epravo.cz

Přihlášení


Registrace nového uživatele
Zapomenuté heslo
Přihlášení
  • ČLÁNKY
  • ZÁKONY
  • SOUDNÍ ROZHODNUTÍ
  • AKTUÁLNĚ
  • COVID-19
  • E-shop
  • Advokátní rejstřík
  • občanské právo
  • obchodní právo
  • insolvenční právo
  • finanční právo
  • správní právo
  • pracovní právo
  • trestní právo
  • evropské právo
  • veřejné zakázky
  • ostatní právní obory
Konference: Rodina v právu a bezpráví
20. 10. 2017
ID: 106526upozornění pro uživatele

GDPR a některé povinnosti zaměstnavatelů

Nová právní úprava nakládání s osobními údaji stanovená GDPR[1] sice začne být účinná až ode dne 25. května 2018, již nyní je však potřeba se na nové požadavky připravit. Zpracování osobních údajů se netýká pouze „velkých společností“, které shromažďují údaje od svých klientů a zákazníků, ale dotkne se prakticky všech podnikatelů, kteří mají zaměstnance.

Šetina_logo

V současné době je nakládání s osobními údaji na úrovni EU upraveno Směrnicí Evropského parlamentu a Rady 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Implementace této směrnice byla v České republice provedena zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“). Zaměříme-li se výlučně na ochranu osobních údajů v rámci pracovněprávního vztahu, tedy povinností zaměstnavatele vůči jeho zaměstnancům, právní úpravu nalezneme rovněž v pracovněprávních předpisech (např. v zákoně č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů).

GDPR vstoupilo v platnost 24. května 2016, použije se však až ode dne 25. května 2018. GDPR nahradí současnou právní úpravu ochrany osobních údajů v podobě Směrnice 95/46/ES. Jelikož má GDPR formu nařízení, právní úprava bude přímo použitelná ve všech státech EU. Členské státy EU nebudou GDPR implementovat do národního právního řádu tak, jako tomu bylo u Směrnice 95/46/ES.

GDPR dává členským státům právo stanovit národním právním předpisem nebo kolektivními smlouvami konkrétnější pravidla k zajištění ochrany práv a svobod ve vztahu ke zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním.[2]

Cílem tohoto článku je vymezit některé povinnosti zaměstnavatelů v souvislosti se zpracováním osobních údajů. Upozorňuji, že v současné době je výklad některých ustanovení GDPR nejasný a je potřeba vyčkat na novelizaci zákona o ochraně osobních údajů a sledovat výkladová stanoviska Úřadu pro ochranu osobních údajů.

Základní povinnosti zaměstnavatele

Úvodem je potřeba zdůraznit základní zásady zpracování osobních údajů stanovené GDPR. Osobní údaje musí být: a) ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem; b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány; d) přesné a v případě potřeby aktualizované; e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; a f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením (čl. 5 GDPR).

Základní povinností zaměstnavatele je získat v určitých případech souhlas se zpracováním osobních údajů. Souhlas není nutný v případě, že zpracování osobních údajů je nezbytné pro splnění právních povinností zaměstnavatele nebo pro splnění pracovněprávní smlouvy (čl. 6 odst. 1 písm. b) a c) GDPR). Jako příklad lze uvést situaci, kdy pro správný výpočet mzdy zaměstnance musí zaměstnavatel vědět vzdělání zaměstnance a jeho předchozí praxi. Ke zpracovávání osobního údaje tohoto typu nepotřebuje zaměstnavatel souhlas zaměstnance. Souhlas je naopak nutný v případě, kdy bude zaměstnavatel chtít zpracovávat jiný osobní údaj, než který je nezbytný pro splnění právních povinností zaměstnavatele nebo pro splnění pracovněprávní smlouvy, příp. chce osobní údaj využít k jinému účelu (čl. 6 odst. 1 písm. a), odst. 4 GDPR). Taková situace může nastat například v případě pořizování fotografií obličeje zaměstnance při vzniku pracovněprávního poměru, kdy fotografie zaměstnanců zaměstnavatel zpracovává ve svém vnitropodnikovém systému a používá je např. na firemních identifikačních kartách.

GDPR stanovuje, že souhlas musí být svobodný, určitý, informovaný a jednoznačný. Žádost o vyjádření souhlasu musí být srozumitelná, a pokud je souhlas součástí jiného dokumentu (např. pracovní smlouvy), musí být zřetelně oddělen. GDPR dává zaměstnavateli, jako správci osobních údajů, povinnost být schopen vždy udělení souhlasu doložit a zaměstnanci dává možnost souhlas kdykoli odvolat (čl. 4 odst. 11, čl. 7 GDPR).

GDPR zakazuje zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Jedná se o tzv. citlivé údaje[3] (čl. 9 odst. 1 GDPR). Zpracování některých citlivých údajů je zaměstnavateli povoleno, pokud je zpracování nezbytné pro účely plnění povinností v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany či pro posouzení pracovní schopnosti zaměstnance (čl. 9 odst. 2 písm. b) a h) GDPR).

Zaměstnavatel je povinen poskytnout zaměstnanci v okamžiku získání osobních údajů informace o totožnosti zaměstnavatele, včetně jeho kontaktních údajů, účelu zpracování, pro který jsou osobní údaje určeny, a právním základu pro zpracování, oprávněných zájmů zaměstnavatele, případných příjemců osobních údajů a případném úmyslu zaměstnavatele předat osobní údaje do třetí země nebo mezinárodní organizace. Dalšími informacemi, které musí zaměstnavatel zaměstnanci sdělit (jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování), jsou doba, po kterou budou osobní údaje zpracovávány, existence práva požadovat od zaměstnavatele přístup k osobním údajům, jejich opravu nebo výmaz, popřípadě omezení zpracování, a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů, pokud je zpracování založeno na souhlasu zaměstnance se zpracováním osobních údajů. Dále informace o existenci práva odvolat kdykoli souhlas, existenci práva podat stížnost u Úřadu pro ochranu osobních údajů a skutečnosti, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má zaměstnanec povinnost osobní údaje poskytnout. V neposlední řadě pak informace ohledně možných důsledků neposkytnutí těchto údajů. Výše uvedené neplatí v případě, že zaměstnanec již uvedené informace má, a do té míry, v níž je má (např. povinnost zaměstnavatele zpracovávat určité osobní údaje je stanovená zvláštním právním předpisem), (čl. 13 GDPR).

Neméně významnou povinností zaměstnavatele je povinnost umožnit zaměstnanci přístup k osobním údajům, včetně povinnosti vydat potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, poskytnout přístup k těmto osobním údajům a informacím stanoveným GDPR a vydat kopii zpracovávaných osobních údajů (čl. 15 GDPR). Opravit nepřesné osobní údaje nebo doplnit neúplné osobní údaje zaměstnance je zaměstnavatel povinen bez zbytečného odkladu poté, co se o skutečnostech dozví (čl. 16 GDPR).

Novinkou, kterou přineslo GDPR, je povinnost zaměstnavatele vymazat ve stanovených případech osobní údaje o zaměstnanci. Jedná se o situaci, kdy osobní údaje již nejsou potřebné pro účely, pro které byly zpracovány, zaměstnanec odvolá souhlas ke zpracování a neexistuje žádný další právní důvod pro zpracování, zaměstnanec vznese námitky proti zpracování podle GDPR nebo případ, kdy osobní údaje byly zpracovány protiprávně. Uvedené neplatí v případě, kdy zaměstnavatel zpracovává osobní údaje z důvodu plnění právních povinností stanovených zvláštním zákonem (zejm. pracovněprávními předpisy), (čl. 17 GDPR).

Povinnosti zamětnavatele související se zabezpečením osobních údajů

Zaměstnavatel je povinen chránit osobní údaje zaměstnanců za využití vhodných technických a organizačních opatření, aby byla zajištěna úroveň zabezpečení odpovídající danému riziku (čl. 32 GDPR). V současně době není zcela zřejmé, co je možné považovat za vhodná technická a organizační opatření, která by zajistila úroveň zabezpečení odpovídající danému riziku. Do doby, než bude tento pojem objasněn, je vhodné se inspirovat např. ISO normami upravující zabezpečení informací.

Další významnou povinností je povinnost ohlašovat Úřadu pro ochranu osobních údajů případy porušení zabezpečení osobních údajů zaměstnanců. Lhůtu GDPR stanovuje „bez zbytečného odkladu, pokud možno do 72 hodin“ (čl. 33 GDPR). Výjimku tvoří situace, kdy je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob. Dle názoru autorky článku bude riziko v případě zpracovávání osobních údajů zaměstnanců vždy existovat!

Je-li pravděpodobné, že porušení zabezpečení osobních údajů zaměstnance bude mít za následek vysoké riziko pro práva a svobody zaměstnance, zaměstnavateli je uložena povinnost informovat zaměstnance o případech porušení zabezpečení jeho osobních údajů. GDPR opět stanovuje výjimky, např. situace, kdy zaměstnavatel zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování (čl. 34 GDPR).

GRPR stanovuje některé další povinnosti pro zaměstnavatele, které by se však neměly vztahovat na „běžné zaměstnavatele“. Jedná se o povinnost zaměstnavatele jmenovat pověřence pro ochranu osobních údajů. Tato povinnost se týká orgánů veřejné moci, veřejných subjektů (s výjimkou soudů), správců osobních údajů, jejichž hlavní činností je rozsáhlé pravidelné a systematické monitorování subjektů údajů, a správců, kteří rozsáhle zpracovávají zvláštní kategorii údajů (čl. 37 GDPR).

Na závěr je třeba poznamenat, že se nejedná o úplný výčet povinností zaměstnavatele ve vztahu ke svým zaměstnancům v oblasti zpracování osobních údajů. Všem zaměstnavatelům doporučuji obrátit se na odborníka zabývající se uvedenou problematikou a již nyní přizpůsobit zpracovávání osobních údajů nové právní úpravě.

Františová
Mgr. Bc. Petra Františová,
advokátka

Šetina, Komendová & Partners s.r.o., advokátní kancelář

Purkyňova 649/127
612 00 Brno

Tel.:    +420 724 380 478
e-mail: petra.frantisova@akskp.cz
 
_________________________________________________________
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů); z anglického označení „General Data Protection Regulation“
[2] „zejména za účelem náboru, plnění pracovní smlouvy včetně plnění povinností stanovených zákonem nebo kolektivními smlouvami, řízení, plánování a organizace práce, za účelem zajištění rovnosti a rozmanitosti na pracovišti, zdraví a bezpečnosti na pracovišti, ochrany majetku zaměstnavatele nebo majetku zákazníka, dále za účelem individuálního a kolektivního výkonu a požívání práv a výhod spojených se zaměstnáním a za účelem ukončení zaměstnaneckého poměru.“ - čl. 88 GRPR
[3] GDPR nazývá citlivé údaje jako „zvláštní kategorie osobních údajů“


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


Mgr. Bc. Petra Františová (Šetina, Komendová & Partners)
20. 10. 2017
pošli emailem
vytiskni článek
  • Tweet

Další články:

  • Hlasování per rollam ve společnosti s ručením omezeným
  • Nový zákon o odpadech: Přehled 10 vybraných změn
  • Dětské dluhy a chystaná novelizace OZ a OSŘ
  • Stravenkový paušál (peněžitý příspěvek na stravování) – právní a daňové aspekty
  • Mateřská dovolená: Ukládá zákoník práce pouze povinnost zaměstnavateli zaměstnankyni mateřskou dovolenou poskytnout, nebo také matce povinnost na mateřskou dovolenou nastoupit?
  • Náhrada škody dle krizového zákona a výklad v neprospěch poškozených provedený Ministerstvem vnitra
  • „Nešvary“ rekognice
  • Rozvod bez účasti manželů nikoliv pouze v době pandemie
  • Úhrada vyšetření na přítomnost antigenu viru SARS –CoV-2 v oblasti poskytování sociální péče
  • Zákon o whistleblowingu na dosah?
  • Lhůta k uplatnění práv z vadného plnění se při výměně spotřebního zboží nebo jeho součásti neobnovuje, ale pokračuje lhůta původní

Související produkty

Online kurzy

  • SVĚŘENSKÉ FONDY (zajímavý nástroj ochrany majetku s velkým ALE)
  • Problematika bytového spoluvlastnictví
  • Společenství vlastníků jednotek
  • Zajištění dluhu v Občanském zákoníku se zvláštním přihlédnutím k zástavnímu právu a zajišťovacímu převodu práva III.
  • Zajištění dluhu v Občanském zákoníku se zvláštním přihlédnutím k zástavnímu právu a zajišťovacímu převodu práva II.
Lektoři kurzů
Mgr. Stanislav Servus,  LL.M.
Mgr. Stanislav Servus, LL.M.
Kurzy lektora
JUDr. et Mgr.  Pavla  Voříšková, Ph.D.
JUDr. et Mgr. Pavla Voříšková, Ph.D.
Kurzy lektora
doc. JUDr. Filip Melzer, LL.M., Ph.D.
doc. JUDr. Filip Melzer, LL.M., Ph.D.
Kurzy lektora
Mgr. František Korbel, Ph.D.
Mgr. František Korbel, Ph.D.
Kurzy lektora
JUDr. Milan Hulmák, Ph.D.
JUDr. Milan Hulmák, Ph.D.
Kurzy lektora
JUDr. Kristýna Faltýnková
JUDr. Kristýna Faltýnková
Kurzy lektora
JUDr. Katarina Maisnerová ml.
JUDr. Katarina Maisnerová ml.
Kurzy lektora
JUDr. Petr Bezouška, Ph.D.
JUDr. Petr Bezouška, Ph.D.
Kurzy lektora
doc. JUDr. Petr Tégl, Ph.D.
doc. JUDr. Petr Tégl, Ph.D.
Kurzy lektora
JUDr. Daniela Kovářová
JUDr. Daniela Kovářová
Kurzy lektora
všichni lektoři

Nejčtenější na epravo.cz

  • 24 hod
  • 7 dní
  • 30 dní
  • Na co se zaměřoval úřad pro ochranu osobních údajů při své kontrolní činnosti v roce 2020?
  • Právní ochrana elektronické pošty zaměstnanců
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Stravenkový paušál (peněžitý příspěvek na stravování) – právní a daňové aspekty
  • Dětské dluhy a chystaná novelizace OZ a OSŘ
  • Hlasování per rollam ve společnosti s ručením omezeným
  • Roušky na pracovišti. Jaká jsou rizika?
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Roušky na pracovišti. Jaká jsou rizika?
  • Povinnost nošení roušky v kontextu ústavních práv
  • Telička do Vídně, možnost uzavření kapitoly životní prostředí
  • Právní ochrana elektronické pošty zaměstnanců
  • Sankce za dob koronavirové pandemie – Odpovědnost za přestupky – 1. díl seriálu
  • Stravenkový paušál (peněžitý příspěvek na stravování) – právní a daňové aspekty
  • Nová právní úprava dovolené účinná k 1.1.2021 – dovolená za kalendářní rok (část 1.)
  • Regulace open-source P2P platební sítě Bitcoin
  • Náklady řízení
  • Desatero pro výtěžnější oddlužení
  • Výpověď z pracovního poměru ze strany zaměstnance (část 1.)
  • Stravenkový paušál, co tato novinka znamená pro zaměstnance a co pro zaměstnavatele?
  • Krácení dovolené nově od 1. 1. 2021
  • Senátní výbory se neshodly, v jaké úpravě vrátit mediální zákon

Pracovní pozice

Soudní rozhodnutí

Aktivní věcná legitimace (exkluzivně pro předplatitele)

Pokud by byly zjištěny okolnosti, které by jinak, bylo-li by vedeno odpovídající řízení, vedly k závěru o neplatnosti usnesení valné hromady společnosti o naložení s uvolněným...

Péče řádného hospodáře (exkluzivně pro předplatitele)

Pro aplikaci § 68 odst. 1 z. o. k. je – z časového hlediska – rozhodné, zda za účinnosti tohoto ustanovení došlo k jednání člena (nebo bývalého člena) statutárního orgánu...

Předkupní právo (exkluzivně pro předplatitele)

Na rozdíl od předkupního práva sjednaného smluvně – bez ohledu na to, zda působí jen mezi stranami nebo má věcněprávní účinky – je předkupní právo spoluvlastníků nemovité...

Insolvenční správce

Ustanovení § 32 odst. 1 a 2 insolvenčního zákona, ve znění účinném od 1. ledna 2014, je nutno vykládat tak, že návrh na zproštění insolvenčního správce funkce může podat (jen)...

Pojem „správní činnosti“ (exkluzivně pro předplatitele)

Pod „správní činnosti“ ve smyslu ustanovení § 2 odst. 3 zákona č. 312/2002 Sb., o úřednících územních samosprávných celků a o změně některých zákonů je možno podřadit...

Vyhledávání ASPI

ASPI

Hledání v rejstřících

  • mapa serveru
  • o nás
  • reklama
  • podmínky provozu
  • kontakty
  • publikační podmínky
  • FAQ
  • obchodní a reklamační podmínky
  • Ochrana osobních údajů - GDPR
AIVD APEK 100 nej
© EPRAVO.CZ, a.s. 1999-2021, ISSN 1213-189X      developed by Actimmy
Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.

Jste zde poprvé?

Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.


Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního video tréningu od jednoho z nejznámějších českých advokátů a rozhodců JUDr. Martina Maisnera, Ph.D., MCIArb, a to "Taktika vyjednávání o smlouvách".


Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů