Osobní údaje a personalistika, GDPR & HR
Personální a mzdová agenda představuje z pohledu GDPR jednu z klíčových oblastí každé společnosti. Ve vztahu k osobním údajům je zaměstnavatel správcem údajů a zaměstnanec subjektem údajů.
Evropská pracovní skupina WP29 vydala Stanovisko ke zpracování osobních údajů na pracovišti. Stanovisko řeší oblast GDPR a personalistiky, rovnováhu mezi oprávněnými zájmy zaměstnavatelů a důvodným očekáváním zaměstnanců ohledně jejich soukromí, přičemž nastiňuje rizika, která nové technologie přináší a nabízí posouzení proporcionality u řady scénářů.
V oblasti personalistiky a HR je nutné uvést do souladu s požadavky GDPR procesy týkající se zejména následujících činností:
- Nábor a přijímání zaměstnanců
- Smluvní vztahy se zaměstnanci
- Procesy v průběhu trvání pracovněprávního vztahu
- Ukončení pracovněprávního vztahu
U těchto činností je nutné provést analýzu osobních údajů, které se shromažďují, přiřadit jim účel zpracování a pak právní důvody pro zpracování. Následně je třeba uvést do souladu s GDPR také existující vnitřní směrnice společnosti (např. spisový a skartační řád). Dále je třeba vyhotovit směrnici o ochraně osobních údajů, která mimo jiné jasně definuje zodpovědnosti, a nastavit proces proškolení všech zaměstnanců podle této směrnice. V neposlední řadě je nutné provést revizi stávající smluvní dokumentace zaměstnanců a udělených souhlasů se zpracováním osobních údajů.
V souvislostí s platností GDPR zaměstnavatelům vznikají některé nové povinnosti. V první řadě se jedná o vyhotovování záznamů o činnostech zpracování osobních údajů, což je povinnost, která je stanovena podnikům s více než 250 zaměstnanci, nebo i menším, pokud zpracovávají citlivé osobní údaje. Další povinností je hlášení případů porušení zabezpečení údajů dozorovému úřadu a oznamování obzvláště závažného porušení zabezpečení údajů všem dotčeným subjektům. Dále zaměstnavatel musí být připraven plnit práva zaměstnanců na:
- Informace o zpracování jejich osobních údajů
- Přístup k údajům u kteréhokoli správce (včetně zaměstnavatele)
- Zákaz automatizovaného rozhodování založeného na profilování zaměstnanců
Přijímání nových zaměstnanců
Při výběru nových zaměstnanců jsou zpracovávány údaje uchazečů o zaměstnání jako jsou např. životopisy nebo další dokumenty. Výběr fyzických osob ucházejících se o zaměstnání je z hlediska kvalifikace, nezbytných požadavků nebo zvláštních schopností plně v působnosti zaměstnavatele, nestanoví-li zvláštní právní předpis jinak. Zaměstnavatel ale nesmí z důvodu diskriminace při výběru zaměstnanců vyžadovat informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace (není-li to vyžadování v souladu se zvláštním právním předpisem) – tedy osobní údaje zvláštní kategorie. Diskriminační jednání tohoto druhu, může být předmětem kontroly UOOU.
Zaměstnavatel smí od uchazečů vyžadovat v souvislosti s jednáním před vznikem pracovního poměru pouze údaje, které bezprostředně souvisí s uzavřením pracovní smlouvy a na požádání je povinen prokázat potřebnost požadovaného osobního údaje. Při shromažďování osobních údajů je zaměstnavatel povinen kandidáta informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude údaje zpracovávat a komu mohou být zpřístupněny. Kromě informační povinnosti vůči uchazečům musí zaměstnavatel také vést záznamy o činnostech zpracování a přijmout přiměřená opatření k zabezpečení osobních údajů proti zneužití. Pokud si chce zaměstnavatel vytvořit vlastní databázi neúspěšných uchazečů a jejich životopisů, např. pro potřebu dalších výběrových řízení, může tak učinit pouze na základě souhlasu těchto uchazečů. V případě, že zaměstnavatele při výběru nových zaměstnanců zastupuje jiná osoba v roli zpracovatele osobních údajů, běžně se jedná o agentury práce, má správce údajů v souladu s GDPR povinnost doplnit smlouvu o oblast zpracování osobních údajů.
Uzavření pracovní smlouvy
Obsah pracovní smlouvy a její uzavření je upraveno zákoníkem práce. Z hlediska GDPR je vhodné uvést, že pracovní smlouva by neměla obsahovat souhlas zaměstnance se zpracováním osobních údajů. Důvodem je to, že dle nařízení GDPR souhlas musí být svobodný, tedy nemůže být podmínkou uzavření smlouvy a jeho nadbytečné vyžadování by mohlo být považováno vůči zaměstnanci za klamavé.
Výkon práce
Osobní spis zaměstnance by měl obsahovat pouze osobní údaje nutné k plnění pracovní smlouvy, údaje zpracovávané na základě zákonných požadavků nebo údaje, k jejichž zpracování udělil zaměstnanec souhlas se zpracováním osobních údajů. U každého údaje v osobním spisu musí být zřejmý účel, právní titul pro zpracování a doba, po jakou smí být uchován.
V průběhu pracovního poměru dochází ke zpracování osobních údajů zejména pro tyto účely:
- Plnění uzavřené pracovní smlouvy
- Plnění zaměstnavateli zákonem stanovených povinností (evidence mezd, sociálního zabezpečení, evidence pracovních úrazů apod.)
- Provozní agenda zaměstnavatele (systém benefitů, docházka, monitorování apod.)
Třetí uvedená oblast je velmi široká a obsahuje celou škálu účelů zpracování osobních údajů.
V první řadě může jít o systémy benefitů. V tomto případě bude zpracování osobních údajů probíhat na základě souhlasu se zpracováním. Zaměstnavatel musí být připraven na možnost, že zaměstnanec svůj souhlas odvolá.
Osobní údaje zaměstnanců mohou být použity také jako PR materiály, například fotografie na intranetu nebo internetu. I v této situaci je potřeba mít souhlas zaměstnanců se zpracováním osobních údajů.
Velmi zásadní oblastí je evidence vstupů zaměstnanců do jednotlivých prostor organizace, fotografie a další údaje na průkazech zaměstnanců, apod. V každém konkrétním případě je třeba posoudit, nakolik je silný oprávněný zájem zaměstnavatele tyto údaje zpracovávat, porovnat jej s právem zaměstnance na ochranu osobních údajů a vyhodnotit, zda je možné údaje zpracovávat na základě oprávněného zájmu zaměstnavatele, nebo zda je pro jejich zpracování nutný souhlas subjektu údajů, tedy zaměstnance. V případě biometrických údajů je zapotřebí si od dotčených zaměstnanců vyžádat souhlas s použitím a zpracováním jejich biometrických údajů.
Další oblastí je monitoring zaměstnanců. V rámci výkonu práce mají zaměstnanci právo na soukromí a ochranu osobních údajů a naopak zaměstnavatel má právo na ochranu svých majetkových zájmů. Za tímto účelem může zaměstnavatel kontrolovat výkon, efektivitu a bezpečnost práce, ale nesmí narušovat soukromí zaměstnanců permanentním monitoringem např. otevřeným nebo skrytým sledováním, odposlechem, záznamem telefonních hovorů, kontrolou elektronické pošty nebo listovních zásilek adresovaných zaměstnanci. Výjimkou je pouze závažný důvod spočívající ve zvláštní povaze činnosti zaměstnavatele. V souladu se zákoníkem práce i GDPR je příležitostné časově omezené monitorování zaměstnanců, kteří by o něm měli být informováni minimálně v rámci obecné politiky zaměstnavatele. Pokud jde o použití kamerových systémů na pracovišti, je nutné mít na zřeteli výše uvedené zásady týkající se monitoringu zaměstnanců. Dále je třeba vzít v úvahu princip přiměřenosti – shromažďování a zpracování osobních údajů musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány. Konkrétně v případě snímání kamerou se může jednat například o míru rozlišení, která bude odpovídat účelu monitorování.
Ukončení pracovního poměru
Po ukončení pracovně právního vztahu zaměstnavatel nemůže dále uchovávat osobní složku v celém rozsahu – uchovává pouze ty dokumenty, u kterých k tomu má důvod.
Některé dokumenty, jako například mzdové a evidenční listy archivuje ze zákona a po dobu zákonem stanovenou – konkrétní dokumenty a jejich archivační lhůta viz dále. Dále zaměstnavatel může archivovat dokumenty na základě svého oprávněného zájmu pro účely případné obhajoby ve sporu s bývalým zaměstnancem. S ohledem na tříletou promlčecí lhůtu se obvykle doporučuje uchování pracovněprávních dokumentů za tímto účelem po dobu až 4 let.
Interní směrnice – spisový a skartační řád
Do souladu s GDPR musí být uvedeny také vnitřní směrnice společnosti, které stanoví nejen archivační a skartační lhůty, ale pro jednotlivé typy dokumentů obsahujících osobní údaje také účel a zákonný důvod pro zpracování a v neposlední řadě také místo a způsob archivace, odpovědné osoby a způsob zabezpečení archivovaných dat a to ať jsou v elektronické či listinné podobě. V oblasti personální agendy se jedná nejčastěji o tyto dokumenty:
- Podklady uchazečů o zaměstnání za účelem výběru zaměstnanců – uchování do doby uzavření pracovní smlouvy
- Podklady uchazečů o zaměstnání za účelem vytvoření databáze potenciálních kandidátů – archivace na základě souhlasu po přiměřeně dlouhou dobu
- Osobní údaje potřebné k plnění závazků pracovněprávního vztahu – uchování po dobu trvání pracovně právního vztahu
- Osobní údaje zpracovávané pro další účely na základě souhlasu se zpracováním – uchování po dobu přiměřenou účelu zpracování, která je stanovena v souhlasu
- Fotografie zaměstnanců nezbytně nutné k identifikaci zaměstnance zpracovávané na základě oprávněného zájmu zaměstnavatele – uchování po dobu trvání pracovně právního vztahu
- Fotografie zaměstnanců zpracovávané na základě souhlasu zaměstnanců – uchování po dobu stanovenou v souhlasu
- Výstupní dotazník obsahující osobní údaje, které jsou zpracovány na základě souhlasu –uchování po dobu přiměřenou účelu zpracování, která je stanovena v souhlasu
- Pracovně právní dokumenty pro případný právní spor po skončení pracovněprávního vztahu uchovávané v oprávněném zájmu zaměstnavatele po dobu maximálně 4 let po ukončení pracovně právního vztahu.
Dokumenty, jejichž archivační lhůty stanoví zákon:
- Stejnopisy evidenčních listů důchodového pojištění – po dobu 3 let následujících po roce, kterého se týkají (Zákon č. 582/1991 Sb.)
- Záznamy o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti – po dobu 6 let následujících po měsíci, kterého se záznam týká (Zákon č. 582/1991 Sb.)
- Záznamy o údajích potřebných pro účely důchodového pojištění– 10 let po roce, kterého se týkají (Zákon č. 582/1991 Sb.)
- Mzdové listy nebo účetní záznamy o údajích potřebných pro účely důchodového pojištění – 30 let po roce, kterého se týkají (Zákon č. 582/1991 Sb.)
- doklady daňové – prohlášení k dani, žádost o roční zúčtování, vyúčtování – 10 let následujících po roce, kterého se týkají
- písemnosti týkající se prováděných srážek ze mzdy – po dobu 30 let následujících po roce, kterého se týkají
- Vnitřní předpis, kterým zaměstnavatel stanovuje práva z pracovněprávních vztahů výhodněji – po dobu 10 let od skončení platnosti (Zákon č. 262/2006 Sb.)