Jak efektivně a legálně kontrolovat zaměstnance při používání firemních IT zařízení
V dnešní digitální éře, kdy je pracovní výkon úzce spjatý s používáním výpočetní techniky, se zaměstnavatelé stále více zabývají otázkou, jak účinně kontrolovat a monitorovat využívání firemních IT zdrojů zaměstnanci. Tento článek nabízí náhled na nejlepší postupy, které zajistí nejen efektivní sledování, ale také dodržení zákonných norem.
Právní rámec kontroly zaměstnanců v zákoníku práce
Základem právní úpravy je zákoník práce, konkrétně jeho § 316, který vymezuje pravidla pro používání výrobních a pracovních prostředků zaměstnavatele, včetně výpočetní techniky. Zaměstnanci mají zakázáno využívat tyto prostředky pro osobní účely bez zaměstnavatelova souhlasu. Tento souhlas může být písemný, ústní, nebo dokonce konkludentní, a může ho tedy založit i dlouhodobé tolerování určité praxe. Důležité ale je, že zaměstnavatel má právo svůj souhlas odvolat a zavést přísnější pravidla.
Zaměstnavatelé mají právo provádět kontrolu dodržování tohoto zákazu. Zjednodušeně se dá říct, že rozlišujeme mezi jednorázovou kontrolou a systematickým monitoringem. Jednorázová kontrola je o něco méně náročná na splnění zákonných požadavků, kdežto systematický monitoring vyžaduje splnění přísnějších podmínek.
Základní zásady monitoringu a kontroly zaměstnanců
- Transparentnost: Klíčem k úspěšnému monitoringu je otevřená komunikace se zaměstnanci. Jako zaměstnavatelé byste měli jasně definovat, jaká kontrolní opatření můžete využít, jak často a za jakým účelem. Doporučuje se tyto otázky zakotvit ve vnitřním předpisu.
- Přiměřenost: Kontrola musí být zaměřena na konkrétní účel, například na dodržování zákazu osobního využívání firemní techniky. Rozsah kontroly by měl být vždy přiměřený danému účelu a neměl by nadměrně zasahovat do soukromí zaměstnanců. Účelem je zde dodržování zákazu používat firemní zařízení pro vlastní potřebu, nikoli např. kontrola výkonnosti zaměstnanců. Z hlediska přiměřenosti jsou lepší nahodilé a výjimečné kontroly v reálném čase nežli systematický monitoring.
- Ochrana osobních údajů: Pokud při kontrole dochází ke zpracování osobních údajů, je nutné dodržovat také pravidla ochrany těchto údajů podle GDPR. Základními principy jsou minimalizace zásahu, omezená doba uchovávání údajů a informační povinnost vůči zaměstnancům.
Přípustné metody kontroly
Jednou z právně nejbezpečnějších metod kontroly, resp. spíš prevence, je zablokování stránek a aplikací, které zaměstnanci pro práci nepotřebují. Tento přístup nezasahuje do soukromí zaměstnanců a je v souladu s právními normami. Zaměstnavatelé mohou využít tzv. black-list, tedy zablokovat zakázané weby a aplikace, nebo naopak white-list, tj. zablokovat všechny weby a aplikace vyjma těch, které výslovně povolí.
Pokud nelze tento přístup efektivně využít, mohou zaměstnavatelé kontrolovat dobu strávenou na internetu. Toto řešení zahrnuje možnost zjistit, kdy a jak dlouho byl zaměstnanec na internetu, aniž by se zjišťovalo, jaké konkrétní stránky navštívil. Tento způsob je z právního hlediska bezpečnější, pokud je používán jen v případě konkrétního podezření na to, že konkrétní zaměstnanec porušuje zákaz používat.
Pokud ani tato opatření nejsou dostatečná, je možné přistoupit ke zjišťování toho, které konkrétní stránky zaměstnanec navštívil. Tato metoda je však více invazivní, a proto nelze se stoprocentní jistotou zaručit, že by u soudu vždy obstála. Advokát se zkušenostmi v této oblasti Vám však dokáže říci, jak tento způsob kontroly nastavit, aby byl právně obhajitelný.
Případ z Německa pro ilustraci
Odvolací pracovní soud (LAG) v Kolíně nad Rýnem[1] rozhodoval o žalobě na neplatnost okamžitého zrušení pracovního poměru jednoho zaměstnance. Tento muž byl zaměstnán jako programátor ve společnosti, která nabízí IT služby v oblasti webdesignu, sociálních médií a online marketingu. Ve smlouvě bylo dohodnuto, že IT infrastruktura zaměstnavatele nesmí být používána pro soukromé účely. Zaměstnanec tento zákaz nerespektoval: v průběhu několika měsíců pravidelně používal firemní notebook k přístupu na internet a e-mail pro soukromé účely. V jeden den se zaměstnanci “podařilo” připojit na 860 adres URL za účelem vyhledání automobilu, který by si mohl zakoupit pro své soukromé účely. Zaměstnavatel zaměstnance propustil a zakázané surfování u soudu prokázalo obsahem mezipaměti prohlížeče. Předložil také soukromé e-maily.
U soudu vyvstala otázka, jestli byl zaměstnavatel oprávněn zmíněné údaje ukládat a analyzovat a použít je jako důkaz u soudu. Zaměstnanec u soudu tvrdil, že se zaměstnavatel dopustil masivního porušení ochrany osobních údajů
Soud však rozhodl ve prospěch zaměstnavatele - mj. se opřel o to, že zaměstnanec podpisem dodatku k pracovní smlouvě výslovně potvrdil zákaz používání firemní infrastruktury pro soukromé účely.[2] Podle soudu tak bylo okamžité zrušení oprávněné a řádně prokázané.
GDPR a ochrana osobních údajů při monitorování
Pokud dochází k monitorování zaměstnanců a zpracování jejich osobních údajů, je nutné dodržovat zásady GDPR. To zahrnuje mj. povinnost informovat zaměstnance o tom, jaké údaje jsou zpracovávány, za jakým účelem, kdo k nim má přístup a jak dlouho budou uchovávány. Zároveň je potřeba zajistit, aby byly tyto údaje bezpečně uloženy.
Zpracování osobních údajů musí být vždy založeno na zákonném podkladu, kterým je v těchto případech obvykle oprávněný zájem zaměstnavatele. Tento zájem musí být vyvážen s právy zaměstnanců na ochranu jejich soukromí.
Dopady nedodržení pravidel
Pokud zaměstnavatelé překročí hranici přiměřenosti nebo nezákonně monitorují své zaměstnance, hrozí jim sankce. Inspekce práce může uložit pokutu až do výše 1 milionu Kč. Porušení GDPR může dokonce přinést pokuty až do 20 milionů EUR, i když v praxi se jedná o nižší částky.
Kromě pokut hrozí, že zaměstnanci budou požadovat náhradu újmy. I když jsou tyto žaloby v ČR stále relativně vzácné, s rostoucí informovaností zaměstnanců se mohou stát častějšími.
Závěr
Efektivní kontrola a monitoring zaměstnanců při používání výpočetní techniky jsou nezbytné pro zajištění produktivity a ochranu firemních zájmů. Není však jednoduché zajistit, aby byly tyto procesy prováděny v souladu se zákonem. Jiné téma, o kterém můžeme pojednat někdy příště, se týká možnosti kontrolovat, jestli zaměstnanci netráví pracovní dobu na vlastních telefonech a jiných zařízeních.
Obecně doporučujeme využívat takové metody kontroly plnění povinností zaměstnanců, které jsou přiměřené (namátkové kontroly namísto plošných) a které zasahují do soukromí zaměstnanců spíš méně než více (kontrola množství e-mailových zpráv a adresy odesílatele namísto kontroly samotného obsahu zprávy).
[1] Rozsudek LAG v Kolíně ze dne 7. února 2020, spisová značka: 4 Sa 329/19.
[2] U nás však v tomto ohledu převažuje spíš úzkostlivý přístup, mj. se argumentuje, že zaměstnanec v podstatě nikdy nemůže poskytnout souhlas svému zaměstnavateli svobodně.
Další články
Právní průšvihy při nasazování AI nástrojů – praktické zkušenosti, kdy se to nepovedlo (1. část)
Implementace nástrojů umělé inteligence už pro právníky není hudbou budoucnosti, ale každodenní realitou. Zapomeňte však na tradiční přístup „odškrtávání checklistů“. V éře AI totiž regulace přímo diktuje samotný technický design produktů. Jak se úspěšně zorientovat v džungli desítek evropských předpisů, na co si dát pozor při mapování datových toků a proč musí právníci při vývoji aplikací sedět u jednoho stolu s programátory a produktovými manažery?
Kdy musí zahraniční firma odvádět daně v tuzemsku? Někdy stačí i jediný zaměstnanec na home office
Práce na dálku z jiné země je čím dál častější. Přestože se podmínky prezence na pracovišti rozvolnily, žádná benevolence už neplatí v tom, kde a jak firmy, potažmo zaměstnanci musí odvádět daně. Systém přitom není nejpřehlednější, a tak svádí k chybám.
Prediktivní analytika při správě daní
Daňová kontrola byla dlouho vnímána především jako nástroj zpětného ověření. Správce daně posuzoval, zda daňový subjekt v minulosti správně přiznal daň, zda doložil rozhodné skutečnosti a zda jeho tvrzení odpovídá realitě. Tento model má své pevné místo i v budoucnu. U části daňových rizik však naráží na praktický limit: pokud správce daně reaguje až ve chvíli, kdy je škoda způsobena, může být její náprava obtížná, ne-li fakticky nemožná.
Rozhovor: Adam Felix - Advokacie nesmí podléhat státnímu finančnímu dozoru
Ministerstvo financí předložilo návrh zákona o ekonomické ochraně státu a související novely zákona o Finančním analytickém úřadu a zákona o advokacii, které mají ambici posílit nástroje státu v boji proti praní peněz a financování terorismu. Vedle deklarovaného cíle návrh vyvolává zásadní debatu o tom, kde končí legitimní regulace a začíná zásah do samotné podstaty nezávislé advokacie a pilířů právního státu.
Nadační fond pro soukromý účel – vývoj, judikatura a praxe
Dodnes napříč širší veřejností přetrvává dojem, že nadační fondy jsou nástroj primárně určený pro dobročinné účely. V praxi se však nadační fondy běžně využívají rovněž ke správě rodinného majetku, jeho mezigeneračnímu předání i jako mateřská entita v holdingových strukturách.
