Zpracování osobních údajů zaměstnanců je věcí naprosto samozřejmou. Bez znalosti identifikačních a kontaktních údajů by nebylo možné pracovníka zaměstnat, přidělovat mu práci či vyplácet mzdu. Tato oblast tudíž nebudí příliš mnoho emocí a nevyvolává otázky, na které by se obtížně hledaly odpovědi. Naopak zcela odlišná je situace, pokud zaměstnavatel své lidi sleduje či narušuje jejich soukromí. O tom svědčí bohatá, zejména zahraniční judikatura či bohaté diskuse mezi odbornou veřejností.
Existují ovšem i jiné oblasti zpracování osobních údajů zaměstnanců, které mohou vyvolávat řadu otázek. Jednou z nich je zpracování zvláštních kategorií osobních údajů ve smyslu článku 9 obecného nařízení o ochraně osobních údajů (GDPR).1 💬 Podle tohoto ustanovení se jedná o údaje, které "vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby".2 💬 Danou kategorii osobních údajů lze tedy zjednodušeně charakterizovat tak, že s ohledem na jejich znalost by daný člověk mohl být snáze diskriminován či jinak znevýhodňován.
Důvodem, proč je nutné se zpracováním těchto údajů hlouběji zabývat, je skutečnost, že je možné je zpracovávat jen na základě specifických právních základů definovaných v článku 9 odstavci 2 GDPR.3 💬 Jelikož se jedná o relativně úzce vymezený okruh situací, přináší to do praxe řadu problémů.
Při zpracování zvláštních kategorií osobních údajů totiž především není možné jako právní základy tohoto zpracování využít jednak nezbytnost zpracování pro splnění smlouvy4 💬 a jednak oprávněné zájmy správce či třetí strany5 💬. Za zmínku v této souvislosti stojí například otázka zpracování této kategorie osobních údajů v případě poskytování pojistných produktů, kdy je znalost takovýchto údajů objektivně nezbytná pro řádné posouzení vybraných produktů ze strany pojišťoven, zejména u životního pojištění.6 💬
V oblasti zpracování osobních údajů zaměstnanců je situace dále poněkud specifická s ohledem na existenci zvláštních7 💬 právních základů pro zpracování těchto údajů. Především článek 9 odstavec 2 písmeno b) GDPR umožňuje jejich zpracování v případě, že je to "nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem unie nebo členského státu nebo kolektivní dohodou […]".
V případech stanovených právními předpisy proto zaměstnavatelé nebudou mít větší problémy s určením právního základu a se zákonností takového zpracování. Půjde především o zpracování informací o zdravotním stavu, které v určitých situacích zaměstnavatelům ukládá zákon. Výhodou pak také je, že povinnosti mohou zaměstnavatelům v tomto ohledu určovat též kolektivní smlouvy, protože i když se právní základ nezbytnosti pro splnění běžné smlouvy v případě zvláštní kategorie osobních údajů neuplatní, u kolektivních smluv to neplatí.
Druhý specifický právní základ upravující možnost zpracování zvláštní kategorie osobních údajů nastává v situaci, kdy je zpracování "nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby […]".8 💬 Správci přitom při zpracování údajů na tomto právním základě musí splnit podmínky článku 9 odstavce 3 GDPR a zajistit dodatečné záruky týkající se zabezpečení osobních údajů. S ohledem na obsah tohoto ustanovení je však zřejmé, že se použije především na zpracování údajů ze strany lékařů, nikoliv zaměstnavatelů.
Nebude-li možné aplikovat ani jeden ze dvou výše zmíněných právních základů, bude nutné v témže ustanovení hledat jiný. Nejčastěji se bude pravděpodobně jednat o právní základ, kdy je zpracování nezbytné pro určení, výkon nebo obhajobu právních nároků ve smyslu článku 9 odstavce 2 písmeno f) GDPR. Naopak za obvykle nevhodný bude nutné považovat výslovný souhlas zaměstnance podle článku 9 odstavce 2 písmene a) GDPR s ohledem na zaměstnancovo slabší postavení a spornou svobodnost udělení takového souhlasu. Využití jednotlivých právních základů je dále zkoumáno v návaznosti na jednotlivé zvláštní kategorie osobních údajů.
Informace o zdravotním stavu
Pokud jde o jednotlivé zvláštní kategorie osobních údajů, se kterými se budou zaměstnavatelé setkávat, jsou to zejména údaje o zdravotním stavu. Bude-li se jednat o situace, kdy jejich zpracování ukládá zákon (informace o zdravotní způsobilosti zaměstnance pro výkon práce, zaměstnání osob se změněnou pracovní schopností či například zpracování informací o pracovním úrazu), nebude určení zákonnosti takového zpracování činit větší obtíže.
Komplikovanější situace může nastat, pokud vazba na konkrétní zákonnou povinnost není jednoznačná. Navíc platí, že pojem údaje o zdravotním stavu je třeba vykládat spíše široce. Ačkoliv definice těchto údajů obsažená v článku 4 bodu 15) je relativně stručná,9 💬 lze vyjít z výkladu podaného v preambuli GDPR, kde se mimo jiné uvádí: "Mezi osobní údaje o zdravotním stavu by měly být zahrnuty veškeré údaje související se zdravotním stavem subjektu údajů, které vypovídají o minulém, současném či budoucím tělesném nebo duševním zdraví subjektu údajů. To zahrnuje informace o dané fyzické osobě shromážděné v průběhu registrace […], číslo, symbol nebo specifický údaj přiřazený fyzické osobě […], informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně z genetických údajů a biologických vzorků, a jakékoliv informace například o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu […]".10 💬 Soudní dvůr Evropské unie například dovodil, že za údaj o zdravotním stavu je nutné považovat též informaci, že se určitá osoba zranila na noze a čerpá částečné volno z důvodu nemoci.11 💬
Za vhodný právní základ bude v těchto situacích možné považovat nezbytnost zpracování pro určení, výkon nebo obhajobu právních nároků,12 💬 případně zpracování osobních údajů zjevně zveřejněných subjektem údajů, bude-li to relevantní.13 💬 Naopak obecně nevhodným právním základem bude výslovný souhlas zaměstnance s takovým zpracováním.14 💬 Nenalezne-li zaměstnavatel jiný vhodný právní základ, bude muset zpracování daných osobních údajů neprodleně ukončit, respektive je zpracovávat jen v takovém rozsahu, v jakém mu to ukládá zákon, případně kolektivní smlouva.
Členství v odborové organizaci
Další zvláštní kategorií osobních údajů, se kterou se budou zaměstnavatelé setkávat, je údaj o členství v odborech. Zákoník práce totiž v tomto případě zaměstnavatelům ukládá určité povinnosti. Jde například o situaci, kdy si zaměstnavatel musí podle zákoníku práce vyžádat předchozí souhlas k výpovědi dané členu odborové organizace, dále při provádění srážek ze mzdy k úhradě členských příspěvků zaměstnance, uplatnění částky zaplacených odborových příspěvků jako daňově odečitatelné položky15 💬 nebo obecně v situacích, kdy je zaměstnavatel povinen určité skutečnosti s odborovou organizací projednávat nebo ji informovat.
Oprávnění zaměstnavatele ke zpracování údaje o členství v odborech sice v těchto situacích není explicitně vyjádřeno, i přesto se domnívám, že je nutné dovodit oprávněnost zaměstnavatele ke zpracování těchto údajů s odkazem na zmiňovaný zvláštní právních základ. O to však bude důležitější, aby zaměstnavatel dané údaje zpracovával striktně pro splnění stanovených povinností a nevyužíval je pro žádné jiné účely, například pro plánování organizačních změn či propouštění zaměstnanců. Zpracování pro takové účely by bylo bez dalšího (například bez existence souhlasu) nutné považovat za nezákonné.
Odsouzení za trestný čin
Zaměstnavatelé se dále za určitých okolností mohou dostat k informaci o tom, že zaměstnanec spáchal trestný čin a byl za něj odsouzen. Tato informace nicméně již není řazena do stejné kategorie jako ostatní zvláštní kategorie osobních údajů, nýbrž je specificky upravena v rámci samostatného článku 10 GDPR. Zpracování těchto informací je možné jen pod dozorem orgánu veřejné moci, pokud je to oprávněné podle právních předpisů poskytujících vhodné záruky nebo pokud jde o práva a svobody subjektů údajů.
Zaměstnavatelé se budou s těmito údaji setkávat zejména při náboru nových zaměstnanců. Za určitých okolností totiž mohou důvodně požadovat, aby jim uchazeči prokázali, že nebyli odsouzeni za trestný čin, a to předložením výpisu z rejstříku trestů. Ve smyslu příslušných právních předpisů se jedná o prokazování takzvané bezúhonnosti.
K povaze výpisu z rejstříku trestů zaměstnanců se vyjádřil Úřad pro ochranu osobních údajů, který uvedl, že "výpis z rejstříku trestů, který dokládá beztrestnost, není citlivým osobním údajem o odsouzení za trestný čin ve smyslu § 4 písm. b) zákona o ochraně osobních údajů".16 💬 S ohledem na obdobnost příslušných pojmů obsažených v GDPR a zákona o ochraně osobních údajů tak lze dovozovat, že výpis z rejstříku trestů neobsahující žádné údaje o odsouzení nepodléhá režimu dle článku 10 GDPR.17 💬
Mnohdy se však zaměstnavatelé dostanou též nepřímo či nechtěně k informacím o odsouzení zaměstnanců či uchazečů o zaměstnání, které není rozhodné pro dané zaměstnání. Zaměstnavatel musí s touto možností počítat a být na ni připraven. Může z toho vyplývat řada dalších povinností, jako je omezení možnosti zpracovávat takové údaje pro jiné účely18 💬, povinnost provést posouzení vlivu19 💬 či povinnost jmenovat pověřence pro ochranu osobních údajů20 💬. Pro tyto situace lze proto obecně zaměstnavatelům doporučit tyto údaje nijak nezpracovávat a pouze si poznamenávat, zda došlo či nedošlo k doložení bezúhonnosti.
Biometrické údaje
Jednou z dalších ze zvláštních kategorií osobních údajů, se kterou zaměstnavatelé přicházejí do kontaktu, jsou biometrické údaje. Těmi se ve smyslu článku 4 bodu 14) GDPR rozumí "osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje". V praxi se může nejčastěji jednat o otisky prstů, záznam hlasu či sken oční duhovky využívaný pro přístupové systémy. Může jít i o bližší informace o podobizně zaměstnance, o specifické prvky chůze, jež mohou být využívány pro účely ostrahy objektů, nebo o rukopis zaměstnance.
Chcete číst dál?
Ještě na vás čeká 50 % článku.
S předplatným získáte
- Web Ekonom.cz bez reklam
- Možnost sdílet prémiový obsah zdarma (5 článků měsíčně)
- Možnost ukládat si články na později