Květen - měsíc GDPR

Novinka ze dne 03.03.2018

Čtyři „tajemná“ písmena GDPR jsou v praxi skloňována stále častěji. O co se tedy vlastně jedná? Jde o Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 (v ČR účinné od 25. 5. 2018). O tomto Nařízení se hovoří jako o nejvýznamnějším legislativním počinu v oblasti ochrany osobních údajů za posledních několik (snad i desítek) let. Jedná se o (na tyto poměry) opravdu rozsáhlý právní předpis, který přináší přísnější úpravu ochrany osobních údajů, než jak ji známe dnes. S ohledem na tuto skutečnost je tedy nutné, aby i personální oddělení u zaměstnavatelů (a nejen ta) byla s touto právní úpravou seznámena.
 
Stávající právní úprava ochrany osobních údajů je zakotvena v zákoně č. 101/2000 Sb., o ochraně osobních údajů, který ale s nástupem GDPR pozbyde účinnosti (má ho nahradit nový zákon o zpracování osobních údajů). Nicméně Úřad pro ochranu osobních údajů stále bude plnit funkci dozorového, kontrolního orgánu.
 
Kde na internetu najdu základní „oficiální“ informace o GDPR?
Oficiálním zdrojem informací je zcela jistě webová stránka Úřadu pro ochranu osobních údajů: http://www.uoou.cz. Zde najdeme samostatnou rubriku věnující se právě problematice GDPR, v této rubrice rovněž najdeme výstupy pracovní skupiny WP29.
 
Text obecného nařízení najdeme na těchto webových stránkách (v různých jazykových mutacích): http://eur-lex.europa.eu.
 
Kdo všechno vlastně spadá pod regulaci GDPR?
GDPR se vztahuje na všechny fyzické nebo právnické osoby, orgány veřejné moci nebo jiné subjekty, které shromažďují nebo zpracovávají osobní údaje. Velikost subjektu zde de facto nehraje žádnou roli. Z působnosti obecného nařízení jsou však některá zpracování vyloučena, jde kupříkladu o činnosti fyzických osob, při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost. Nařízení se rovněž nevztahuje na zpracování osobních údajů právnických osob.
 
Je třeba kvůli GDPR pořizovat speciální software, hardware?
Odpovědět jednoduše a obecně na tuto otázku možné bohužel není. Veškerá opatření v souladu s GDPR by měla být přijímána s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování. Samozřejmě, že je nutné brát v potaz rovněž rizika spojená se správou a zpracováním osobních údajů souvisejících. Dle mého názoru není nutné, aby většina menších organizací pořizovala speciální vybavení, ať už v podobě software či hardware, je ale nutné zcela určitě provést revizi stávajícího zabezpečení. Samo obecné nařízení ostatně hned v úvodu (bod 13) stanoví, že aby byla zohledněna specifická situace mikropodniků a malých a středních podniků, obsahuje nařízení odchylku pro organizace s méně než 250 zaměstnanci týkající se uchovávání údajů. Kromě toho jsou orgány a instituce Unie, členské státy a jejich dozorové úřady podporovány v tom, aby specifické potřeby mikropodniků a malých a středních podniků zohledňovaly při uplatňování tohoto nařízení.  
 
Zkusme se v kontextu výše uvedeného zamyslet například nad problematikou vedení osobních spisů zaměstnanců: Jak máme zabezpečeny osobní spisy zaměstnanců? Vedeme je v papírové či v elektronické (ev. v obojí) podobě? Jsou osobní spisy uzamčeny ve skříni (pancéřové)? Kdo má od skříně klíče? Kdo má klíče od místnosti, kde jsou osobní spisy uschovány? Jak máme zabezpečený počítač (kvalitní heslo sestávající z velkých a malých písmen, číslice, zvláštního znaku, pravidelně se obměňující; vždy aktuální antivirový software; software pořízený od spolehlivého dodavatele; umístění počítače – na veřejně přístupném místě/na místě omezeně přístupném/v místnosti s okny (snazší vniknutí do místnosti)/bez oken; apod.)?
 
TIP PRO PRAXI: Zamykejte skříně a kanceláře, změňte (a měňte hesla) v počítačích!
 
Jak je definován osobní údaj v GDPR?
V souladu s čl. 4 odst. 1 nařízení jsou osobními údaji veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. K tomuto je nutné doplnit, že pojem osobní údaj nebyl oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, de facto změněn.
 
TIP PRO PRAXI: Pokud jsme nepodceňovali zákon č. 101/2000 Sb., jsme na dobré cestě k přípravě na účinnost GDPR.
 
Jak je to se souhlasem se zpracováním osobních údajů?
Souhlas se zpracováním osobních údajů je dle mého názoru často nadužíván již dnes. V kontextu GDPR se souhlas jako právní důvod pro zpracování osobních údajů nedoporučuje především pro jeho odvolatelnost, přičemž k tomuto si dovolím doplnit, že nikoliv jen pro jeho odvolatelnost, ale rovněž tak pro způsob, jakým má být vyjádřen. Souhlas musí být správce schopen doložit (doporučuji písemnou formu souhlasu), stejně musí být správce schopen doložit, že fyzická osoba udělila souhlas se zpracováním svých údajů svobodně a takový souhlas musí být konkrétní (účel musí být konkrétně vyjádřen – srovnejme: pro interní použití zaměstnavatele x pro identifikaci osob vcházejících do objektu zaměstnavatele), informovaný (je třeba, aby byl subjekt údaj informován zejména o účelu a operacích zpracování, o totožnosti správce, o tom, že je možné (a jakým způsobem) souhlas odvolat), jednoznačný a ničím nepodmíněný. 
Je nutné upozornit na to, že v pracovněprávních vztazích je obecně dána nerovnost smluvních stran těchto vztahů, která vyplývá ze vztahu nadřízenosti a podřízenosti zaměstnavatele a zaměstnance. S ohledem na skutečnost, že by pak mohla být dána pochybnost, zda zaměstnanec skutečně udělil souhlas svobodně, je právě toto další z důvodů, proč by souhlas neměl být primárním právním důvodem pro zpracování osobních údajů.
 
TIP PRO PRAXI: Žádná předem zaškrtnutá políčka ve formulářích, žádné skryté souhlasy v textu pracovních smluv.
 
Když ne souhlas, tak co tedy?
Jak jsem zmínila výše, odborná veřejnost se shoduje, že souhlas zaměstnance jakožto právní titul ke zpracování osobních údajů bude nutné využívat velmi opatrně a spíše sporadicky. Jak toto řešit? Nejlépe hledáním jiného důvodu zpracování. Dle čl. 6 GDPR: Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
 
⤏ Doporučuji v personální praxi před souhlasem upřednostnit zákon, smlouvu či oprávněný zájem.
 
TIP PRO PRAXI: I když nebudeme osobní údaje zpracovávat na základě souhlasu, je přesto nutné ve vztahu k zaměstnanci dodržovat zásady zakotvené v čl. 5 GDPR, tedy mimo jiné osobní údaje zpracovávat korektně a zákonným a transparentním způsobem, shromažďovat je pro určité, výslovně vyjádřené a legitimní účely a zpracovávat je přiměřeně, relevantně a omezeně na nezbytný rozsah ve vztahu k účelu.
 
TIP PRO PRAXI: Věnujme kupř. samostatný článek v pracovní smlouvě problematice zpracování osobních údajů, informujme zaměstnance, které osobní údaje zpracováváme na základě zákona, smlouvy či oprávněného zájmu apod. Současně se zamysleme nad tím, v jakých případech budeme potřebovat souhlas zaměstnance se zpracováním osobních údajů, tento správně formulujme a do příslušného článku pracovní smlouvy zapracujme.
 
ü Opravdu musíme mít pověřence pro ochranu osobních údajů? Často se teď o povinnosti mít pověřence pro ochranu osobních údajů hovoří.
Ano i ne. Pověřenec je osobou s odbornými znalostmi v oblasti právních předpisů týkajících se ochrany osobních údajů, a který má být správci a zpracovateli nápomocen při zajištění souladu zpracování osobních údajů s GDPR. Vodítkem pro to, zda zaměstnavatel potřebuje spolupracovat s pověřencem pro ochranu osobních údajů, je zejména čl. 37 nařízení, který stanoví: Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy:
a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo
c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.
 
TIP PRO PRAXI: S pověřencem spolupracujte pouze v situaci, kdy tato povinnost vyplývá přímo z nařízení.
 
Existuje nějaký základní návod na „GDPR minimum“, které musí učinit každý zaměstnavatel?
Bohužel nikoliv. Každý zaměstnavatel je natolik individuální, že nelze s jistotou poskytnout jakýsi GDPR manuál platný pro všechny, přesto se pokusím alespoň rámcově nastínit, co je vhodné učinit:
  1. Provést analýzu stávajícího zpracování – tedy zjistit, jaké všechny osobní údaje shromažďujeme a zpracováváme, na základě čeho (souhlasu, smlouvy, apod.), a položit si otázku, zda skutečně musíme tyto osobní údaje od zaměstnance mít (Potřebuji kopii občanského průkazu? Nelze požadavek na určitou informaci řešit čestným prohlášením?)
  2. V kontextu shora uvedeného je nutné posoudit, zda provoz u zaměstnavatele splňuje právní a technické požadavky GDPR (vymazat, anonymizovat údaje, disponovat správnými a prokazatelnými souhlasy se zpracováním osobních údajů, učinit bezpečnostní opatření – technická i softwarová apod.)
  3. Provést „úklid“ v osobních údajích a rozčlenit je na ty, které budeme zpracovávat na základě zákona, smlouvy, oprávněného zájmu, se souhlasem zaměstnance či z jiného právního důvodu, podle toho přijmout vhodná opatření.
  4. Vytvořit postupy pro případ porušení zabezpečení osobních údajů.
  5. Zamyslet se nad tím, jak se nová právní úprava promítne kupříkladu do pořizování fotografií zaměstnanců pro různé účely, GPS, monitoring pracoviště kamerovým systémem, ale i do vztahu s dalšími zpracovateli osobních údajů (externí mzdová účetní, vzdálená IT podpora, pojišťovna, apod.)
 
S odkazem na výše uvedená nezbývá, než konstatovat, že je nutné vstup GDPR v účinnost nepodcenit a začít s přípravou již nyní. Závěrem si pak dovolím drobné odlehčení:
 
Autor: Mgr. Klára Gottwaldová, MBA

Květen - měsíc GDPR | TSM