Právní rámec kontroly zaměstnanců v zákoníku práce
Základem právní úpravy je zákoník práce, konkrétně jeho § 316, který vymezuje pravidla pro používání výrobních a pracovních prostředků zaměstnavatele, včetně výpočetní techniky. Zaměstnanci mají zakázáno využívat tyto prostředky pro osobní účely bez zaměstnavatelova souhlasu. Tento souhlas může být písemný, ústní, nebo dokonce konkludentní, a může ho tedy založit i dlouhodobé tolerování určité praxe. Důležité ale je, že zaměstnavatel má právo svůj souhlas odvolat a zavést přísnější pravidla.
Zaměstnavatelé mají právo provádět kontrolu dodržování tohoto zákazu. Zjednodušeně se dá říct, že rozlišujeme mezi jednorázovou kontrolou a systematickým monitoringem. Jednorázová kontrola je o něco méně náročná na splnění zákonných požadavků, kdežto systematický monitoring vyžaduje splnění přísnějších podmínek.
Základní zásady monitoringu a kontroly zaměstnanců
- Transparentnost: Klíčem k úspěšnému monitoringu je otevřená komunikace se zaměstnanci. Jako zaměstnavatelé byste měli jasně definovat, jaká kontrolní opatření můžete využít, jak často a za jakým účelem. Doporučuje se tyto otázky zakotvit ve vnitřním předpisu.
- Přiměřenost: Kontrola musí být zaměřena na konkrétní účel, například na dodržování zákazu osobního využívání firemní techniky. Rozsah kontroly by měl být vždy přiměřený danému účelu a neměl by nadměrně zasahovat do soukromí zaměstnanců. Účelem je zde dodržování zákazu používat firemní zařízení pro vlastní potřebu, nikoli např. kontrola výkonnosti zaměstnanců. Z hlediska přiměřenosti jsou lepší nahodilé a výjimečné kontroly v reálném čase nežli systematický monitoring.
- Ochrana osobních údajů: Pokud při kontrole dochází ke zpracování osobních údajů, je nutné dodržovat také pravidla ochrany těchto údajů podle GDPR. Základními principy jsou minimalizace zásahu, omezená doba uchovávání údajů a informační povinnost vůči zaměstnancům.
Přípustné metody kontroly
Jednou z právně nejbezpečnějších metod kontroly, resp. spíš prevence, je zablokování stránek a aplikací, které zaměstnanci pro práci nepotřebují. Tento přístup nezasahuje do soukromí zaměstnanců a je v souladu s právními normami. Zaměstnavatelé mohou využít tzv. black-list, tedy zablokovat zakázané weby a aplikace, nebo naopak white-list, tj. zablokovat všechny weby a aplikace vyjma těch, které výslovně povolí.
Pokud nelze tento přístup efektivně využít, mohou zaměstnavatelé kontrolovat dobu strávenou na internetu. Toto řešení zahrnuje možnost zjistit, kdy a jak dlouho byl zaměstnanec na internetu, aniž by se zjišťovalo, jaké konkrétní stránky navštívil. Tento způsob je z právního hlediska bezpečnější, pokud je používán jen v případě konkrétního podezření na to, že konkrétní zaměstnanec porušuje zákaz používat.
Pokud ani tato opatření nejsou dostatečná, je možné přistoupit ke zjišťování toho, které konkrétní stránky zaměstnanec navštívil. Tato metoda je však více invazivní, a proto nelze se stoprocentní jistotou zaručit, že by u soudu vždy obstála. Advokát se zkušenostmi v této oblasti Vám však dokáže říci, jak tento způsob kontroly nastavit, aby byl právně obhajitelný.
Případ z Německa pro ilustraci
Odvolací pracovní soud (LAG) v Kolíně nad Rýnem[1] rozhodoval o žalobě na neplatnost okamžitého zrušení pracovního poměru jednoho zaměstnance. Tento muž byl zaměstnán jako programátor ve společnosti, která nabízí IT služby v oblasti webdesignu, sociálních médií a online marketingu. Ve smlouvě bylo dohodnuto, že IT infrastruktura zaměstnavatele nesmí být používána pro soukromé účely. Zaměstnanec tento zákaz nerespektoval: v průběhu několika měsíců pravidelně používal firemní notebook k přístupu na internet a e-mail pro soukromé účely. V jeden den se zaměstnanci "podařilo" připojit na 860 adres URL za účelem vyhledání automobilu, který by si mohl zakoupit pro své soukromé účely. Zaměstnavatel zaměstnance propustil a zakázané surfování u soudu prokázalo obsahem mezipaměti prohlížeče. Předložil také soukromé e-maily.
U soudu vyvstala otázka, jestli byl zaměstnavatel oprávněn zmíněné údaje ukládat a analyzovat a použít je jako důkaz u soudu. Zaměstnanec u soudu tvrdil, že se zaměstnavatel dopustil masivního porušení ochrany osobních údajů
Soud však rozhodl ve prospěch zaměstnavatele - mj. se opřel o to, že zaměstnanec podpisem dodatku k pracovní smlouvě výslovně potvrdil zákaz používání firemní infrastruktury pro soukromé účely.[2] Podle soudu tak bylo okamžité zrušení oprávněné a řádně prokázané.
GDPR a ochrana osobních údajů při monitorování
Pokud dochází k monitorování zaměstnanců a zpracování jejich osobních údajů, je nutné dodržovat zásady GDPR. To zahrnuje mj. povinnost informovat zaměstnance o tom, jaké údaje jsou zpracovávány, za jakým účelem, kdo k nim má přístup a jak dlouho budou uchovávány. Zároveň je potřeba zajistit, aby byly tyto údaje bezpečně uloženy.
Zpracování osobních údajů musí být vždy založeno na zákonném podkladu, kterým je v těchto případech obvykle oprávněný zájem zaměstnavatele. Tento zájem musí být vyvážen s právy zaměstnanců na ochranu jejich soukromí.
Dopady nedodržení pravidel
Pokud zaměstnavatelé překročí hranici přiměřenosti nebo nezákonně monitorují své zaměstnance, hrozí jim sankce. Inspekce práce může uložit pokutu až do výše 1 milionu Kč. Porušení GDPR může dokonce přinést pokuty až do 20 milionů EUR, i když v praxi se jedná o nižší částky.
Kromě pokut hrozí, že zaměstnanci budou požadovat náhradu újmy. I když jsou tyto žaloby v ČR stále relativně vzácné, s rostoucí informovaností zaměstnanců se mohou stát častějšími.
Závěr
Efektivní kontrola a monitoring zaměstnanců při používání výpočetní techniky jsou nezbytné pro zajištění produktivity a ochranu firemních zájmů. Není však jednoduché zajistit, aby byly tyto procesy prováděny v souladu se zákonem. Jiné téma, o kterém můžeme pojednat někdy příště, se týká možnosti kontrolovat, jestli zaměstnanci netráví pracovní dobu na vlastních telefonech a jiných zařízeních.
Obecně doporučujeme využívat takové metody kontroly plnění povinností zaměstnanců, které jsou přiměřené (namátkové kontroly namísto plošných) a které zasahují do soukromí zaměstnanců spíš méně než více (kontrola množství e-mailových zpráv a adresy odesílatele namísto kontroly samotného obsahu zprávy). 
[1] Rozsudek LAG v Kolíně ze dne 7. února 2020, spisová značka: 4 Sa 329/19.
[2] U nás však v tomto ohledu převažuje spíš úzkostlivý přístup, mj. se argumentuje, že zaměstnanec v podstatě nikdy nemůže poskytnout souhlas svému zaměstnavateli svobodně.
Diskuze k článku ()