A zase to GDPR! Tentokrát poznatky z praxe a auditů aneb nejčastější chyby a jak jim předejít - část II.

Ochrana osobních údajů a soukromí fyzických osob, zejména dětí, je v dnešním světě plném nových technologií velmi důležitá. Obrovská vlna hysterie kolem Obecného nařízení o ochraně osobních údajů (GDPR), která se Českem prohnala a která je dle našeho názoru nedůvodná, však způsobila, že se velká část společností, které se dosud této problematice spíše vyhýbaly, či v lepším případě ji měly někde vzadu v povědomí, začala pod hrozbou vysokých pokut ochranou osobních údajů cíleně zabývat.

advokátka, DEMETER LEGAL, advokátní kancelář
KH
advokátní koncipientka, DEMETER LEGAL, advokátní kancelář
Foto: Fotolia

Zdálo by se, že tím, jak tato hysterie utichá, můžete tuto problematiku opět odsunout. Opak je ale pravdou. Právě teď je totiž vhodná doba se s ochranou osobních údajů v klidu popasovat. K tomu Vám může napomoci i tento článek, ve kterém bychom se s Vámi rádi podělili o naše zkušenosti z provedených právních auditů ochrany osobních údajů a upozornili na nejčastější chyby, na které při nich naše advokátní kancelář naráží. Současně poradíme, jak těmto chybám předejít.

První část článku si můžete přečíst zde.

Nejsou smlouvy se zpracovateli   

Uzavřít či neuzavřít smlouvu o zpracování osobních údajů? To je, oč tu (zejména v posledních týdnech) běží. Obdobně jako u souhlasů se se smlouvami o zpracování roztrhl pytel. Nejsou výjimkou situace, kdy Vás osloví obchodní partner s tím, že jeho právník tvrdí, že jste Vy zpracovatel nebo naopak on je Vaším zpracovatelem, a musíte s ním uzavřít smlouvu o zpracování. Necháte si situaci posoudit Vaším právním poradcem a ten k tomu zaujme zcela odlišné stanovisko –  smlouvu mít uzavřenou nemusíte. A teď, babo, raď! Pokud je to i Váš případ a Vy se rozhodnete zpracovatelskou smlouvu neuzavřít, nezapomeňte si připravit zdůvodnění, proč se domníváte, že právě Vy či Váš obchodní partner nejste zpracovatelem. 

Na druhou stranu existují poskytovatelé, kteří budou zpracovateli s pravděpodobností blížící se jistotě. Typickým příkladem je externí poskytovatel účetních služeb či poskytovatel cloudových služeb. Zpracovatelem bývá také bezpečnostní agentura, která pro vás zajišťuje bezpečnost objektu a kamerové systémy. 

Působí ve Vaší společnosti odborová organizace? Provádíte jako zaměstnavatel srážky ze mzdy svých zaměstnanců na úhradu členských příspěvků? Pokud jste si odpověděli ano, jste zpracovatelem osobních údajů naopak vy. V tomto případě dokonce zpracováváte údaje citlivé, na něž se vztahuje přísnější režim a celá řada povinností (např. na takové zpracování může dopadnout čl. 30 odst. 2 GDPR, zabezpečení apod.). 

Naopak zpracovatelem osobních údajů zpravidla nebude lékař, který zajišťuje pro zaměstnavatele pracovně-lékařské služby. Dle našeho názoru zpracovatelem osobních údajů nejsou ani poskytovatelé přepravních služeb, kteří jsou využíváni v rámci e-shopů, kdy si tyto přepravce volí při objednávce sám zákazník. Zpracovatelem nebude ve většině případů ani advokát či auditor. Všichni tito poskytovatelé jsou tzv. dalšími příjemci, neboť si sami stanoví své účely zpracování.

Případy, u nichž doporučujeme vždy individuálně posoudit, zda se o zpracovatele jedná či nikoliv, jsou poskytovatelé různých IT služeb, např. hostingových služeb, dodavatelé IT systémů či poskytovatelé IT podpory. Posouzení zde bývá často složitější, jelikož v řadě případů není vůbec uzavřena písemná smlouva k poskytování těchto služeb, která by jasně definovala jejich rozsah. Nejen s ohledem na to, k jakým datům se IT specialisté mohou často dostat, ale i s ohledem na význam IT systémů a souvisejících služeb, kdy tyto představují významnou podporu Vašeho podnikání či jiné činnosti, doporučujeme IT smlouvám věnovat náležitou pozornost.

Ohledně zpracovatelů je tedy vhodné začít tím, že si uděláte kompletní seznam všech poskytovatelů (dodavatelů), určíte, kdo z nich je zpracovatelem a prověříte, zda skutečně se všemi máte uzavřenou smlouvu o zpracování v písemné formě (včetně elektronické). Zde je nutné si uvědomit, že uzavřít smlouvu o zpracování osobních údajů je nejen povinností správce, který v případě, že smlouva není uzavřena předává (tedy zpracovává) osobní údaje nezákonně, ale také povinností zpracovatele, který je ve stejném případě v pozici neoprávněného správce. 

Nebude-li zřejmé, zda daný poskytovatel je zpracovatelem a domníváte se, že spíše nebude, provedenou analýzu si uchovejte pro případnou kontrolu ze strany ÚOOÚ. A pokud daný poskytovatel dojde (byť i nahodile) do styku s osobními údaji, za jejichž ochranu nesete odpovědnost, doporučujeme uzavřít alespoň dohodu o mlčenlivosti (neboli NDA).

Za vhodné považujeme také doplnit, že není nezbytné mít smlouvu nazvanou Smlouva o zpracování, je však nezbytné, aby dohoda mezi Vámi a zpracovatelem obsahovala všechny nezbytné náležitosti stanovené článku 28 GDPR. V praxi je zcela běžné, že IT dodavatelé mají tuto smlouvu zahrnutou ve svých obchodních podmínkách.

V neposlední řadě prosím nezapomeňte, že každý správce, využívá-li ke zpracování osobních údajů třetí osobu, která na její pokyn zpracovává osobní údaje, by měl důsledně daného zpracovatele ověřit. Tedy vybírejte si jen takového zpracovatele, který poskytuje dostatečné záruky zavedení vhodných technických a organizačních opatření. Pro případný spor doporučujeme správcům, aby byli schopni doložit, jakým způsobem ověřili důvěryhodnost zpracovatele. K ověření přitom může postačit využití všech běžných nástrojů pro posuzování poskytovatelů, tj. ověření identity, majetkové struktury, délky existence, listin ve sbírce listin, ověření dlužnických registrů, insolvenčního rejstříku apod. V některých společnostech je toto samozřejmost, v některých tento postup ověření zcela chybí. Takové ověření poskytovatele i klienta Vám může ušetřit mnoho nepříjemností i v běžném obchodním styku.

Nesprávné zpracování osobních údajů uchazečů o zaměstnání

Obecně platí, že zaměstnavatel je oprávněn od uchazečů o zaměstnání požadovat pouze takové informace, které bezprostředně souvisejí s uzavřením pracovní smlouvy[1]. V případě dodržení zásady minimalizace dle GDPR, lze zpracování osobních údajů pro účely výběrového řízení opřít o právní důvod dle článku 6/b GDPR (tj. plnění smlouvy/provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů). Ke zpracování osobních údajů uchazeče pro účely účasti ve výběrovém řízení tedy není zapotřebí souhlasu, jak často v praxi bývá nesprávně vyžadováno. 

Jiná situace však nastane ve chvíli, kdy je výběrové řízení u konce. Poté lze teoreticky pro účely dalšího oslovení zpracovávat osobní údaje uchazečů po dobu trvání zkušební doby vybraného uchazeče na základě oprávněného zájmu zaměstnavatele dle článku 6/f GDPR (aby nemusel opakovat výběrové řízení v případě, kdy se původně vybraný uchazeč neosvědčí). 

Bude‑li však zaměstnavatel uchovávat životopisy k tomuto účelu po dobu delší, bude už pro takové zpracování zapotřebí souhlasu uchazeče. Tento souhlas však musí být udělen svobodně, ideálně tedy až po skončení výběrového řízení, neboť kdyby jej zaměstnavatel získával dříve, mohla by zde na straně uchazeče vzniknout domněnka, že souhlas musí dát, jinak nebude zařazen do výběrového řízení. Stejně doporučujeme postupovat v případě, že Vám případný uchazeč zašle své osobní údaje v rozsahu životopisu a vy v současné chvíli místo nemáte, ale rádi byste si jeho životopis uchovali.

Setkali jsme se také s názorem, že osobní údaje uchazečů v rozsahu životopisu lze uchovávat z důvodu oprávněného zájmu pro účely prokázání správného postupu při výběrovém řízení (nediskriminace). Takové zpracování však vidíme jako rizikové, jednak totiž uchování těchto životopisů svádí zaměstnavatele zneužít je i pro jiný účel (tedy pro opětovné oslovení), a dále je diskutabilní, zda by prostřednictvím životopisů mohl vůbec zaměstnavatel nějak svou nevinu v případě podezření z diskriminace prokázat.

Neexistence záznamů o činnostech zpracování

Článek 30 GDPR stanoví správci povinnost vést tzv. záznamy o činnostech zpracování. Tato povinnost se v souladu s článkem 30/5 GDPR nepoužije na podnik, který zaměstnává méně než 250 zaměstnanců, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování citlivých údajů. 

Současný výklad článku 30 GDPR tenduje spíše k tomu, že tato povinnost dopadne na většinu správců s ohledem na to, že výjimka se uplatní pouze na ty správce, kteří provádí příležitostné zpracování. Z tohoto důvodu a také proto, že vypracování záznamů nepřestavuje nadměrnou administrativní zátěž, naopak může být vhodným nástrojem pro zpřehlednění, doporučujeme záznamy o činnostech vypracovat.

Zaměstnanci/studenti měsíce

Oblíbeným nástrojem pro motivaci zaměstnanců či studentů je pořádání nejrůznějších anket, kdy zaměstnavatel, případně škola, vyzvedne šikovnost některého z kolegů v jakési dobré víře, že takováto pozitivní publicita nikomu neškodí a nemůže tak nikomu vadit. To však nemusí být vždy pravda. Při pořádání takových anket proto doporučujeme postupovat tak, že například budou hodnoceny týmy („tým směny A“ není osobní údaj). Bude‑li tato anketa pořádána za použití osobních údajů, kloníme se spíše k názoru, že je třeba pro takové zpracování zapotřebí souhlasu.

Chybné srážení ze mzdy zaměstnance za účelem hrazení odborových příspěvků

Jak jsme již výše naznačili, v tomto vztahu je to zaměstnavatel, kdo je zpracovatelem. Z našich zkušeností vyplývá, že zaměstnavatelé, resp. odborové organizace tento vztah zpravidla nijak ošetřen nemají. 

Současně, při provádění auditů často zjišťujeme, že zaměstnavatelé neprovádí srážky ze mzdy zaměstnanců za tímto účelem ani v souladu se zákoníkem práce. Zákoník práce s tímto výslovně počítá, konkrétně v § 146 písm. c), kde se uvádí, že srážky ze mzdy mohou být provedeny k úhradě členských příspěvků zaměstnance, který je členem odborové organizace. Musí však být splněny dvě podmínky, kterými jsou ujednání v kolektivní smlouvě nebo v písemné dohodě mezi odborovou organizací a zaměstnavatelem a současně je třeba souhlasu zaměstnance s prováděním srážek. 

S ohledem na to, že je třeba také ošetřit vztah správce – zpracovatel, doporučujeme, aby již samotná dohoda o provádění srážek mezi zaměstnavatelem a odbory či kolektivní smlouva reflektovala náležitosti smlouvy o zpracování. 

Opět považujeme za vhodné upozornit na fakt, že údaj o členství v odborech patří do zvláštní kategorie osobních údajů (citlivé osobní údaje), u nichž je třeba důsledně dbát na zabezpečení a také na to, aby zaměstnavatel nezpracovával tyto osobní údaje za jiným účelem (tedy například, že neuvádí skutečnost, že daný zaměstnanec je v odborech, v osobním spise či v personálním systému apod.).


[1] Viz § 30/2 zákoníku práce a obdobně § 12 zákona č. 435/2004 Sb., zákona o zaměstnanosti.

Hodnocení článku
100%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články