Zdálo by se, že tím, jak tato hysterie utichá, můžete tuto problematiku opět odsunout. Opak je ale pravdou. Právě teď je totiž vhodná doba se s ochranou osobních údajů v klidu popasovat. K tomu Vám může napomoci i tento článek, ve kterém bychom se s Vámi rádi podělili o naše zkušenosti z provedených právních auditů ochrany osobních údajů a upozornili na nejčastější chyby, na které při nich naše advokátní kancelář naráží. Současně poradíme, jak těmto chybám předejít.
První část článku si můžete přečíst zde a druhou zde.
Kamerové systémy
Kamerové systémy se záznamem jako forma zpracování osobních údajů je v praxi natolik rozšířená, že již v minulosti ÚOOÚ vydal návodnou metodiku nazvanou Provozování kamerových systémů.[1] Metodika ÚOOÚ jednoduchým a přehledným způsobem seznamuje správce s povinnostmi, které mají při implementaci kamerových systémů dodržet. Jelikož je metodika vypracována v souladu se starou právní úpravou, je potřeba její aplikaci v několika málo bodech přizpůsobit nové úpravě.
Vždy je třeba si uvědomit, že zde dochází ke střetu dvou základních lidských práv, a sice práva provozovatele kamerového systému na ochranu majetku a dále práva jedince na ochranu soukromí.
O tom, že se nejedná o plané strašení svědčí i fakt, že právě kamerové systémy jsou velmi častým předmětem kontrol ze strany ÚOOÚ; kontroly jsou ve většině případů zahajovány na podnět, např. nespokojeného zaměstnance (odkazujeme na webové stránky ÚOOÚ www.uoou.cz v sekci „Dozorová činnost“).
Specifickou kategorií jsou kamerové systémy na pracovišti. Jejich režim je upraven v § 316 zákoníku práce, kdy jejich prostřednictvím zpravidla dochází k monitoringu zaměstnanců. Provozovat kamerové systémy, které fakticky sledují zaměstnance, může zaměstnavatel pouze ze závažného důvodu spočívajícího ve zvláštní povaze jeho činnosti. Pokud je tento závažný důvod dán, je zaměstnavatel povinen přímo zaměstnance informovat o rozsahu kontroly a o způsobech jejího provádění.
Za nesprávné či nezákonné provozování kamerového systému hrozí nejen sankce dle GDPR od Úřadu pro ochranu osobních údajů, ale také pokuty od inspektorátu práce. Inspektoráty práce to v minulosti dělaly tak, že když na nezákonný kamerový systém narazily, daly podnět ÚOOÚ. Dnes už mohou pokutu dát sami, a to až do výše 1 mil. Kč, nebo 100 tis. v případě, kdy zaměstnavatel neposkytne zaměstnancům výše zmíněnou informaci o rozsahu kontroly a o způsobech jejího provádění.
Dokumentace ke kamerovému systému (dále „CCTV“) tak, aby byla nápomocná, by se měla sestávat z analýzy používání CCTV, identifikace CCTV a jeho popisu, plánku rozmístění jednotlivých kamer, analýzy rizik, popisu technicko-organizačních opatření, směrnice na provozování kamerového systému, informační tabulky a podrobné informace o zpracování osobních údajů, ze záznamů o školení, z evidence žádostí o poskytnutí kamerového záznamu a předávacích protokolů, z projektové dokumentace a náhledů jednotlivých kamer.
Co všechno jednotlivé dokumenty mají obsahovat najdete ve výše zmíněné metodice ÚOOÚ. Před každým zavedením kamerového systému tedy doporučujeme správcům prostudovat tuto metodiku a vypracovat si kompletní dokumentaci. S přípravou této dokumentace Vám může pomoci jednak společnost, která Vám instalaci kamer nabízí, případně advokátní kancelář, která se na tuto oblast specializuje. Dokumentace je velmi užitečným podkladem a cenným dokladem toho, že jste se výše zmíněnou rovnováhou skutečně zabývali.
Používáte otisky prstů Vašich zaměstnanců (subjektů údajů) v přístupových a docházkových systémech?
Do 25. května 2018 bylo v zásadě možné, dle dosavadního zákona o ochraně osobních údajů, a na to navazujícího stanoviska ÚOOÚ[2], odlišovat dvě technická řešení s odlišnými právními důsledky.
První řešení spočívá v sejmutí otisků prstů, které jsou následně převedeny na číselnou řadu (šablonu) způsobem, který neumožňuje zpětnou rekonstrukci biometrických charakteristik, a nadále je pracováno pouze s touto šablonou, nikoli s otiskem prstu jako takovým. Dle dosavadního výkladu se v tomto případě nejednalo o zpracování citlivých osobních údajů, ale pouze údajů obecných. Dle ÚOOÚ zde nedochází k uchování ani k aktivnímu využívání biometriky při identifikaci či autentizaci, a tudíž se tak nejedná o zpracování citlivých osobních údajů. Výsledkem je, že zde není zapotřebí výslovného souhlasu a lze využít oprávněný zájem správce (za dodržení hlediska přiměřenosti).
Druhým řešením jsou systémy, které s biometrickými údaji aktivně pracují, např. při ověřování každého dalšího podpisu dané osoby, spuštění či aktivaci mobilního telefonu nebo počítače atd. Zde se jedná o zpracování citlivých osobních údajů a pro jejich provoz je nezbytné disponovat výslovným souhlasem osob, jejichž údaje jsou takto zpracovávány.
S příchodem GDPR se však tento přístup mění. Nové nařízení totiž považuje každé zpracování otisku prstů (tedy biometrických údajů) za zpracování citlivých osobních údajů. Jen ztěžka budete v článku 9 GDPR, který upravuje právní tituly zpracování pro zvláštní kategorii (citlivých) údajů, hledat jiný právní titul než souhlas.
Je důležité zdůraznit, že zpracovávání citlivých údajů obvykle představuje vyšší riziko pro práva dotčených osob a je tedy krom výhod takového systému nutné náležitě zvážit i povinnosti, které se k tomu vážou, např. zajistit zvýšenou úroveň ochrany či povinnost provést posouzení vlivu.
Upozorňujeme také na skutečnost, že podle stanoviska skupiny WP 29 č. 2/2017 (skupina, která dává výkladová stanoviska k GDPR) není svobodnost souhlasu v pracovněprávních vztazích obvykle dána, což se může při kontrole ÚOOÚ jevit jako problematické. Společnost bude muset prokázat, že byl souhlas zaměstnance opravdu svobodný. Pochybnost o svobodném souhlasu by mohla vyvolat například situace, kdy by v rámci organizace udělili souhlas všichni zaměstnanci.
Jak vyplývá i z našich zkušeností, změny, které v souvislosti s biometrickými údaji nastaly, dopadají na celou řadu společností, které tyto systémy zavedly, a dosud používaly v režimu popsaném v prvním případě. Současný výklad může vést k tomu, že společnosti reálně nebudou moci tyto systémy používat, jelikož nezískají platné souhlasy subjektů údajů či nesplní přísnější povinnosti vztahující se ke zpracování citlivých osobních údajů. I z tohoto důvodu se tato otázka stala předmětem diskuze na celoevropské úrovni a předpokládá se, že k ní bude v budoucnu vydáno upřesňující stanovisko. Doporučujeme tak sledovat webové stránky ÚOOÚ.
Máte ve služebních vozech GPS technologie?
Používání GPS technologií ve služebních vozech je monitoringem zaměstnanců, při němž rovněž dochází ke zpracování osobních údajů – záznamů z GPS systémů. Vzhledem k tomu, že používání GPS systémů ve služebních vozech, resp. monitoring zaměstnanců obecně, představuje významný zásah do soukromí zaměstnanců, je důsledně právně regulován, a to nejen pravidly GDPR.
Monitoring zaměstnanců je primárně zakázaný především zákoníkem práce. Z tohoto zákazu však existují výjimky. Stěžejní výjimka je definována v § 316 zákoníku práce, který říká, že zaměstnavatel musí mít k takovému monitoringu závažný důvod spočívající v povaze jeho činnosti, kterým zavedení kontrolních mechanismů ospravedlní. Jak jsme již uvedli výše, zaměstnavatel je povinen stanovit pro monitoring pravidla a je povinen zaměstnance informovat o rozsahu kontroly a způsobu jejího provádění. Předpoklad závažnosti důvodu k monitoringu prostřednictvím GPS neobejdete ani případným souhlasem zaměstnance. Takový souhlas by byl totiž z pohledu zákoníku práce shledán neplatným. V případě kontroly ze strany Státního úřadu inspekce práce byste se tak vystavili riziku značné pokuty viz informace v části Kamerové systémy výše.
Samotné použití GPS technologií za účelem monitoringu zaměstnanců je vždy třeba řádně zvážit s ohledem na všechny okolnosti, a zejména je náležitě odůvodnit. Nutnost využívání GPS technologie může uhájit obecně například společnost, která se potýká s černými jízdami svých zaměstnanců, apod. Obhájit by je mohla také stavební firma, která potřebuje kontrolovat, jestli byl materiál zavezen všude, kam měl, a řidiči nastoupili do práce včas, společnost zajišťující bezpečný převoz peněz, společnost využívající obchodní zástupce, jejich neúspěšné obchody nelze ověřit atd. Jako legitimní důvod využívání GPS se považuje i potřeba zajištění využití GPS jako dokladu o povinném odpočinku během řízení motorového vozidla.
Jako nepřiměřené by se naopak jevilo využití GPS například v provozu advokátní kanceláře, jejíž koncipienti jsou jednou za čas vysláni na jednání u soudu, k němuž se dopravují služebním vozidlem. Jako nepřiměřené opatření byl také posouzen nepřetržitý dlouhodobý (po dobu 11 měsíců) monitoring poštovních doručovatelů za účelem zefektivnění poštovních služeb.
Před každým monitoringem tedy doporučujeme zvážit, zda zájmy zaměstnavatele v tomto konkrétním případě převažují nad zájmem zaměstnance na soukromí, monitoring náležitě odůvodnit, doložit incidenty z minulosti a minimalizovat zpracování osobních údajů na rozsah nezbytně nutný pro stanovený účel. Právním titulem zpracování přichází v úvahu oprávněný zájem, bude-li shledán. Dovolíme si také upozornit, že ve valné většině případů se bude jednat o rizikové zpracování, tedy bude vhodné například provést posouzení vlivu atd.
A co použití GPS technologií za účelem vedení knihy jízd? I zde doporučujeme spíše opatrnější přístup. Je pravdou, že v tomto případě se primárně nejedná o monitoring zaměstnance, tj. sledování konkrétního zaměstnance za účelem zjištění jeho určitého jednání, ale důvodem je zajištění evidence jízd - podkladu pro daňové účely. K monitoringu tak dochází v tomto případě nepřímo. Pokud využíváte GPS systém za tímto účelem, nejedná se tedy o monitoring zaměstnanců, nicméně stále se jedná o zpracování osobních údajů. Musíte tedy disponovat platným právním titulem. Z dotazu, který jsme směřovali na ÚOOÚ vyplynulo, že právním titulem v tomto případě bude souhlas zaměstnance. Pozor však na to, aby tento souhlas splňoval veškeré náležitosti, zejména aby byl svobodný. Svobodnost v tomto případě můžete zajistit např. tím, že zaměstnance řádně informujete a dáte mu na výběr, zda chce vést knihu jízd klasickým způsobem sám (v papírové či elektronické podobě) či zda chce využít možnosti GPS sledování, prostřednictvím kterého bude kniha jízd vedena automaticky, a jemu usnadní práci. V případě, že je zaměstnanec oprávněn využívat služební vůz i pro soukromé účely, doporučujeme využívat takové zařízení, které bude možné v takových případech vypnout.
Nejsou stanoveny postupy pro ohlašování případů porušení zabezpečení osobních údajů ÚOOÚ
Velkou novinkou je zavedení ohlašovací povinnosti v případě porušení zabezpečení OÚ. S ohledem na novou povinnost je zcela pochopitelné, že je na její plnění připraven málokdo. Doporučujeme, aby správce osobních údajů (i) zajistil, aby všichni jeho zpracovatelé bezodkladně hlásili porušení zabezpečení (lze tak učinit ve zpracovatelské smlouvě), (ii) zajistil, aby všichni jeho zaměstnanci bezodkladně hlásili případy porušení (ztráty notebooků, výmaz dat, podezřelé aktivity v systémech apod. – lze tak učinit např. ve směrnici) odpovědné osobě a (iii) zajistil, aby odpovědná osoba zdokumentovala všechny případy porušení zabezpečení a tam, kde vznikne povinnost ohlásit ÚOOÚ či oznámit subjektům údajů, takto v daném čase učinila.
Když už zmiňujeme směrnici o ochraně osobních údajů, dovolíme si ještě upozornit, že nestačí mít vypracovanou směrnici, je také třeba zajistit, aby s ní všichni zaměstnanci byli seznámeni a aby jejímu obsahu porozuměli.
Internet je zahlcen informacemi o GDPR, můžete se na ně spolehnout?
Odpovíme Vám následovně. Bolí Vás hlava. Zadáte si „bolest hlavy“ do vyhledávače a najdete nespočet odkazů na to, co by Vám mohlo být, a jak to léčit. Odpoví Vám ale opravdu přesně na otázky, co Vám je a jak to máte léčit? Budou tyto odpovědi opravdu správné a užitečné. Možná budete mít štěstí a najdete řešení svého zdravotního problému, možná (spíše) ale ne. Na první pohled rychlé a levné, případně zdarma, řešení, které Váš problém v dané chvíli vyřeší, se časem ukáže jako nesprávné a přinese Vám mnohem více komplikací. V důsledku Vás to tak bude stát více času i peněz, než kdybyste si na začátku došli k lékaři, který Váš stav odborně posoudí, zohlední všechny okolnosti a zvolí vhodnou léčbu.
Internet je zahlcen tolika informacemi, že vybrat ty správné je opravdu složité. S tím, jak se blížila účinnost GDPR (25. 5. 2018), objevilo se na webových stránkách velké množství informací. Bohužel, řada z nich byla a stále je nepřesná, zkreslená či úplně nesprávná. Současně, v případě, kdy naleznete solidní zdroj informací, jsou tyto informace buďto obecné, nebo jsou pro aplikaci na Váši společnost úplně nevhodné, protože nezohledňují veškeré okolnosti.
Jako jeden z mála opravdu zaručených zdrojů proto doporučujeme sledovat stránky a na nich zveřejněná stanoviska ÚOOÚ (zejména výše zmíněnou část Dozorová činnost, kde možná natrefíte na případ podobný Vašemu) a Evropského sboru pro ochranu osobních údajů, který vznikl z původní pracovní skupiny WP29, a který i nadále zveřejňuje výkladová stanoviska k GDPR, tentokrát už závazná.
V souvislosti s prováděním auditů se velmi často setkáváme s tím, že společnosti používají různé právní dokumenty, včetně těch týkajících se GDPR, volně dostupných z internetu. Velmi oblíbené je to zejména u pracovních smluv či dohod o provedení práce/pracovní činnosti. Zdánlivě snadné a levné řešení se však může velmi prodražit. Tyto smlouvy jsou zde k dispozici již řadu let, neodpovídají často vůbec současné právní úpravě a možná ani té, ke které byly zveřejněny. Pamatujte, že i jedno nevhodně použité slovo může způsobit, že uzavřete pro Vaši společnost zcela nevýhodnou smlouvu, na kterou dříve či později můžete doplatit.
[1] https://www.uoou.cz/files/metodika_provozovani_kamerovych_systemu.pdf
[2] Stanovisko č. 3/2009
Diskuze k článku ()