článek

Pravidla GDPR a souhlas se zpracováním osobních údajů ze strany zaměstnance

V předchozím článku (Pravidla GDPR a vybrané praktické problémy při jejich implementaci) jsme popsali některé praktické problémy vyplývající z implementace GDPR v obchodní společnosti. Na následujících řádcích se zaměříme na problematiku získávání souhlasu se zpracováním osobních údajů ze strany zaměstnanců.

Význam souhlasu jako právního titulu zpracování osobních údajů se s přijetím GDPR mírně posunul. Předchozí právní úpravou byl souhlas vnímán jako základní titul zpracování. Avšak po účinnosti GDPR je již souhlas toliko podpůrným právním základem a lze ho použít pouze v případě, že není možné pro zpracování osobních údajů využít jiného právního důvodu.


A jak by měl takový souhlas se zpracováním vypadat? Souhlas by měl být svobodný, konkrétní a informovaný projev vůle, a správce osobních údajů by měl být navíc vždy schopen doložit, že byl souhlas řádně udělen. Zejména z hlediska prokazatelnosti tak můžeme jednoznačně doporučit písemnou formu souhlasu, popř. využití zaškrtávacího políčka na webových stránkách.


Háček ohledně poskytnutí souhlasu se zpracováním osobních údajů ze strany zaměstnance spočívá právě v jeho svobodném udělení. GDPR totiž výslovně uvádí, že souhlas nemůže být platným právním titulem v případě, že je mezi správcem a subjektem údajů jasná nerovnováha. O takový vztah se jedná právě v případě zaměstnavatele a zaměstnance. Ve většině případů zpracování osobních údajů tak souhlas zaměstnance nebudeme moci využít. Někdy se však bez jeho souhlasu neobejdeme. A o jaké případy se zejména jedná?

Zveřejnění fotografií z firemních večírků


Stejně jako za předchozí právní úpravy i po účinnosti GDPR platí, že zveřejňovat fotografie z firemních večírků či teambuildingů je možné i bez souhlasu zaměstnance. I tento způsob zpracování osobních údajů však má své limity. Předně je možné přiřadit k fotografii pouze stručné doprovodné údaje. Dle našeho názoru je možné k fotografii přiřadit ještě jméno a příjmení. V případě zveřejnění většího množství osobních údajů by již mohl být vyžadován souhlas ze strany zaměstnance. Taktéž bude souhlas ze strany zaměstnance nutný při zveřejnění fotografie na sociálních sítích, a to v případě označení osoby na fotografii. Z profilu konkrétní osoby na sociální síti totiž lze získat velké množství osobních údajů a není proto možné označit zaměstnance bez jeho souhlasu.


Důležité je také posuzovat zveřejňování fotografie z pohledu účelu zveřejnění. Pokud je fotografie zveřejněna za účelem pouhé dokumentace firemní akce, nebude souhlas zaměstnance třeba. Pokud však budou předmětné fotografie používány k marketingovým účelům, bez zaměstnancova souhlasu se zpravidla neobejdeme.

 

Biometrické údaje


Další specifickou situací je zpracování biometrických údajů zaměstnance. K jejich zpracování dochází zpravidla v provozech s vyššími nároky na bezpečnost, kde zaměstnavatelé používají například čtečky otisků prstů ke kontrole vstupu do objektu. V tomto případě jen těžko nalezneme jiný právní titul pro zpracování biometrických údajů zaměstnance než právě jeho souhlas. V takovýchto případech bychom ale mohli narazit na již zmíněnou svobodu v udělení souhlasu. Pokud by totiž zaměstnanec odmítl udělit souhlas ke zpracování svých biometrických údajů, zaměstnavatel by mu nemohl umožnit výkon práce, což by nutně vedlo k ukončení pracovního poměru.

Z tohoto důvodu vždy doporučujeme dát zaměstnanci alternativní možnost ověření totožnosti, jako je například čipová karta. Jen tak lze zajistit, že souhlas lze považovat za svobodně udělený. Nadto je třeba uvést, že GDPR považuje biometrické údaje za zvláštní kategorii osobních údajů, a proto je třeba nakládat s těmito údaji obzvlášť obezřetně. Zejména lze doporučit zvýšení zabezpečení společně s  mezením přístupu k těmto údajům.


Služební automobil


Další problematickou oblastí se v praxi ukázalo být sledování služebních vozidel prostřednictvím GPS. Pokud je vozidlo poskytnuté zaměstnanci využíváno pouze ke služebním účelům, je situace poměrně jednoznačná. V takovém případě je zaměstnavatel oprávněn sledovat pohyb vozidla prostřednictvím GPS za účelem ochrany svých oprávněných zájmů. Oprávněný zájem zaměstnavatele zde spočívá v ochraně majetku a v kontrole nakládání s prostředky poskytnutými zaměstnanci.


Problém však nastává ve chvíli, kdy je zaměstnanci umožněno užívat služební vozidlo i k soukromým účelům. Při implementaci GDPR jsme se často setkávali s názory, že k monitorování soukromých aktivit zaměstnance je třeba jeho písemný souhlas. Pokud by takový souhlas nebyl udělen, zaměstnanci by nebylo umožněno užívat služební vozidlo k soukromým účelům. Jasno do problému nakonec vnesl Úřad pro ochranu osobních údajů se svým stanoviskem, že sledování zaměstnance pomocí GPS ve služebním vozidle je možné provádět z důvodu ochrany oprávněných zájmů i mimo pracovní dobu, a ani v tomto případě tak nebude třeba jeho souhlas.


Je však třeba upozornit na to, že účel ochrany majetku nesmí být ze strany zaměstnavatele překračován a sloužit tak k nadměrnému sledování aktivit zaměstnanců.


V dalším vydání CAFINews se zaměříme na další specifické situace související se zpracováním osobních údajů zaměstnanců, a to zejména na užívání ICT technologií a sledování zaměstnanců na pracovišti.

  

Mgr. Jan Suchý

________________________________________________________________________________

Jan vystudoval Právnickou fakultu Univerzity Karlovy v Praze. Během studia působil na juniorních právních pozicích a po ukončení školy pak jako advokátní koncipient v advokátní kanceláři zaměřené na generální praxi. Věnoval se zejména právu nemovitostí a litigacím. V Accace Jan zastává pozici Junior Associate a zaměřuje se na právo obchodních společností, závazkové právo a ochranu osobních údajů.

Další zprávy z této kategorie