Souhlas se zpracováním osobních údajů u zaměstnanců

Cílem tohoto článku je objasnit, za jakých okolností zaměstnavatelé mohou souhlas se zpracováním osobních údajů vyžadovat a kdy naopak nesmí.

Protože se GDPR ve své obecnosti zpracování osobních údajů zaměstnanců příliš nevěnuje, je potřeba vycházet z materiálů Evropského sboru pro ochranu osobních údajů (dříve Pracovní skupina WP29).

Ve stanovisku 2/2017 pracovní skupiny WP 29 ke zpracování osobních údajů na pracovišti se uvádí: “Zaměstnanci nejsou téměř nikdy v postavení, aby mohli dát souhlas svobodně nebo ho odmítnout či odvolat, což je dáno závislostí vyplývající ze vztahu zaměstnavatel/zaměstnanec. Vzhledem k nerovnováze sil mohou zaměstnanci udělit svobodný souhlas jen za výjimečných okolností, kdy souhlas nebo odmítnutí nevyvolá žádné následky.” [1]

Tento výklad nepovažuji za příliš šťastný, protože pro všechna zpracování prováděná zaměstnavatelem není vždy možné využít ostatní právní tituly pro zpracování a za některých okolností může být souhlas nezbytný.

Zaměstnavatel bude osobní údaje zaměstnance v praxi zpracovávat zejména pro účely plnění smlouvy (čl. 6 odst. 1 písm. b) GDPR) a pro plnění právní povinnosti, která se na správce vztahuje (čl. 6 odst. 1 písm. c) GDPR). Pro orientační výčet údajů zpracovávaných pro účely plnění smlouvy a právní povinnosti správce je možné vycházet z vyjádření ÚOOÚ ze dne 13. 12. 2013.[2]

Pokud chce zaměstnavatel zpracovávat i jiné osobní údaje než ty, uvedené v citovaném výčtu, může zpracování opřít o svůj oprávněný zájem (čl. 6 odst. 1 písm. f) GDPR). Při aplikaci oprávněného zájmu je však nutné provést takzvaný „balanční test“, tedy posouzení zda základní práva a svobody a zájmy subjektů údajů (zaměstnanců) nepřeváží nad oprávněným zájmem správce (zaměstnavatele). 

S ohledem na podřízenost zaměstnance vůči zaměstnavateli v rámci výkonu závislé práce se u takto disproporčního vztahu jeví balanční test jako obtížný. Úspěšně aplikovatelný může být například u zpracování kontaktních údajů zaměstnance (telefon, e-mail). Zpracování těchto údajů zaměstnavatelem je v rámci balančního testu nepochybně obhajitelné. Ač jejich zpracování právní předpisy neukládají a není nezbytné pro účely plnění smlouvy (pro tyto účely může zaměstnavatel přidělit zaměstnanci služební e-mail/telefon), je na místě, aby mohl zaměstnavatel kontaktovat v rámci akutní potřeby zaměstnance na jeho soukromých kontaktech. Například v situaci, kdy se zaslání poštovní zásilky na adresu trvalého pobytu nemusí jevit jako ideální. Bude-li tedy zaměstnavatel zpracovávat soukromé kontaktní údaje zaměstnance výlučně pro potřeby akutní komunikace, takové zpracování si v rámci provedení balančního testu nepochybně obhájí.

Zaměstnavatelé běžně využívají fotografie zaměstnanců za účelem zveřejnění na webových stránkách, v podpisu e-mailu a podobně. Takové zpracování však nelze podřadit ani pod plnění zákonné povinnosti, ani pod účely plnění smlouvy. V rámci balančního testu bude však takové zpracování velmi těžko obhajitelné. Zdaleka ne každému zaměstnanci musí vyhovovat zveřejnění jeho podobizny neomezené množině příjemců, například v rámci webové prezentace. A zaměstnavatel bude velmi těžko hledat obhajitelné důvody, proč zveřejnit jednotlivé fotografie svých pracovníků. Tato situace se jeví jako příhodná pro aplikaci souhlasu, kdy zaměstnavatel zveřejnění pouze fotografie těch zaměstnanců, kteří s tím vysloví souhlas.

Obdobná situace může nastat například při zpracování otisku prstu pro účely docházkového systému. Otisk prstu, jakožto biometrický údaj, spadá do zvláštní kategorie osobních údajů (čl. 9 GDPR) a zaměstnavatel jej nemůže zpracovávat bez souhlasu zaměstnance [3]. V případě, že chce zaměstnavatel založit kontrolu docházky/přístupu na zpracování biometrických údajů, musí umožnit i možnost alternativní kontroly identity zaměstnance pro případ, že někteří zaměstnanci souhlas se zpracováním svého biometrického údaje neudělí.

Jako přiléhavé se jeví využití souhlasu při evidenci uchazečů o zaměstnání. V případě výběru uchazeče na konkrétní pracovní pozici by byl souhlas se zpracováním osobních údajů nadbytečný, protože jejich poskytnutí je nutné pro výběr mezi uchazeči (předsmluvní jednání) a následně pro uzavření smlouvy. Pokud by si však chtěl zaměstnavatel ponechat údaje uchazečů (životopisy atp.) pro účely potenciálního oslovení v budoucnu, měl by k takovému zpracování mít souhlasy jednotlivých subjektů údajů. Zpracování často důvěrných (případně přímo údajů zvláštní kategorie podle čl. 9 GDPR) zaměstnavatelem pro jiné účely než pro konkrétní výběrové řízení, bude v rámci balančního testu těžko obhajitelné. V tomto případě se tak souhlas jeví jako nejvhodnější právní titul zpracování.

Zaměstnancem (uchazečem) udělený souhlas musí být samozřejmě svobodný, konkrétní, informovaný a jednoznačný (čl. 4 odst. 11 GDPR). Souhlas je současně vhodné mít zachycen v písemné podobě, aby zaměstnavatel mohl doložit, že tímto souhlasem disponuje (čl. 7 odst. 1 GDPR).

Souhlas by zaměstnavatel naopak neměl vyžadovat v situacích, kdy může zpracování opřít o jiné právní tituly. V praxi se tak často jedná zpracování údajů, které je nutné pro plnění smlouvy nebo které ukládá právní předpis, jako např. souhlas se zpracováním rodného čísla (nutné například pro identifikaci zaměstnance u zdravotní pojišťovny, správy sociálního zabezpečení pod.), archivaci mzdových listů (vyplývá ze zákona č. 582/1991 Sb. o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů), použití fotografie na identifikační kartě (oprávněný zájem správce) apod.

S ohledem na výše uvedené je možné konstatovat, že obecný souhlas zaměstnance se zpracováním osobních údajů zaměstnavatelem je nadbytečný. Zaměstnavatel by mohl naopak porušit informační povinnost tím, že bude vyžadovat souhlas pro ty účely, pro které není nutný. Zaměstnavatel si musí vždy obezřetně vyhodnotit, které osobní údaje potřebuje pro účely plnění smlouvy a pro plnění povinností, které mu ukládají právní předpisy. Pokud potřebuje zpracovávat i jiné osobní údaje nebo dotčené údaje pro jiné účely, měl by, podle mého názoru, v první řadě provést balanční test z hlediska aplikace oprávněného zájmu. Neprojde-li požadovaný účel (nebo požadované údaje) balančním testem, je možné vyžadovat od zaměstnance souhlas. Samozřejmě za těch podmínek, že zaměstnanec bude informován o dobrovolnosti poskytnutí souhlasu a z okolností bude zřejmé, že jeho neposkytnutí nebude spojeno s žádnými negativními důsledky pro zaměstnance. Při posuzování rozsahu osobních údajů zpracovávaných zaměstnavatelem pak nelze pominout ještě zásadu minimalizace (čl. 5 odst. 1 písm. c) GDPR) – zpracovávat jen ty osobní údaje, které zaměstnavatel nezbytně potřebuje a vyloučit možnost zpracování údajů nadbytečných.

[1] K dispozici >>> zde. 

[2] K dispozici >>> zde.

[3] K problematice blíže viz stanovisko ÚOOÚ 3/2009 k dispozici >>> zde. 

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz