Jak by se měli zaměstavatelé postavit k povinnostem dle GDPR? A kdy a jak je možné zaměstnance na pracovišti sledovat?
Jak by se měli zaměstavatelé postavit k povinnostem dle GDPR? A kdy a jak je možné zaměstnance na pracovišti sledovat?
Loni v květnu mnoho podnikatelů (a nejen je) postrašilo tzv. GDPR neboli nový právní rámec ochrany osobních údajů, který vznikl s cílem maximálně hájit práva obyvatel Evropské unie proti neoprávněnému zacházení s jejich osobními údaji a to včetně zaměstnanců. V praxi šlo však spíš o sjednocení a prohloubení stávající úpravy. Navíc česká úprava byla vždy přísnější než průměr Unie, takže nejde o revoluci. I přesto by si však podnikatelé měli dát dobrý pozor, novou úpravu totiž může zneužít konkurence ke konkrétním udáním.
Podnikatelé by se především měli zaměřit úpravu svých obchodních podmínek, měli by vytvořit alespoň základní vnitřní směrnici, jak s daty zacházet, a také přehledně své klienty, ale i zaměstnance informovat nejen o nových právech dle GDPR, jako je třeba právo na zapomenutí či přenositelnost údajů.
Mýtem je naopak to, že by už nebylo vůbec možné bez nového výslovného souhlasu podle GDPR rozesílat marketingová sdělení na dlouhodobě pracně vytvořené databáze klientů a že není možné např. shromažďovat rodná čísla zaměstnanců.
Je důležité si uvědomit, že zaměstnavatel musí k osobním údajům zaměstnanců přistupovat jako k vlastnictví zaměstnanců, které má pouze propůjčené k určitým, předem daným a zákonem stanoveným účelům a používat je výhradně pro tyto své účely jakými jsou výpočet mzdy, komunikace se zaměstnancem a např. vyhodnocení spolupráce (povýšení? rozvázání pracovního poměru?). Zaměstnavatel tedy musí učinit taková opatření, aby nemohlo dojít k neoprávněnému přístupu k osobním údajům. A neoprávněnou osobou je každý, kdo nemá povinnost s osobními údaji pracovat. Tudíž je třeba uchovávat personální spisy např. v uzamčených skříních, dostupné pouze oprávněným osobám. Možnost přistupovat do jejich elektronického zpracování musí být omezeno pouze na úzký počet zaměstnanců a je nutné všechna zpracování osobních údajů logovat (vést záznam), přičemž zpracováním se rozumí i nahlížení. Týká se to obzvláště velkých podniků, které zpracovávají statisíce osobních údajů (a často velmi citlivých) a přesto není nijak zaznamenáno, kdo z možných, třeba 25 osob, do nich nahlížel.
U menších zaměstnavatelů se zase může vyskytnout problémem předávání údajů jaksi úplně neformálně. Jde např. o distribuci výplatních pásek zaměstnancům, což se často děje způsobem, při kterém si ostatní zaměstnanci mohou přečíst mzdu i odměny ostatních. Informace o mzdě a o odměnách jsou však osobní údaje, které mohou vyvolávat závist ostatních.
Náš GDPR audit pro podnikatele vás spolehlivě připraví na všechno, co přináší nařízení o ochraně osobních údajů. Garantujeme vám přitom správnost řešení dle platné legislativy. Vše zařídíme rychle a tak, abyste se nemuseli o nic starat. Zaplatit můžete až po poskytnutí služby.
To co je však pro zaměstnace ještě podstatnější než ochrana dle GDPR, která se obecně spíše přeceňuje, je fakt, že zákon stanoví, že zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze jeho činnosti narušovat soukromí zaměstnance, a to nejen na pracovišti, ale i ve veřejných prostorách. Například i tím, že podrobuje pracovníka otevřenému či skrytému sledování.
Ani ochrana majetku není automaticky důvodem opravňujícím sledování. Pokud by však šlo o pracoviště, kde by docházelo k např. k častým krádežím nebo kde je třeba kontrola dodržování technologického postupu, je možné určité prostory sledovat. Musí však k tomu být skutečně závažné důvody. Např. v chemičce je bezpečnost důležitější než soukromí a postup zaměstnance v laboratoři musí být monitorován. Zde je možné použít i záznam. To samé však neplatí v kanceláři či v tělocvičně. Sledování by rozhodně nemělo být tajné.
V případě, že zaměstnanec nesouhlasí s monitorováním na pracovišti, je třeba své výhrady zaměstnavateli oznámit. Pakliže by zaměstnavatel výhrady neakceptoval a v monitorování pokračoval, bylo by možné se obrátit na inspektorát práce, případně i na Úřad pro ochranu osobních údajů. Za takové neoprávněné nakládání s osobními údaji hrozí až statisícové pokuty. Navíc pokud má zaměstnavatel na zaměstnance nějaký důkaz pořízený takto nelegálně nemůže obstát např. ani ve sporu o platnost výpovědi zaměstnance „načapaného“ takovou kamerou.
Zaměstnavatel dokonce nemůže ani nahlížet do emailů svých zaměstnanců, byť jsou odesílány a přijímány s pracovní adresou. Může do nich nahlédnout pouze v případě, že by se jednalo o podezření na porušení pracovních povinností, ale i tak může zkontrolovat pouze předmět adresáta nikoliv nahlížet do obsahu. I kdyby se v takovém případě našel prohřešek, nemusí se jednat o právoplatný důkaz nebo obhajitelný důvod k propuštění zaměstnance.
Je tu však zajímavý případ, kdy Evropský soud pro lidská práva řešil výpověď rumunského zaměstnance, kterou dostal za enormní soukromé chatování v pracovní době. Měl na starost zákaznickou podporu a zaměstnavatel jej požádal o vytvoření oficiálního účtu Yahoo! Messenger, kde měl za úkol reagovat na dotazy zákazníků. Zaměstnanec ji však využíval pro osobní účely a ne zrovna v malé míře.
Zaměstnavatel později začal tušit, že něco není v pořádku, ale zaměstnanec vše písemně odmítl. Načež pak zaměstnavatel předložil přepis velmi osobních erotických rozhovorů. Na tomto základě dostal pracovník výpověď, proti které se pak snažil soudně bránit. Ovšem v tomto případě neuspěl. Soud uznal, že osobní práva byla sice zasažena, ale dal tentokrát v tomto případě přednost ochraně zaměstnavatele. Ovšem zde je důležité zdůraznit slovo tentokrát, protože ne vždy tomu tak musí být.
Zaměstnavatel má právo kontrolovat využívání svých pracovních prostředků, ale nemůže svévolně zasahovat do soukromí svých zaměstnanců. Je to poměrně tenký led ne vždy by soud mohl rozhodnout ve prospěch zaměstnavatele. Obzvláště v době mobilních zařízení je prakticky nemožné hlídat zaměstnance, aby v pracovní době nechatovali, proto se dnes i většina zaměstnavatelů od striktních zákazů odklání.
Tým online právníků Dostupný advokát vám jej vyřeší.
Náš GDPR audit pro podnikatele vás spolehlivě připraví na všechno, co přináší nařízení o ochraně osobních údajů. Garantujeme vám přitom správnost řešení dle platné legislativy. Vše zařídíme rychle a tak, abyste se nemuseli o nic starat. Zaplatit můžete až po poskytnutí služby.
Již podruhé jsem se obrátil na Dostupného advokáta a podruhé jsem byl s touto službou spokojený. Tentokrát se mi věnovala paní advokátka a pocitově je to hvězdiček šest. Při hodnocení jsou pro mě vždy tři důležité body – kvalita služby nebo produktu, prostředí a rychlost. Provozuji restauraci a tři Michelinské hvězdy znamenají hvězdičku za obsluhu, za prostředí a za kuchyni. A můj osobní (zobrazit více) názor je ten, že odchází pouze ten nespokojený zákazník, který nespokojeným chce být anebo spokojený být neumí. Tvoříme si svůj život a je jen na nás, zda jsme schopni a ochotni si svoji spokojenost vykomunikovat předtím, než napíšeme čtyř nebo méně hvězdičkové hodnocení. Kvalitu služby poznáte také tehdy, když se stane chyba, podle schopnosti jak se kdo s chybou vyrovná a jak se k ní postaví. Chyba je jen svobodná volba v minulosti, kterou v přítomnosti hodnotíme jako chybu na základě nových informací. V minulosti ta chyba neexistuje. Vždy děláme to nejlepší, co můžeme, podle svých možností a informací. Ještě jednou děkuji a rád se na vás opět obrátím.