1/ OCHRANA OSOBNÍCH ÚDAJŮ PODLE NAŘÍZENÍ EU 2016/679 (GDPR)
Dne 25. května 2018 nabývá účinnosti (dle „mluvy“ EU je „použitelné“) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen Nařízení EU nebo Nařízení 2016/679). Toto obecné nařízení představuje aktualizovaný právní rámec ochrany osobních údajů v evropském prostoru, který bude od 25. května 2018 přímo stanovovat pravidla pro zpracování osobních údajů, včetně práv subjektu údajů (fyzické osoby). V českém právním prostředí tak obecné nařízení od 25. května 2018 nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů, který v současné době stanovuje povinnosti a práva při zpracování osobních údajů. Připravovaný nový „český“ zákon o ochraně osobních údajů (zatím schválen pouze vládou…) bude řešit pouze to, co jednotlivým členským státům EU umožňuje samostatně upravit Nařízení 2016/679 (doufáme jen, že čeští zákonodárci nebudou opět „papežštější než papež…“). Poznámka: pro Nařízení 2016/679 se používá zkratka GDPR z anglického „General Data Protection Regulation“, což v češtině představuje – „všeobecný předpis pro ochranu dat“.
Vzhledem k tomu, že naše poradenství spočívá v poradenství pro oblast odměňování zaměstnanců a pro oblast personální práce, najdete v příloze k tomuto číslu „vzor“ vnitřního předpisu pro ochranu osobních údajů právě pro oblast personální práce a odměňování zaměstnanců.
Používání většiny osobních údajů pro tuto oblast vyplývá ze zákonů, které řeší sociální, zdravotní a daňové záležitosti zaměstnanců a používání a uvádění těchto osobních údajů je dokonce uloženo přímo těmito zákony (zákon 187/2006 Sb. o NP, zákon 155/1995 Sb. o DP, zákon 592/1992 Sb. o pojistném na VZP, zákon 589/1992 Sb. o pojistném na SZ apod.). Souhrn všech osobních údajů, které se zpracovávají a používají na základě těchto zákonů, je uveden v článku I. „vzoru vnitřního předpisu“. Doby uchování a zpracování těchto údajů jsou uvedeny v článku IV. a většinou vyplývají ze zákonné doby pro jejich archivaci.
V článku II. „vzoru“ jsou uvedeny další osobní údaje (výčet není úplný, a pokud používáte ještě další osobní údaje nad rámec zákonného použití, je třeba je do článku II. doplnit), k jejichž zpracování je ale již vyžadován souhlas subjektu zpracování údajů. Pokud subjekt údajů (zaměstnanec) neudělí např. souhlas se zpracováním údaje o sexuální orientaci (což je citlivý údaj a bez souhlasu subjektu jej nelze použít), nemůže mu zaměstnavatel uplatnit slevu na registrovaného partnera nebo daňové zvýhodnění na dítě druhého z partnerů… Tento zaměstnanec by to mohl řešit podáním daňového přiznání, kde by si slevu a daňové zvýhodnění uplatnil, aniž by musel zaměstnavateli sdělit svou sexuální orientaci.
V článku III. je řešeno zabezpečení osobních údajů při jejich zpracování a ukládání. Základem je vždy fyzické zabezpečení prostor a výpočetní techniky, resp. papírových výstupů, omezení počtu osob, které mají k osobním údajům přístup a zabezpečení souborů s osobními údaji, které budou sdíleny elektronicky.
V článku V. je řešena osoba pověřence pro ochranu osobních údajů. Tato funkce není v některých firmách povinná, ale vzhledem k tomu, že někteří „šťouraví zaměstnanci“ budou vyžadovat informace o důvodu zpracování jejich osobních údajů i při tzv. „zákonném zpracování“, bylo by vhodné si pro tyto účely pověřence určit. V případě, že by subjekt údajů nebyl spokojen s vyjádřením pověřence, může se kdykoliv obrátit na příslušný Úřad pro ochranu osobních údajů (viz článek VI. vzoru). Doporučení:pověřenec by měl být ve vztahu k mzdové a personální agendě nezávislý, tzn., že pověřencem by neměl být jmenován např. personalista nebo mzdová účetní.
V článku VI. se řeší záznamy o činnostech zpracování. Podle našeho názoru je zbytečné sepisovat každý měsíc záznam o zpracování osobních údajů pro účely zpracování mezd. Toto vyplývá přímo z příslušných zákonů (nemocenské pojištění, důchodové pojištění, zdravotní pojištění apod.) a údaje o zpracování jsou uvedeny buď na mzdovém listu zaměstnance nebo na výstupech pro OSSZ, zdravotní pojišťovny apod.
Pokud jsou zpracovávány osobní údaje podle článku II. tohoto vnitřního předpisu, je třeba záznamy o činnostech zpracování vést v rozsahu, v jakém jsou uvedeny ve vzoru vnitřního předpisu.
S vnitřním předpisem zaměstnavatele pro ochranu osobních údajů by měli být seznámeni všichni zaměstnanci před 25. 5. 2018 a v případě nástupu nového zaměstnance nejpozději v den nástupu do zaměstnání. Jelikož se v současné době jedná o velice sledovanou záležitost, doporučujeme, aby zaměstnanec podepsal, že byl s předpisem seznámen dne toho a toho…
Ve vzoru vnitřního předpisu pro ochranu osobních údajů není řešena varianta, kdy si zaměstnavatel např. na zpracování mezd, personalistiky nebo obojího najímá tzv. zpracovatele, tedy subjekt, který mu bude mzdovou nebo personální agendu zpracovávat dodavatelsky. Pro tento účel by měl zaměstnavatel sepsat se zpracovatelem buď samostatnou smlouvu o zpracování osobních údajů nebo začlenit ustanovení o zpracování osobních údajů přímo do smlouvy o poskytování služeb. Podle Nařízení EU by měla zpracovatelská smlouva obsahovat tyto náležitosti:
předmět a doba trvání zpracování
povaha zpracování
způsob a ochrana předávaných údajů
účel zpracování
druh osobních údajů předávaných zpracovateli
povinnosti a práva správce a zpracovatele.
V rámci zpracovatelské smlouvy by se měla dodržovat ochrana osobních údajů o svých zaměstnancích jako v případě, že si správce údajů provádí zpracování vlastními zaměstnanci.
Závěr: berte tento náš dnešní výklad jako první příspěvek k problematice GDPR. Podle našeho názoru se mělo GDPR uplatnit hlavně u organizací, které získávají osobní údaje v rámci různých slevových a nabídkových akcí a poté je využívají k zasílání různých „pofiderních“ nabídek, prodávají je jiným podobným institucím apod. To, že je Nařízení EU vztaženo i na zaměstnavatele, kteří musí osobní údaje zpracovávat pouze pro splnění právní povinnosti (článek 6 odst. 1 písm. c) Nařízení EU), je neštěstím nejen pro Českou republiku, ale pro celou Evropskou unii. Pokud se objeví v budoucnu některé nové „smysluplné“ informace k problematice GDPR, budeme Vás včas informovat…
