Jak se vyhnout nejčastějším chybám při zpracování osobních údajů zaměstnanců

Při nakládání s osobními údaji zaměstnanců je třeba dodržovat GDPR

S osobními údaji svých zaměstnanců je třeba nakládat v souladu s obecným nařízením o ochraně osobních údajů (GDPR). To ve stručnosti znamená, že byste měli:

• zpracovávat jen ty osobní údaje zaměstnanců, které ke stanoveným účelům skutečně potřebujete a pouze na základě jednoho z právních důvodů vymezených v článku 6 GDPR,
• udržovat osobní údaje přesné a aktuální a uchovávat je jen po dobu nezbytnou k naplnění stanoveného účelu,
• informovat zaměstnance o tom, jak jejich údaje zpracováváte,
• osobní údaje zaměstnanců vhodně zabezpečit proti neoprávněným přístupům a zneužití,
• respektovat práva zaměstnanců jako je právo na přístup k osobním údajům, jejich opravu nebo výmaz,
• evidovat, jak plníte tyto povinnosti pro případ kontroly ze strany Úřadu pro ochranu osobních údajů.

V čem zaměstnavatelé nejčastěji chybují a jak se chybám vyvarovat?

1. Nadbytečné vyžadování souhlasu zaměstnance

V pracovních smlouvách, dohodách o provedení práce (DPP) i dohodách o pracovní činnosti (DPČ) se stále vyskytují ustanovení, ve kterých zaměstnanci souhlasí se zpracováním jejich osobních údajů v souvislosti s výkonem práce. Takový souhlas však není v souladu s GDPR.  

Zpracování osobních údajů zaměstnanců se obvykle totiž nezakládá na právním důvodu souhlasu zaměstnance. Navíc souhlas musí být udělen dobrovolně a ke konkrétnímu účelu. To znamená, že jej nelze získat pouhým podpisem pracovní smlouvy a nelze jej používat pro obecné účely, jako je „výkon práce“.

Jak se chybě vyhnout?

Nejprve identifikujte všechny účely, pro které potřebujete zpracovávat osobní údaje. Může jít třeba o uzavření a plnění pracovní smlouvy, plnění zákonných povinností v oblasti sociálního zabezpečení nebo o ochranu majetku. Pro každý účel pak určete jeden z právních důvodů vymezených v článku 6 GDPR, na kterém zpracování osobních údajů založíte. Většinou souhlas zaměstnance nebudete potřebovat, protože zpracování osobních údajů založíte na nezbytnosti pro splnění smlouvy, právní povinnosti nebo na vašem oprávněném zájmu, například na ochraně vašeho majetku.

Pokud zjistíte, že pro zpracování osobních údajů za konkrétním účelem potřebujete souhlas zaměstnance, zajistěte, aby tento souhlas splňoval požadavky GDPR. Náležitosti souhlasu budou popsány v dalším bodě.

2. Nezískání souhlasu zaměstnance

Zaměstnavatelé často zveřejňují fotky a videa zaměstnanců na webu, sociálních sítích i v jiných propagačních materiálech. Bez souhlasu zaměstnanců tím obvykle poruší GDPR a pravidla pro zachycení a šíření podobizny v občanském zákoníku.  

Jak se chybě vyhnout?

Sdělte zaměstnancům důvod fotografování nebo natáčení (např. pro propagaci společnosti), jak budete fotky a videa šířit, kdo k nim bude mít přístup a jaká mají práva. Poté získejte jejich dobrovolný souhlas se zachycením a šířením podobizny a se zpracováním osobních údajů například pro účely propagace vaší společnosti.

Zaměstnanec vám může souhlas udělit i ústně. Bezpečnější je předložit zaměstnanci k podpisu písemný informovaný souhlas s tím, že si každý jedno jeho vyhotovení ponecháte. Pokud máte komplexní informace o zpracování osobních údajů zaměstnanců v samostatném dokumentu, stačí na ně v souhlasu odkázat.

Souhlasy sbírejte nejdéle na dobu trvání pracovněprávního vztahu. Poté fotky a videa se zaměstnancem zveřejňujte jedině, pokud se na tom s ním domluvíte.

Do udělení souhlasu nesmíte zaměstnance nutit a zaměstnanec může jednou udělený souhlas kdykoliv odvolat. Po skončení doby, na kterou vám zaměstnanec souhlas dal nebo i dříve po odvolání souhlasu, již nemůžete jeho fotky a videa dále zveřejňovat. ‍

3. Shromažďování nepotřebných osobních údajů

Někteří zaměstnavatelé shromažďují nepotřebné informace o svých zaměstnancích. Častým pochybením je bezdůvodné uchovávání kopií dokladů, jako jsou občanské průkazy, pasy nebo rodné listy.

Zaměstnavatel přitom nesmí kopie dokladů uchovávat, pokud jejich použití nemůže založit na žádném z právních důvodů vymezených v článku 6 GDPR.

Jak se chybě vyhnout?

Vyjasněte si, jaké konkrétní údaje potřebujete od zaměstnanců k jednotlivým účelům získat a získejte jen tyto potřebné údaje. Pokud zjistíte, že uchováváte nadbytečné údaje, vymažte je.

Namísto uchovávání kopie celého dokladu si potřebné údaje od zaměstnance vyžádejte a v případě pochybností do dokladu zaměstnance pouze nahlédněte. ‍

4. Nedostatečné informování zaměstnanců

Zaměstnavatelé často zaměstnance neinformují o zpracování jejich osobních údajů nebo se snaží svou povinnost splnit krátkým odstavcem v pracovní smlouvě, který nesplňuje požadavky GDPR.

Jak se chybě vyhnout?

Vypracujte dokument, který obsahuje všechny potřebné informace o zpracování osobních údajů zaměstnanců. V dokumentu zaměstnance informujte o typech osobních údajů, které zpracováváte, účelu a právním základu zpracování, době uchování údajů, osobách, které k nim mají přístup, a právech zaměstnanců včetně způsobu jejich uplatnění.

Dokument zaměstnancům poskytněte ideálně před podpisem pracovní smlouvy, DPP nebo DPČ a poskytnutí si evidujte. Důkaz o informování získáte například tím, že zaměstnance necháte podepsat potvrzení o přečtení informačního dokumentu. Nebo můžete zaměstnanci zaslat dokument e-mailem prostřednictvím odkazu na interní složku a zaznamenat, že zaměstnanec na odkaz kliknul.

Zaměstnanci by měli mít k informačnímu dokumentu neustálý přístup. Uložte ho například do interního úložiště a o každé jeho aktualizaci zaměstnance informujte, např. e-mailem. Tyto e-maily si ponechejte jako důkaz.

5. Nedostatečné zabezpečení osobních údajů

Zabezpečení údajů zaměstnanců je často podceňováno. Dokumenty s citlivými informacemi se volně povalují na stolech a v policích, důležité elektronické složky nejsou chráněny heslem a přístup k nim má kdokoliv. Zaměstnanci si nemění hesla, používají zařízení s neaktuálním antivirovým programem nebo klikají na phishingové e-maily, aniž by si uvědomovali možné následky.

Jak se chybě vyhnout?

Zaveďte a dodržujte aspoň následující bezpečnostní opatření: ‍‍

• ‍Pravidelná školení: Proškolte zaměstnance o bezpečné práci s osobními údaji a možných bezpečnostních hrozbách. ‍
• Bezpečné ukládání dokumentů: Zajistěte, že tištěné materiály s osobními údaji jsou uložené v zamčených skříňkách, ke kterým má přístup jen pověřený zaměstnanec. Zaveďte pravidlo „čistého stolu“ bez odložených dokumentů a papírků s hesly a dalšími osobním údaji. ‍
• Zabezpečení prostor: Mějte kontrolu nad tím, kdo má do vašich prostor přístup. Řešením může být recepce, na které se ohlásí návštěvy, čipové karty k otevírání prostor nebo kamerový systém u vstupů do prostor. Pozor na to, že kamerami nesmíte monitorovat zaměstnance při práci. Více se dozvíte v našem článku o kamerách na pracovišti. ‍
• Zabezpečení sítě a systémů: Zabezpečte svou síť a informační systémy pomocí firewall i antivirových programů a kontrolujte, zda vám k nim nevypršely licence. ‍
• Zabezpečení přístupů: Zpřístupněte systémy a soubory s osobními údaji jen pověřeným zaměstnancům. Zaměstnanci by k přístupům měli používat silná hesla a měli by si je pravidelně měnit. ‍
• Řešení bezpečnostních incidentů: Nastavte si pravidla pro řešení bezpečnostních incidentů a pověřte řešením konkrétní zaměstnance. Všechny soubory s osobními údaji si pravidelně zálohujte pro případ jejich ztráty nebo poškození. Pravidelně ověřujte, jestli jsou zavedená opatření stále dostačující a případně je aktualizujte. ‍

6. Chybějící smlouvy se zpracovateli osobních údajů

Zaměstnavatelé běžně využívají služeb externích spolupracovníků, marketingových agentur, dodavatelů software a poskytovatelů jiných služeb, kterým zpřístupňují osobní údaje. Mnohdy s nimi ale zapomínají uzavřít zpracovatelskou smlouvu, přestože tyto subjekty vystupují jako zpracovatelé osobních údajů.

Jak se chybě vyhnout?

Ověřte si, kterým subjektům zpřístupňujete osobní údaje a jestli jsou v postavení správce nebo zpracovatele. Pokud určujete účel zpracování vy, jde o zpracovatele, což je typické pro dodavatele software či marketingové agentury. U těchto subjektů ověřte, zda máte uzavřenou zpracovatelskou smlouvu. Hledejte v podepsaných smlouvách i obchodních podmínkách odsouhlasených online. Pokud zpracovatelská smlouva chybí nebo nesplňuje požadavky GDPR, uzavřete ji co nejdříve. ‍

Potřebujete pomoci?

Dodržování pravidel pro zpracování osobních údajů zaměstnanců je klíčové pro ochranu vaší společnosti i zaměstnanců. Pokud si nejste jisti, zda vše děláte správně nebo potřebujete poradit s přípravou dokumentů, jsme tu pro vás. Neváhejte nás kontaktovat na emailu kancelar@kroupalide.cz.  

KDE HLEDAT VÍCE INFORMACÍ?

• § 84 a následující zákona č. 89/2012 Sb., občanský zákoník
• § 316 zákona č. 262/2006 Sb., zákoník práce
• nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)