GDPR a zaměstnanci – stanovisko WP 29 č. 2/2017 o zpracovávání údajů v práci

Napsal Mgr. Pavel Malatinský ze společnosti SEDLAKOVAL LEGAL s.r.o. dne 01.02.2018

Dne 8. 6. 2017 přijala pracovní skupina č. 29, působící jakožto nezávislý orgán při Evropské komisi, zabývající se ochranou dat a soukromí, stanovisko č. 2/2017, týkající se problematiky zpracovávání a uchovávání osobních údajů v rámci pracovněprávních vztahů, tedy zejména ve vztahu zaměstnavatel – zaměstnanec.

Je zřejmé, že v dnešní moderní a technologicky vyspělé doby vznikají stále nové a sofistikovanější způsoby sledování pohybu osob, jejich vzájemné komunikace nebo také zpracovávání jejich osobních údajů. Tato problematika je však mnohem palčivější, pokud jde právě o vztah dvou osob při výkonu závislé práce. Tento vztah se typicky vyznačuje nerovnoměrným rozložením sil, nejen ekonomickou závislostí jednoho subjektu na druhém nebo také objektivní nesvobodou ve vlastním rozhodování slabší strany. Právě tato kritéria vzala pracovní skupina do úvahy při tvorbě citovaného stanoviska, neboť došla k závěru, že některé obecné závěry, týkající se ochrany poskytované Směrnicí o ochraně osobních údajů a Obecným nařízením o ochraně osobních údajů (dále jen „GDPR“), je třeba poupravit a zpřísnit. Ačkoliv stanovisko reflektuje úpravu Směrnice, jeho hlavním cílem je zhodnotit soulad postupů zaměstnavatelů právě s GDPR.

Pokud jde o samotné Obecné nařízení, pro účely tohoto článku je třeba říci, že je postavené na principu tzv. licence ke zpracování osobních údajů, což znamená, že zpracovatel může shromažďovat a využívat osobních údaje subjektů pouze za předpokladu, že byl naplněn jeden z důvodů oprávněnosti takového zpracování. Základními licenčními důvody jsou v zásadě tyto:

  1. pokud jde o zpracování údajů, vyplývající z uzavřené smlouvy mezi oběma stranami,
  2. pokud jde o zpracování údajů, vyplývající z povinnosti stanovené zákonem
  3. pokud na straně zpracovatele při zpracování osobních údajů existuje oprávněný zájem na takovém zpracování,
  4. a konečně pokud subjekt údajů udělil se zpracováním svůj souhlas.

Zcela záměrně byl licenční důvod, která je v praxi nejužívanější, zmíněn jako poslední. Jakkoliv lze při naplnění smyslu GDPR uvažovat o tom, že souhlas postačí jako licenční důvod v ostatních případech, tak pokud jde o pracovněprávní vztahy, nelze tento souhlas z níže uvedených důvodu považovat za legitimní.

Dle doslovného znění ust. čl. 4 odst. 11 GDPR se souhlasem subjektu údajů rozumí takový souhlas, kterým je „svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů“. Na základě výše uvedeného lze poté souhlasit se závěrem pracovní skupiny, dle něhož souhlas zaměstnance se zpracováním svých osobních údajů nemůže obstát, a to už jen proto, že zaměstnanec mnohdy nemá možnost svobodně odmítnout takový souhlas odepřít, neboť by za to mohl být pracovně či jinak postihnut. Z toho důvodu se stanovisko zaměřuje na ostatní jmenované licenční důvody a využívá případových studií, aby poukázalo na závěry o možnosti aplikace těchto jednotlivých důvodů.

Je totiž zjevné, že zaměstnavatel je při své činnosti, a to zejména zákonem, v mnoha případech nucen zpracovávat o svých zaměstnancích velké množství osobních údajů, týkajících se kupříkladu mzdové agendy, sociálních a zdravotních odvodů a neposlední řadě také řízení a organizace práce. Dnešní moderní doba však zaměstnavatelům dává také dřív nemyslitelné možnosti, jak sledovat svého zaměstnance v reálném čase přímo při práci prostřednictvím nainstalovaných kamer, či sledovat pohyb jeho služebního vozu nebo polohu poskytnutého mobilního telefonu. Tento zásah do soukromí zaměstnance bude ze strany zaměstnavatele vždy nutné obhájit tzv. oprávněným zájmem na takovém zásahu. Takovým oprávněným zájmem může dle stanoviska být například zájem na ochraně majetku zaměstnavatele či ochrana samotných zaměstnanců.

Samotnou kategorií, kterou v další části při svých případových studiích stanovisko využívá, je dnes velmi rozšířené sdílení osobních údajů skrze sociální sítě. Je dnes běžnou praxí, že zaměstnanci HR oddělení při náborových akcích sledují a hodnotí potenciální zaměstnance při zohlednění jejich profilů na sociálních sítích. Jakkoliv je tuto činnost možno nazvat legitimní při užití sítě LinkedIn, která je platformou, dá se říci, pro tyto účely vytvořenou, nelze již přiznat legitimitu postupu, kdy zaměstnavatel skrze své personální oddělení hodnotí soukromé profily svých zaměstnanců na jiných sociálních sítích, kde mnohdy sdílejí své osobní pocity, názory či přesvědčení. Za zcela nepřípustné poté stanovisko považuje postup zaměstnavatele, který v zájmu dosažení dalších informací požádá potenciálního zaměstnance o tzv. přátelství na síti Facebook.

Další velké nebezpečí pracovní skupina spatřuje v již dříve zmíněném technologickém vývoji, kdy je zaměstnance při výkonu své práce sledován přímo na pracovišti, přičemž v úvahu připadají např. sledování prohlížených internetových stránek, e-mailové komunikace či tzv. instant messagingu. Jako příklad stanovisko uvádí nasazení inspekčního zařízení TLS do sítě zaměstnavatele za účelem dešifrování a kontroly bezpečného provozu této sítě a následného opětovného zašifrování. V tomto případě bude zaměstnavatel spoléhat na to, že mu svědčí již dříve zmíněný oprávněný zájem na takové kontrole, a to nejen za účelem ochrany dat a obchodního tajemství společnosti, ale v neposlední řadě na ochraně dat svých zaměstnanců, v podnikové síti bezpochyby zanesené. Toto zařízení však ze své povahy automaticky sleduje veškerou aktivitu zaměstnanců a jako taková je tato kontrola považována za nepřiměřený zásah do práva zaměstnance na utajení komunikace. Stanovisko uzavírá, že by zaměstnavatel měl vždy před nasazením takto ultimativního nástroje zhodnotit, zda není možné užít nástrojů méně invazivních, kupříkladu poskytnutí samostatných internetových připojení pro osobní účely svých zaměstnanců.

Jako další, avšak ne poslední, případovou studii stanovisko uvádí hojně využívané instalování sledovacích zařízení do služebních vozů zaměstnanců. Je totiž nepochybné, že v drtivé většině případů bude zaměstnanec vozidlo užívat i pro své soukromé účely. Ačkoliv je tedy možno přiznat oprávněný zájem zaměstnavatele na kontrole pohybu zaměstnance v pracovní době, měl by mít zaměstnanec možnost toto sledování po dobu svého osobního volna vyřadit z provozu. Z výkladové praxe pracovní skupiny a dozorových orgánů vůbec totiž vyplývá, že osobní údaj o poloze osoby se řadí mezi údaje citlivější a snáze zneužitelný, než některé ostatní.

Závěry pracovní skupiny k problematice ochrany osobních údajů v pracovněprávních vztazích se tedy dají shrnout následovně.

  1. Shromažďování osobních údajů o zaměstnancích je možné, pokud je prováděno pro oprávněné účely přiměřeným, zákonným a transparentním způsobem, přičemž pro toto zpracování existuje právní důvod.
  2. Skutečnost, že zaměstnavatel disponuje technologickými prostředky, které mu umožňují sledovat veškerou činnost zaměstnance, nevylučuje právo zaměstnance na ochranu jeho soukromí, soukromou komunikaci či jinou korespondenci.
  3. Souhlas zaměstnance nelze v nerovnoměrně uspořádaném pracovněprávním vztahu považovat za svobodný, a proto bude třeba, aby zaměstnavatel v případě, kdy zpracovává osobní údaje nikoliv na základě zákona, disponoval jiným licenčním důvodem, například oprávněným zájmem.
  4. Oprávněnému zájmu zaměstnavatele při zpracovávání osobních údajů zaměstnanců lze v určitých případech přisvědčit, avšak pouze za předpokladu, že je prováděno transparentně pro legitimní účel a při šetření zásady proporcionality a subsidiarity tak, aby byla zachována práva zaměstnanců.
  5. Pracovní skupina navrhuje zapojení reprezentativního vzorku zaměstnanců do tvorby interních předpisů a postupů, které zahrnují právě kontrolu a zpracování jejich osobních údajů, neboť právě tito zaměstnanci mohou být vodítkem k tomu, kde jsou hranice oprávněného zájmu.

Problematika vztahů zaměstnanosti z pohledu GDPR je poměrně složitá a bude teprve na rozhodovací praxi příslušných orgánů, aby některé, v předmětném stanovisku zmiňované, závěry buďto potvrdila či vyvrátila. Jasné však je, že trendem moderního právního státu je ochrana slabších stran závazkových vztahů, mezi které se zaměstnanci dozajista řadí.

Za SEDLAKOVAL LEGAL s.r.o., Mgr. Pavel Malatinský