDPR.
Právě zaměstnavatelé jsou jednou z největších skupin, která se dopadům směrnice nemůže vyhnout.
Lucie Kalašová, advokátka, bpv Braun Partners
Jako nejdůležitější změnu vidím zvýšení povědomosti zaměstnanců i zaměstnavatelů o právech a povinnostech souvisejících se zpracováním osobních údajů.
Už nyní je zřejmé, že zaměstnavatelé budou mnohem důsledněji plnit svou informační povinnost, sice není žádnou novinkou, ale většinou ji nikdo moc neplnil.
Karin Pomaizlová, partnerka, Taylor Wessing Praha
Obecně GDPR klade důraz na to, aby nebyly shromažďovány a zpracovávány osobní údaje nad nezbytný rozsah, nebyly uchovávány po dobu delší, než je nezbytné pro účely, pro které jsou zpracovávány, a aby byly řádně zabezpečeny.
Marie Janšová, advokátka, Legalité
GDPR je revolucí jen pro ty, kteří dnes pravidla zpracování a ochrany osobních údajů příliš nedodržovali.
Pokud již dnes dbáte na ochranu osobních údajů zaměstnanců, plníte své povinnosti, údaje chráníte, zpracováváte je v nezbytném rozsahu a jen k "dovoleným" účelům,
dramatické změny vás
nečekají.
Filip Horák, advokát, KPMG Legal
Oproti současným pravidlům GDPR rozšiřuje informační povinnost.
Zaměstnancům to přináší lepší přehled o tom, co zaměstnavatel s jejich údaji může dělat. Firmy by tedy nyní měly své pracovníky proškolit, za jakým účelem jejich data shromažďují, ale i jak s nimi nakládají.
Většina povinností souvisejících s GDPR by pro české podniky neměla být žádnou novinkou. Jsou součástí už dnes platných předpisů, jako jsou zákoník práce nebo zákon na ochranu osobních údajů. Odborníci z právní praxe se však shodují, že realita je docela jiná. "Doposud jsem se opakovaně setkávala třeba i s tím, že zaměstnavatelé o svých povinnostech v této oblasti vůbec nevěděli a zaměstnanci ochranu svých údajů nepovažovali za důležitou," popisuje Lucie Kalašová, advokátka z kanceláře bpv Braun Partners.
Typickým příkladem je informační povinnost. Zaměstnavatelé musí své pracovníky proškolit zejména v tom, proč a v jakém rozsahu data zpracovávají nebo kdo k nim má přístup. Často to ale úplně opomíjejí nebo postupují chybně. Firmy informace většinou potřebují ze zákona, třeba kvůli daňovým odvodům. Stává se ale, že i taková data sbírají na základě souhlasu se zpracováním osobních údajů, který jim musí zaměstnanci udělit.
Taková praxe v mnoha případech zatím procházela bez povšimnutí. Podle Kalašové to není v pořádku.
"Zaměstnanec je na svém zaměstnavateli závislý, a tak by souhlas se zpracováním osobních údajů nemusel být dostatečně svobodný," tvrdí advokátka.
Proto nové nařízení detailně popisuje, jaké náležitosti musí informování zaměstnanců mít.
"Sbíráním souhlasů v případě zpracování osobních údajů z důvodu zákonné povinnosti si firmy zadělávají na problém," vysvětluje Anna Szabová, advokátka z Ambruz & Dark Deloitte Legal s tím, že v takovém případě je zaměstnanec špatně informován.
Podle GDPR půjde o porušení povinnosti, jež bude Úřad pro ochranu osobních údajů kontrolovat a následně pokutovat. Kontroly navíc budou pravděpodobně přísnější než doposud.
"Praxe všech evropských dozorových úřadů by se nyní měla začít sjednocovat. Tím se úplně změní systém vynucování povinností a pravděpodobně začne nová éra kontrolování," říká Szabová.
Nařízení také přesně uvádí, kdy je možné data o zaměstnancích sbírat na základě tzv. oprávněného zájmu.
Příkladem je monitoring zaměstnanců pomocí kamer nebo GPS zařízení. Sledování zaměstnanců při práci je dnes běžnou praxí zejména kvůli bezpečnosti. Není ale v pořádku hodnotit automaticky jejich výkon a rozhodovat o jejich osudu výhradně na základě sledování. Člověk, jenž dostal výpověď, protože zaměstnavatel při monitoringu zjistil, že jeho výsledky jsou nevyhovující, se může vedle klasické neplatnosti výpovědi domáhat svých práv na ochranu osobnosti. Čeká ho však složité prokazování, zda mu vůbec vznikla nějaká újma.
◼ 21. 2. Nové technologie a data
◼ 28. 2. GDPR a práva lidí
◼ 7. 3. Mýty o šifrování
GDPR upřesňuje, kdy je sledování zaměstnanců možné, a dává jim nový trumf − přímý nárok na ochranu u soudu. "Teoreticky to bude nově zaměstnavatel, kdo musí prokázat, že k porušení práv podle GDPR nedošlo," vysvětluje Filip Horák z KPMG Legal. "Nechci to bagatelizovat, ale když jako zaměstnanec podám žalobu, mohu si pak dát ruce do klína a čekat, jak se k tomu postaví žalovaný," říká Horák.
GDPR zavádí ještě některá nová práva, jež postavení pracovníků posilují.
Jde především o právo na omezené zpracování, výmaz nebo na přenositelnost údajů.