GDPR prakticky – otázky a odpovědi z pohledu zaměstnavatele

Novinka ze dne 02.07.2018

Ačkoliv máme praktickou zkušenost se správci osobních údajů - zaměstnavateli, kteří k přípravě na vstup GDPR v účinnost přistoupili skutečně velmi zodpovědně, což lze vnímat velmi pozitivně, tak máme bohužel rovněž praktickou zkušenost i s těmi, kteří přípravu buď zcela zanedbali anebo bohužel dokonce netuší, co to GDPR je, a to je samozřejmě špatně. Pojďme se tedy na GDPR podívat z praktického hlediska v otázkách a odpovědích, a to zejména z pohledu zaměstnavatele.

Provozuji kamerový systém se záznamem, kde se mohu registrovat? Na webových stránkách Úřadu pro ochranu osobních údajů nemohu registrační formulář nalézt, přestože tam dříve byl.
 
Registrační povinnost u Úřadu pro ochranu osobních údajů s účinností GDPR skončila.  
Registrační povinnost nyní de facto nahrazují nové nástroje:

  • vedení záznamů o činnostech zpracování (čl. 30 GDPR),
  • v případě vysoce rizikových zpracování povinnost provést posouzení vlivu na ochranu osobních údajů (čl. 35 GDPR),
  • v případě, že vysoká rizika nelze eliminovat, obrátit se na Úřad s žádostí o konzultaci (čl. 36).
 
Rovněž tak je třeba důkladně dbát na správně vyhotovenou interní dokumentaci ve vztahu k GDPR (interní dokumentace týkající se provozování kamerového systému, informování zaměstnanců a třetích osob apod.). V případě provozování kamerového systému může zpracování obecně probíhat bez souhlasu subjektu údajů, pokud je to nezbytné pro účely oprávněných zájmů správce či třetí strany (ochrana majetku, zdraví). Informace o monitorování prostoru by měly být uvedeny na přehledných místech, doporučit lze také obrázky/piktogramy upozorňující na monitoring.
 
 
Považuje se za osobní údaj i evidence o docházce zaměstnance?
 
Zaměstnanec je fyzickou osobou, a pokud lze záznam o docházce spojit s identifikátorem zaměstnance, jedná se o osobní údaj. Pozor, v praxi často dochází k záměně evidence docházky a evidence pracovní doby, kdy z příslušných ustanovení zákoníku práce vyplývá povinnost vést evidenci pracovní doby (nikoliv docházky).
Ust. § 96 zákoníku práce mimo jiné stanoví: Zaměstnavatel je mimo jiné povinen vést u jednotlivých zaměstnanců evidenci s vyznačením začátku a konce
a) odpracované
1. směny,
2. práce přesčas,
3. další dohodnuté práce přesčas,
4. noční práce,
5. doby v době pracovní pohotovosti.
⟼ Toto zpracování je tedy nezbytné pro účely splnění zákonné povinnosti stanovené § 96 zákoníku práce. K těmto údajům není třeba získat souhlas zaměstnance, jedná se o plnění zákonné povinnosti.
 
Právní důvody zpracování bychom pak mohli rozčlenit takto: evidence docházky (oprávněný zájem) x evidence pracovní doby (plnění zákonné povinnosti).
 
 
ü Může home-office přestavovat pro zaměstnavatele riziko ve vztahu k GDPR riziko?
 
Svým způsobem určitě ano, nicméně různý stupeň rizika je dán samozřejmě různou úrovní zabezpečení. V první řadě je třeba rozlišovat, zda zaměstnanec pracuje na počítači zaměstnavatele či na svém počítači. Vlastní počítač zaměstnance bezesporu představuje pro zaměstnavatele větší riziko pro zabezpečení dat. Doporučit lze spolupráci s IT odborníky, kteří zabezpečí oddělení soukromých a pracovních dat a zajistí, aby odesílání osobních údajů ze soukromého zařízení zaměstnance k zaměstnavateli nebylo ohroženo. Rovněž lze doporučit sjednat se zaměstnancem povinnost užívat legální software, aktuální antivirový program, pravidelně počítač testovat, po zapnutí počítače před spuštěním systému nastavit heslo sestávající z kombinace velkých a malých písmen, číslic, zvláštních znaků, apod.
 
Dálkový přístup do systému zaměstnavatele pak rovněž může pro zaměstnavatele představovat potenciální riziko narušení ochrany osobních údajů. V tomto ohledu lze přijmout další bezpečnostní opatření, ale vždy se zachováním kritéria přiměřenosti).

GDPR prakticky – otázky a odpovědi z pohledu zaměstnavatele | TSM