epravo.cz

Přihlášení


Registrace nového uživatele
Zapomenuté heslo
Přihlášení
  • ČLÁNKY
  • ZÁKONY
  • SOUDNÍ ROZHODNUTÍ
  • AKTUÁLNĚ
  • UKRAJINA
  • E-shop
  • Advokátní rejstřík
  • občanské právo
  • obchodní právo
  • insolvenční právo
  • finanční právo
  • správní právo
  • pracovní právo
  • trestní právo
  • evropské právo
  • veřejné zakázky
  • ostatní právní obory
20. 10. 2017
ID: 106526upozornění pro uživatele

GDPR a některé povinnosti zaměstnavatelů

Nová právní úprava nakládání s osobními údaji stanovená GDPR[1] sice začne být účinná až ode dne 25. května 2018, již nyní je však potřeba se na nové požadavky připravit. Zpracování osobních údajů se netýká pouze „velkých společností“, které shromažďují údaje od svých klientů a zákazníků, ale dotkne se prakticky všech podnikatelů, kteří mají zaměstnance.

Šetina_logo

V současné době je nakládání s osobními údaji na úrovni EU upraveno Směrnicí Evropského parlamentu a Rady 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Implementace této směrnice byla v České republice provedena zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“). Zaměříme-li se výlučně na ochranu osobních údajů v rámci pracovněprávního vztahu, tedy povinností zaměstnavatele vůči jeho zaměstnancům, právní úpravu nalezneme rovněž v pracovněprávních předpisech (např. v zákoně č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů).

GDPR vstoupilo v platnost 24. května 2016, použije se však až ode dne 25. května 2018. GDPR nahradí současnou právní úpravu ochrany osobních údajů v podobě Směrnice 95/46/ES. Jelikož má GDPR formu nařízení, právní úprava bude přímo použitelná ve všech státech EU. Členské státy EU nebudou GDPR implementovat do národního právního řádu tak, jako tomu bylo u Směrnice 95/46/ES.

GDPR dává členským státům právo stanovit národním právním předpisem nebo kolektivními smlouvami konkrétnější pravidla k zajištění ochrany práv a svobod ve vztahu ke zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním.[2]

Cílem tohoto článku je vymezit některé povinnosti zaměstnavatelů v souvislosti se zpracováním osobních údajů. Upozorňuji, že v současné době je výklad některých ustanovení GDPR nejasný a je potřeba vyčkat na novelizaci zákona o ochraně osobních údajů a sledovat výkladová stanoviska Úřadu pro ochranu osobních údajů.

Základní povinnosti zaměstnavatele

Úvodem je potřeba zdůraznit základní zásady zpracování osobních údajů stanovené GDPR. Osobní údaje musí být: a) ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem; b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány; d) přesné a v případě potřeby aktualizované; e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; a f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením (čl. 5 GDPR).

Základní povinností zaměstnavatele je získat v určitých případech souhlas se zpracováním osobních údajů. Souhlas není nutný v případě, že zpracování osobních údajů je nezbytné pro splnění právních povinností zaměstnavatele nebo pro splnění pracovněprávní smlouvy (čl. 6 odst. 1 písm. b) a c) GDPR). Jako příklad lze uvést situaci, kdy pro správný výpočet mzdy zaměstnance musí zaměstnavatel vědět vzdělání zaměstnance a jeho předchozí praxi. Ke zpracovávání osobního údaje tohoto typu nepotřebuje zaměstnavatel souhlas zaměstnance. Souhlas je naopak nutný v případě, kdy bude zaměstnavatel chtít zpracovávat jiný osobní údaj, než který je nezbytný pro splnění právních povinností zaměstnavatele nebo pro splnění pracovněprávní smlouvy, příp. chce osobní údaj využít k jinému účelu (čl. 6 odst. 1 písm. a), odst. 4 GDPR). Taková situace může nastat například v případě pořizování fotografií obličeje zaměstnance při vzniku pracovněprávního poměru, kdy fotografie zaměstnanců zaměstnavatel zpracovává ve svém vnitropodnikovém systému a používá je např. na firemních identifikačních kartách.

GDPR stanovuje, že souhlas musí být svobodný, určitý, informovaný a jednoznačný. Žádost o vyjádření souhlasu musí být srozumitelná, a pokud je souhlas součástí jiného dokumentu (např. pracovní smlouvy), musí být zřetelně oddělen. GDPR dává zaměstnavateli, jako správci osobních údajů, povinnost být schopen vždy udělení souhlasu doložit a zaměstnanci dává možnost souhlas kdykoli odvolat (čl. 4 odst. 11, čl. 7 GDPR).

GDPR zakazuje zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Jedná se o tzv.
Reklama
Změna poměrů a vynucené změny smluv v praxi (online - živé vysílání) - 27.5.2022
Změna poměrů a vynucené změny smluv v praxi (online - živé vysílání) - 27.5.2022
27.5.2022 09:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

citlivé údaje[3] (čl. 9 odst. 1 GDPR). Zpracování některých citlivých údajů je zaměstnavateli povoleno, pokud je zpracování nezbytné pro účely plnění povinností v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany či pro posouzení pracovní schopnosti zaměstnance (čl. 9 odst. 2 písm. b) a h) GDPR).

Zaměstnavatel je povinen poskytnout zaměstnanci v okamžiku získání osobních údajů informace o totožnosti zaměstnavatele, včetně jeho kontaktních údajů, účelu zpracování, pro který jsou osobní údaje určeny, a právním základu pro zpracování, oprávněných zájmů zaměstnavatele, případných příjemců osobních údajů a případném úmyslu zaměstnavatele předat osobní údaje do třetí země nebo mezinárodní organizace. Dalšími informacemi, které musí zaměstnavatel zaměstnanci sdělit (jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování), jsou doba, po kterou budou osobní údaje zpracovávány, existence práva požadovat od zaměstnavatele přístup k osobním údajům, jejich opravu nebo výmaz, popřípadě omezení zpracování, a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů, pokud je zpracování založeno na souhlasu zaměstnance se zpracováním osobních údajů. Dále informace o existenci práva odvolat kdykoli souhlas, existenci práva podat stížnost u Úřadu pro ochranu osobních údajů a skutečnosti, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má zaměstnanec povinnost osobní údaje poskytnout. V neposlední řadě pak informace ohledně možných důsledků neposkytnutí těchto údajů. Výše uvedené neplatí v případě, že zaměstnanec již uvedené informace má, a do té míry, v níž je má (např. povinnost zaměstnavatele zpracovávat určité osobní údaje je stanovená zvláštním právním předpisem), (čl. 13 GDPR).

Neméně významnou povinností zaměstnavatele je povinnost umožnit zaměstnanci přístup k osobním údajům, včetně povinnosti vydat potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, poskytnout přístup k těmto osobním údajům a informacím stanoveným GDPR a vydat kopii zpracovávaných osobních údajů (čl. 15 GDPR). Opravit nepřesné osobní údaje nebo doplnit neúplné osobní údaje zaměstnance je zaměstnavatel povinen bez zbytečného odkladu poté, co se o skutečnostech dozví (čl. 16 GDPR).

Novinkou, kterou přineslo GDPR, je povinnost zaměstnavatele vymazat ve stanovených případech osobní údaje o zaměstnanci. Jedná se o situaci, kdy osobní údaje již nejsou potřebné pro účely, pro které byly zpracovány, zaměstnanec odvolá souhlas ke zpracování a neexistuje žádný další právní důvod pro zpracování, zaměstnanec vznese námitky proti zpracování podle GDPR nebo případ, kdy osobní údaje byly zpracovány protiprávně. Uvedené neplatí v případě, kdy zaměstnavatel zpracovává osobní údaje z důvodu plnění právních povinností stanovených zvláštním zákonem (zejm. pracovněprávními předpisy), (čl. 17 GDPR).

Povinnosti zamětnavatele související se zabezpečením osobních údajů

Zaměstnavatel je povinen chránit osobní údaje zaměstnanců za využití vhodných technických a organizačních opatření, aby byla zajištěna úroveň zabezpečení odpovídající danému riziku (čl. 32 GDPR). V současně době není zcela zřejmé, co je možné považovat za vhodná technická a organizační opatření, která by zajistila úroveň zabezpečení odpovídající danému riziku. Do doby, než bude tento pojem objasněn, je vhodné se inspirovat např. ISO normami upravující zabezpečení informací.

Další významnou povinností je povinnost ohlašovat Úřadu pro ochranu osobních údajů případy porušení zabezpečení osobních údajů zaměstnanců. Lhůtu GDPR stanovuje „bez zbytečného odkladu, pokud možno do 72 hodin“ (čl. 33 GDPR). Výjimku tvoří situace, kdy je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob. Dle názoru autorky článku bude riziko v případě zpracovávání osobních údajů zaměstnanců vždy existovat!

Je-li pravděpodobné, že porušení zabezpečení osobních údajů zaměstnance bude mít za následek vysoké riziko pro práva a svobody zaměstnance, zaměstnavateli je uložena povinnost informovat zaměstnance o případech porušení zabezpečení jeho osobních údajů. GDPR opět stanovuje výjimky, např. situace, kdy zaměstnavatel zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování (čl. 34 GDPR).

GRPR stanovuje některé další povinnosti pro zaměstnavatele, které by se však neměly vztahovat na „běžné zaměstnavatele“. Jedná se o povinnost zaměstnavatele jmenovat pověřence pro ochranu osobních údajů. Tato povinnost se týká orgánů veřejné moci, veřejných subjektů (s výjimkou soudů), správců osobních údajů, jejichž hlavní činností je rozsáhlé pravidelné a systematické monitorování subjektů údajů, a správců, kteří rozsáhle zpracovávají zvláštní kategorii údajů (čl. 37 GDPR).

Na závěr je třeba poznamenat, že se nejedná o úplný výčet povinností zaměstnavatele ve vztahu ke svým zaměstnancům v oblasti zpracování osobních údajů. Všem zaměstnavatelům doporučuji obrátit se na odborníka zabývající se uvedenou problematikou a již nyní přizpůsobit zpracovávání osobních údajů nové právní úpravě.

Františová
Mgr. Bc. Petra Františová,
advokátka

Šetina, Komendová & Partners s.r.o., advokátní kancelář

Purkyňova 649/127
612 00 Brno

Tel.:    +420 724 380 478
e-mail: petra.frantisova@akskp.cz
 
_________________________________________________________
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů); z anglického označení „General Data Protection Regulation“
[2] „zejména za účelem náboru, plnění pracovní smlouvy včetně plnění povinností stanovených zákonem nebo kolektivními smlouvami, řízení, plánování a organizace práce, za účelem zajištění rovnosti a rozmanitosti na pracovišti, zdraví a bezpečnosti na pracovišti, ochrany majetku zaměstnavatele nebo majetku zákazníka, dále za účelem individuálního a kolektivního výkonu a požívání práv a výhod spojených se zaměstnáním a za účelem ukončení zaměstnaneckého poměru.“ - čl. 88 GRPR
[3] GDPR nazývá citlivé údaje jako „zvláštní kategorie osobních údajů“


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


Mgr. Bc. Petra Františová (Šetina, Komendová & Partners)
20. 10. 2017
pošli emailem
vytiskni článek
  • Tweet

Další články:

  • Změna v odměňování zaměstnance: přechod na hodinovou sazbu
  • Jak značný musí být hrubý nepoměr vzájemných plnění, aby mohlo jít o neúměrné zkrácení, zakládající nárok zkrácené strany na dorovnání plnění nebo zrušení smlouvy?
  • Jak probíhá získání licence od ČNB? Poznatky z praxe
  • Distanční smlouvy a smlouvy uzavřené mimo obchodní prostory s operátory – 1. díl
  • Přislíbené jednání ve smlouvě o smlouvě budoucí není vymahatelné, pokud nebylo převzato do hlavní realizační smlouvy
  • Novinky v právní úpravě krytých dluhopisů
  • Zákon o elektronizaci zdravotnictví
  • Zisk z výlučného majetku a jeho vliv na rozsah SJM
  • Odškodňování zaopatřeného dítěte zemřelého zaměstnance v právní úpravě platné do 31. 12. 2020
  • Podmínka dostatečných finančních prostředků pro získání pobytového oprávnění cizincem v České republice z pohledu teorie a praxe
  • Uzavírání občanských sňatků cizinci na území České republiky

Související produkty

Online kurzy

  • Spolky pohledem daňového práva
  • Darování pro případ smrti alternativou vydědění?
  • Určitost předmětu podnikání ve společenské smlouvě
  • Aktuální judikatura vysokých soudů
  • Aktuální judikatura ve věcech náhrady škody
Lektoři kurzů
Mgr. Stanislav Servus,  LL.M.
Mgr. Stanislav Servus, LL.M.
Kurzy lektora
JUDr. et Mgr.  Pavla  Voříšková, Ph.D.
JUDr. et Mgr. Pavla Voříšková, Ph.D.
Kurzy lektora
doc. JUDr. Filip Melzer, LL.M., Ph.D.
doc. JUDr. Filip Melzer, LL.M., Ph.D.
Kurzy lektora
Mgr. František Korbel, Ph.D.
Mgr. František Korbel, Ph.D.
Kurzy lektora
JUDr. Milan Hulmák, Ph.D.
JUDr. Milan Hulmák, Ph.D.
Kurzy lektora
JUDr. Kristýna Faltýnková
JUDr. Kristýna Faltýnková
Kurzy lektora
JUDr. Katarina Maisnerová ml.
JUDr. Katarina Maisnerová ml.
Kurzy lektora
JUDr. Petr Bezouška, Ph.D.
JUDr. Petr Bezouška, Ph.D.
Kurzy lektora
doc. JUDr. Petr Tégl, Ph.D.
doc. JUDr. Petr Tégl, Ph.D.
Kurzy lektora
JUDr. Daniela Kovářová
JUDr. Daniela Kovářová
Kurzy lektora
všichni lektoři

Nejčtenější na epravo.cz

  • 24 hod
  • 7 dní
  • 30 dní
  • Změna v odměňování zaměstnance: přechod na hodinovou sazbu
  • Jak značný musí být hrubý nepoměr vzájemných plnění, aby mohlo jít o neúměrné zkrácení, zakládající nárok zkrácené strany na dorovnání plnění nebo zrušení smlouvy?
  • Požadavek na počet členů realizačního týmu v zadávacím řízení – některé aspekty přiměřenosti pohledem rozhodovací praxe
  • Advokátní kancelář je potřeba řídit predikovatelně a automatizovaně
  • Právo na soudní ochranu
  • Bezdůvodné obohacení (exkluzivně pro předplatitele)
  • Distanční smlouvy a smlouvy uzavřené mimo obchodní prostory s operátory – 1. díl
  • Pohledávky z trestných činů – recenze
  • Zisk z výlučného majetku a jeho vliv na rozsah SJM
  • Přislíbené jednání ve smlouvě o smlouvě budoucí není vymahatelné, pokud nebylo převzato do hlavní realizační smlouvy
  • Obtěžování zápachem a pronikání karcinogenních látek z tabákových výrobků do bytu
  • Advokátní kancelář je potřeba řídit predikovatelně a automatizovaně
  • Novela zákona o evidenci skutečných majitelů
  • Výběr z judikatury nejen k zákoníku práce z r. 2021 - část 11.
  • Elektronická (r)evoluce v pracovním právu?
  • Zákon o elektronizaci zdravotnictví
  • Nejvyšší soud: započtení není splněním dluhu
  • Elektronická (r)evoluce v pracovním právu?
  • Je zaměstnanec povinen nahradit zákazníkovi zaměstnavatele škodu, kterou mu způsobil při výkonu práce pro zaměstnavatele?
  • Obtěžování zápachem a pronikání karcinogenních látek z tabákových výrobků do bytu
  • Dva časté omyly ohledně minimální mzdy
  • Novela zákona o evidenci skutečných majitelů
  • Kauza Sberbank a započtení pohledávek
  • Kdy musí být půlhodina poskytnutá zaměstnanci na jídlo a oddech zaměstnavatelem proplacena?

Pracovní pozice

Soudní rozhodnutí

Bezdůvodné obohacení (exkluzivně pro předplatitele)

Obecným předpokladem bezdůvodného obohacení je získání majetkového prospěchu jedním subjektem (obohaceným), které může spočívat buď v rozmnožení majetku obohaceného (např....

Legitimní očekávání účastníků řízení (exkluzivně pro předplatitele)

Rozhodne-li civilní soud o předběžné otázce jinak (opačně), než jak to dříve ve výroku pravomocného rozsudku učinil soud správní, porušuje svým rozhodnutím závisejícím na...

Osvobození od placení zbytku dluhů (exkluzivně pro předplatitele)

Osvobození podle § 414 a § 415 ins. zák. se ve smyslu § 416 odst. 1 ins. zák. nevztahuje na jednání dlužníka, jehož následkem došlo ke smrti poškozeného, jestliže toto jednání bylo...

Právo na soudní ochranu

Porušením práva na soudní ochranu podle čl. 36 odst. 1 Listiny základních práv a svobod není, rozhoduje-li obecný soud jako v řízení o vypuzení z držby podle § 1007 občanského...

Procesní opatrovník právnické osoby (exkluzivně pro předplatitele)

Stanovení procesního opatrovníka právnické osoby přichází podle výslovné dikce zákona (§ 29 odst. 2 o. s. ř.) v úvahu ve dvou typových případech, ve kterých je právnická osoba...

Hledání v rejstřících

  • mapa serveru
  • o nás
  • reklama
  • podmínky provozu
  • kontakty
  • publikační podmínky
  • FAQ
  • obchodní a reklamační podmínky
  • Ochrana osobních údajů - GDPR
  • Nastavení cookies
AIVD 100 nej
© EPRAVO.CZ, a.s. 1999-2022, ISSN 1213-189X      developed by Actimmy
Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.

Jste zde poprvé?

Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.


Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního video tréningu od jednoho z nejznámějších českých advokátů a rozhodců JUDr. Martina Maisnera, Ph.D., MCIArb, a to "Taktika vyjednávání o smlouvách".


Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



Nezapomněli jste něco v košíku?

Vypadá to, že jste si něco zapoměli v košíku. Dokončete prosím objednávku ještě před odchodem.


Přejít do košíku


Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.