Automatizované hodnocení nemocnosti zaměstnanců a limity ochrany osobních údajů
Dnešní článek ukazuje, že existují limity využití automatizovaných nástrojů k monitorování a hodnocení absencí zaměstnanců na pracovišti. Za překročení těchto limitů hrozí zaměstnavateli, coby správci osobních údajů, přísné sankce za porušení pravidel ochrany osobních údajů.
Tři společnosti na Kypru dostaly na počátku roku 2020 pokutu[1] od kyperského úřadu na ochranu osobních údajů[2], neboť využívaly automatizovaný nástroj nazvaný Bradford’s Factor k „hodnocení“ nemocenských (sick leave) svých zaměstnanců ve smyslu jejich frekvence a délky. Vycházelo se z toho, že společnostem obecně více škodí velké množství krátkodobých absencí daného zaměstnance, než menší množství absencí dlouhodobých.
Kyperský úřad rozhodl, že data a frekvence nemocenských spadají mezi „zvláštní kategorie osobních údajů“, podle článku 9 (1) GDPR (zde údaje o zdravotním stavu) a jejich poskytnutí automatizovanému nástroji, hodnocení pomocí Bradford’s Factor a profilování jednotlivců na základě výsledků je pak považováno za zpracovávání těchto osobních údajů. Je nutné dodat, že zaměstnavatel se pokoušel opírat o oprávněný zájem k tomuto zpracování a o to, že bylo zpracováno posouzení vlivu na ochranu osobních údajů. K tomu kyperský úřad na ochranu osobních údajů konstatoval, že oprávněný zájem správce osobních údajů nepřevládl nad zájmy, právy a svobodami zaměstnanců a že související rizika nebyla dostatečně pokryta.
Zajímavé je, že v tomto případě byla využita procedura vzájemné pomoci úřadů na ochranu osobních údajů, kde dostal kyperský úřad celkem 25 odpovědí od ostatních úřadů ze zemí EHP. Všechny potvrdily absenci právního základu pro toto zpracovávání a zdůraznily nutnost regulovat podobné situace v režimu předvídaném v článku 88 GDPR, který upravuje zpracovávání v souvislosti se zaměstnáním.
Závěrem tedy bylo konstatováno, že pro předmětné zpracovávání chyběl právní základ a neužila se ani jedna z výjimek v ustanovení článku 9 (2) GDPR, které by umožňovaly získat za určitých okolností přístup ke zdravotním údajům zaměstnanců. Tedy ačkoliv správce osobních údajů (jakožto zaměstnavatel) má plné právo kontrolovat frekvenci nemocenských, tak tato kontrola musí probíhat v určitých mezích, které zde byly překročeny – samotné vyšetřování bylo mimochodem zahájeno na podnět zaměstnaneckých odborů.
Výsledkem byly uložené pokuty v souhrnné výši 82.000,- EUR, které se odvíjely od obratu všech tří zainteresovaných společností a počtu 818 zaměstnanců, kterých se tento automatizovaný monitoring týkal. Rozhodnutí dává smysl, neboť GDPR obecně striktně rozlišuje zpracovávání, která jsou prováděna automaticky, a klade na ně vyšší nároky. Tedy ačkoliv je zde zjevný záměr zaměstnavatele „optimalizovat“ svůj chod a zjistit, který ze zaměstnanců vykazuje vysoký počet krátkodobých absencí, tak metoda, kterou zvolil, byla pro soukromí těchto zaměstnanců příliš invazivní. Je to rovněž poučení pro všechny zaměstnavatele, kteří by chtěli v budoucnu sbírat a hodnotit data o nemocenských svých zaměstnanců.
[1]https://edpb.europa.eu/news/national-news/2020/cypriot-supervisory-authority-banned-processing-automated-tool-used-scoring_en
[2]http://www.dataprotection.gov.cy/dataprotection/dataprotection.nsf/home_el/home_el?opendocument
Další články
Participační práva dětí, aneb „ty nevíš, co je pro tebe dobré“ podruhé
Rozsudek Nejvyššího správního soudu z prosince 2025 vyjasňuje limity participačních práv dětí v opatrovnických řízeních. Zdůrazňuje, že smyslem pohovoru není dítě přesvědčovat, ale citlivě porozumět jeho názoru a respektovat jeho prožívání.
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
