Nepřístupný dokument, nutné přihlášení
Input:

Souhlas zaměstnance se zpracováním osobních údajů z pohledu GDPR

16.3.2018, , Zdroj: Verlag Dashöfer

2018.06.01
Souhlas zaměstnance se zpracováním osobních údajů z pohledu GDPR

Mgr. Jan Vácha

.

1. ÚVODEM

V pracovněprávních vztazích musí zaměstnavatelé chránit nejen osobní údaje svých zaměstnanců, ale také uchazečů o zaměstnání nebo svých bývalých zaměstnanců. V některých případech zaměstnavatel potřebuje souhlas se zpracováním osobních údajů zaměstnance nebo uchazeče o zaměstnání a v některých nikoliv. Stejně jako nyní bude i podle Obecného nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR”) možné zpracovávat údaje pouze na základě oprávněných titulů. V GDPR je tedy udělení souhlasu subjektu údajů se zpracováním pro jeden či více konkrétních účelů pouze jednou ze šesti právních podmínek zákonnosti zpracování (jeho právním základem) a nařízení výslovně upravuje podmínky jeho získání. Ve srovnání se současným stavem v České republice přináší obecné nařízení formální změnu v tom, že souhlas je rovnocenný s pěti dalšími právními tituly, zatímco dnes je souhlas alespoň dle textu zákona právním titulem základním a všechny ostatní jsou formálně zakotveny jako výjimky, na něž se zpravidla hledí tak, že mají být vykládány co nejúžeji.

Správce vyhoví požadavkům zásady zákonnosti, pokud v odpovídajícím rozsahu splní alespoň jednu z podmínek danou čl. 6 odst. 1 GDPR:

  • získá souhlas subjektu údajů se zpracováním jeho osobních údajů pro jeden či více konkrétních účelů;

  • zpracování je nutné pro jednání o smlouvě nebo plnění smlouvy uzavřené se subjektem údajů;

  • zpracování je nezbytné pro splnění právní povinnosti správce (například pro účely mzdové evidence);

  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů či jiné fyzické osoby;

  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;

  • zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany s výjimkou případů, kdy mají přednost zájmy nebo základní práva a svobody subjektu údajů, které vyžadují ochranu osobních údajů (například provozování kamerového systému se záznamem za účelem ochrany majetku zaměstnavatele).

S GDPR se tento systém právních základů nemění. V rámci tohoto systému by však měl každý správce nejprve pečlivě posoudit, zda může zpracovávat osobní údaje na základě jiného právního základu, a na souhlas spoléhat pouze v případě, že to možné není. Uvažování by tedy mělo být přesně opačné, než jaké je v mnoha případech dnes, přičemž velké množství zpracování (typicky zpracování týkající se samotné podstaty podnikání správce) bude možné činit na základě nezbytnosti pro uzavření či plnění smlouvy. Další zpracování, které je nutné provádět např. v roli zaměstnavatele, bude možné provádět částečně na stejném základě, částečně na základě nezbytnosti pro plnění právních povinností. Velká množina zpracování bude v neposlední řadě prováděna na základě oprávněného zájmu - do této skupiny lze zařadit např. provozování kamerových systémů.

Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. První informací tedy musí být účel, pro který mají být údaje zpracovávány. Samozřejmě je možné osobní údaje zpracovávat i pro více účelů a pak musí být poskytnuta informace o všech účelech zpracování. Dalším nezbytnou informací je rozsah osobních údajů určených ke zpracovávání. Dále pak musí být sdělena identita správce, a to natolik přesně, aby nebyl zaměnitelný s jinou osobou, lhostejno, zda fyzickou, nebo právnickou. Poslední součástí povinné informace je stanovení období, na jak dlouho bude souhlas primárně poskytnut.

Je zcela jednoznačnou povinností, stanovenou správcům osobních údajů, prokázat souhlas se zpracováním, a to po celou dobu, po kterou jsou osobní údaje zpracovávány.

Souhlas se zpracováním osobních údajů nemusí být podle současné právní úpravy písemný, nicméně je nepochybné, že zajištění prokazatelnosti po celou dobu zpracování nejlépe zajistí písemná podoba. Souhlas však také může být konkludentní, např. předání dokumentu, který osobní údaje obsahuje.

Nová definice souhlasu se zpracováním osobních údajů je uvedena v článku 4 odst. 11 GDPR. Podle tohoto ustanovení se souhlasem subjektu údajů rozumí jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

GDRP tedy jednoznačně uvádí, že takový souhlas musí být konkrétní a jednoznačný. To potvrzuje i recitál 32, který říká, že souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, učiněného i elektronicky, nebo ústního prohlášení.

Aby byl souhlas konkrétní, musí být udělen vždy pro konkrétní účel, který je dostatečně specifický na to, aby z něj subjekt údajů získal nějakou představu o tom, jak bude s jeho osobními údaji nakládáno. V případě, že bude účel vymezen příliš vágně, je pravděpodobné, že souhlas nebude dostatečně konkrétní.

Případů, kdy je možné považovat souhlas za nesvobodný, je více. Jedním z nich je situace, kdy je předpoklad svobodně uděleného souhlasu menší, tj. kdy je souhlas udělený subjektem ve slabším postavení - typicky zaměstnancem zaměstnavateli. Obecným klíčem pro rozpoznání toho, kdy je a kdy není udělený souhlas svobodný, je skutečnost, zda hrozí subjektu údajů za neudělení souhlasu nějaká újma.

Informovaný je souhlas tehdy, pokud subjekt údajů obdržel před jeho udělením veškeré informace podle čl. 13 GDPR. Tyto údaje musí být navíc v souladu s čl. 12 GDPR sděleny transparentně, srozumitelně a za použití jasných a jednoduchých jazykových prostředků. Rovněž samotná písemná žádost o poskytnutí souhlasu má stanoveny formální náležitosti, kdy podle čl. 7 odst. 2 GDPR musí být taková žádost jasně odlišitelná od jiných skutečností, musí být srozumitelná a snadno přístupná opět za použití jasných a jednoduchých jazykových prostředků. Odchylka od těchto formálních náležitostí bude mít za následek nezávaznost té části prohlášení o souhlasu, která trpí vadami.

GDPR stanoví, že osobním údajem je jakákoliv informace o identifikované nebo identifikovatelné fyzické osobě. V první řadě tedy není osobním údajem pouze samotný identifikátor jako rodné číslo nebo jméno a příjmení, ale veškeré informace o dané osobě, které jsou s tímto identifikátorem spojeny (např. kompletní záznam v personálním systému, který se vztahuje ke konkrétnímu zaměstnanci).

I v případě, kdy ze záznamu odstraníme všechny přímé identifikátory jako rodné číslo nebo jméno a příjmení, nemusí konkrétní záznam přestat obsahovat osobní údaje, pokud lze příslušná data přiřadit ke konkrétní fyzické osobě nepřímo. Pokud tedy např. zmíněný záznam v personálním systému obsahuje informace o věku, dosaženém vzdělání a kvalifikaci, které v rámci dané organizace odpovídají pouze jedné osobě, pak celý záznam (vč. případné výše mzdy daného zaměstnance apod.) stále představuje osobní údaje, i když jsou přímé identifikátory odstraněny.

GDPR požaduje, aby - pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností - byla žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků.

Podle článku 7 odst. 3 GDPR má subjekt údajů právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.

Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny. Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen.

2. ROZSAH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Zaměstnavatelé by vždy měli zpracovávat osobní údaj pro jasně vymezené účely, které jsou proporcionální a nutné, a to pouze v nezbytném rozsahu, zajišťovat proporcionalitu zpracování a dostatečně informovat své zaměstnance o zpracování jejich údajů. Dále by svým zaměstnancům měli umožnit uplatňovat jejich práva, jako je právo na přístup či na výmaz, uchovávat údaje pouze po nezbytnou dobu, zajistit jejich aktuálnost a v neposlední řadě zajistit bezpečnost uchovávaných údajů (viz v dalších bodech).

Začátkem června tohoto roku vydala WP29 [Pracovní skupina podle čl. 29 (Article 29 Working Party, WP29), sdružující zástupce národních dozorových úřadů v oblasti ochrany osobních údajů ze všech členských zemí EU] nové Stanovisko č. 2/2017, zabývající se problematikou zpracování osobních údajů v souvislosti se zaměstnáním. Hlavním důvodem pro vydání stanoviska byl vývoj nových technologií, které umožňují systematičtější zpracování osobních údajů a mnohdy také představují rizika pro ochranu osobních údajů a soukromí. Nepřináší však zásadní revoluci v této oblasti. Obecně lze říct, že koriguje a upravuje vyvážení oprávněných zájmů zaměstnavatelů s cílem chránit své podnikání a přiměřeného očekávání ochrany soukromí ze strany zaměstnanců.

V tomto novém stanovisku WP29 zdůrazňuje nutnost brát při zpracování osobních údajů ohledy na základní zásady zpracování osobních údajů. Přednostně však uvádí tři principy, a to konkrétně nutnost zpracování osobních údajů pouze na základě platného právního základu, transparentnost zpracování, tedy povinnost efektivně informovat zaměstnance o monitoringu či prováděném zpracování jejich údajů, a problematiku automatizovaného rozhodování.

WP29 dále v souladu s předchozím stanoviskem z roku 2001 opakuje, že souhlas zaměstnance se zpracováním jeho osobních údajů zaměstnavatelem nelze až na výjimky považovat za vhodný právní titul pro zpracování údajů. Důvodem je především vzájemné postavení a závislost těchto subjektů, a tedy faktická neodvolatelnost takového souhlasu.

Bez ohledu na právní základ pro zpracování údajů by tedy zaměstnavatelé měli prvně provést test proporcionality a zavést nástroje k zajištění minimalizace zásahu do osobních údajů a soukromí.

Zvláštní kategorií osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.

Jejich výčet je téměř totožný s výčtem citlivých údajů v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, až na údaj o odsouzení za trestný čin, který již nebude považován za zvláštní kategorii osobních údajů, ale podmínky pro zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů mají zvláštní režim v článku 10 GDPR.

Zvláštní kategorie osobních údajů lze mimo jiné zpracovávat, pokud subjekt údajů udělil výslovný souhlas nebo pokud je zpracování nezbytné pro plnění povinností v oblasti pracovního práva, práva sociálního zabezpečení a sociální ochrany.

Velmi často bude zmocnění pro zpracování zvláštní kategorie osobních údajů obsaženo v příslušném právním předpise, kterým se správce musí řídit, či bude vyplývat z oprávněné činnosti správce.