Jak se vyhnout nejčastějším chybám při zpracování osobních údajů zaměstnanců
Zaměstnavatelé se při zpracování osobních údajů pravidelně dopouštějí chyb, které mohou vést k právním problémům i pokutám. V tomto článku si představíme ty nejčastější chyby a poradíme vám, jak se jim vyhnout.
Při nakládání s osobními údaji zaměstnanců je třeba dodržovat GDPR
S osobními údaji svých zaměstnanců je třeba nakládat v souladu s obecným nařízením o ochraně osobních údajů (GDPR). To ve stručnosti znamená, že byste měli:
- zpracovávat jen ty osobní údaje zaměstnanců, které ke stanoveným účelům skutečně potřebujete a pouze na základě jednoho z právních důvodů vymezených v článku 6 GDPR,
- udržovat osobní údaje přesné a aktuální a uchovávat je jen po dobu nezbytnou k naplnění stanoveného účelu,
- informovat zaměstnance o tom, jak jejich údaje zpracováváte,
- osobní údaje zaměstnanců vhodně zabezpečit proti neoprávněným přístupům a zneužití,
- respektovat práva zaměstnanců jako je právo na přístup k osobním údajům, jejich opravu nebo výmaz,
- evidovat, jak plníte tyto povinnosti pro případ kontroly ze strany Úřadu pro ochranu osobních údajů.
V čem zaměstnavatelé nejčastěji chybují a jak se chybám vyvarovat?
1. Nadbytečné vyžadování souhlasu zaměstnance
V pracovních smlouvách, dohodách o provedení práce (DPP) i dohodách o pracovní činnosti (DPČ) se stále vyskytují ustanovení, ve kterých zaměstnanci souhlasí se zpracováním jejich osobních údajů v souvislosti s výkonem práce. Takový souhlas však není v souladu s GDPR.
Zpracování osobních údajů zaměstnanců se obvykle totiž nezakládá na právním důvodu souhlasu zaměstnance. Navíc souhlas musí být udělen dobrovolně a ke konkrétnímu účelu. To znamená, že jej nelze získat pouhým podpisem pracovní smlouvy a nelze jej používat pro obecné účely, jako je „výkon práce“.
Jak se chybě vyhnout?
Nejprve identifikujte všechny účely, pro které potřebujete zpracovávat osobní údaje. Může jít třeba o uzavření a plnění pracovní smlouvy, plnění zákonných povinností v oblasti sociálního zabezpečení nebo o ochranu majetku. Pro každý účel pak určete jeden z právních důvodů vymezených v článku 6 GDPR, na kterém zpracování osobních údajů založíte. Většinou souhlas zaměstnance nebudete potřebovat, protože zpracování osobních údajů založíte na nezbytnosti pro splnění smlouvy, právní povinnosti nebo na vašem oprávněném zájmu, například na ochraně vašeho majetku.
Pokud zjistíte, že pro zpracování osobních údajů za konkrétním účelem potřebujete souhlas zaměstnance, zajistěte, aby tento souhlas splňoval požadavky GDPR. Náležitosti souhlasu budou popsány v dalším bodě.
2. Nezískání souhlasu zaměstnance
Zaměstnavatelé často zveřejňují fotky a videa zaměstnanců na webu, sociálních sítích i v jiných propagačních materiálech. Bez souhlasu zaměstnanců tím obvykle poruší GDPR a pravidla pro zachycení a šíření podobizny v občanském zákoníku.
Jak se chybě vyhnout?
Sdělte zaměstnancům důvod fotografování nebo natáčení (např. pro propagaci společnosti), jak budete fotky a videa šířit, kdo k nim bude mít přístup a jaká mají práva. Poté získejte jejich dobrovolný souhlas se zachycením a šířením podobizny a se zpracováním osobních údajů například pro účely propagace vaší společnosti.
Zaměstnanec vám může souhlas udělit i ústně. Bezpečnější je předložit zaměstnanci k podpisu písemný informovaný souhlas s tím, že si každý jedno jeho vyhotovení ponecháte. Pokud máte komplexní informace o zpracování osobních údajů zaměstnanců v samostatném dokumentu, stačí na ně v souhlasu odkázat.
Souhlasy sbírejte nejdéle na dobu trvání pracovněprávního vztahu. Poté fotky a videa se zaměstnancem zveřejňujte jedině, pokud se na tom s ním domluvíte.
Do udělení souhlasu nesmíte zaměstnance nutit a zaměstnanec může jednou udělený souhlas kdykoliv odvolat. Po skončení doby, na kterou vám zaměstnanec souhlas dal nebo i dříve po odvolání souhlasu, již nemůžete jeho fotky a videa dále zveřejňovat.
3. Shromažďování nepotřebných osobních údajů
Někteří zaměstnavatelé shromažďují nepotřebné informace o svých zaměstnancích. Častým pochybením je bezdůvodné uchovávání kopií dokladů, jako jsou občanské průkazy, pasy nebo rodné listy.
Zaměstnavatel přitom nesmí kopie dokladů uchovávat, pokud jejich použití nemůže založit na žádném z právních důvodů vymezených v článku 6 GDPR.
Jak se chybě vyhnout?
Vyjasněte si, jaké konkrétní údaje potřebujete od zaměstnanců k jednotlivým účelům získat a získejte jen tyto potřebné údaje. Pokud zjistíte, že uchováváte nadbytečné údaje, vymažte je.
Namísto uchovávání kopie celého dokladu si potřebné údaje od zaměstnance vyžádejte a v případě pochybností do dokladu zaměstnance pouze nahlédněte.
4. Nedostatečné informování zaměstnanců
Zaměstnavatelé často zaměstnance neinformují o zpracování jejich osobních údajů nebo se snaží svou povinnost splnit krátkým odstavcem v pracovní smlouvě, který nesplňuje požadavky GDPR.
Jak se chybě vyhnout?
Vypracujte dokument, který obsahuje všechny potřebné informace o zpracování osobních údajů zaměstnanců. V dokumentu zaměstnance informujte o typech osobních údajů, které zpracováváte, účelu a právním základu zpracování, době uchování údajů, osobách, které k nim mají přístup, a právech zaměstnanců včetně způsobu jejich uplatnění.
Dokument zaměstnancům poskytněte ideálně před podpisem pracovní smlouvy, DPP nebo DPČ a poskytnutí si evidujte. Důkaz o informování získáte například tím, že zaměstnance necháte podepsat potvrzení o přečtení informačního dokumentu. Nebo můžete zaměstnanci zaslat dokument e-mailem prostřednictvím odkazu na interní složku a zaznamenat, že zaměstnanec na odkaz kliknul.
Zaměstnanci by měli mít k informačnímu dokumentu neustálý přístup. Uložte ho například do interního úložiště a o každé jeho aktualizaci zaměstnance informujte, např. e-mailem. Tyto e-maily si ponechejte jako důkaz.
5. Nedostatečné zabezpečení osobních údajů
Zabezpečení údajů zaměstnanců je často podceňováno. Dokumenty s citlivými informacemi se volně povalují na stolech a v policích, důležité elektronické složky nejsou chráněny heslem a přístup k nim má kdokoliv. Zaměstnanci si nemění hesla, používají zařízení s neaktuálním antivirovým programem nebo klikají na phishingové e-maily, aniž by si uvědomovali možné následky.
Jak se chybě vyhnout?
Zaveďte a dodržujte aspoň následující bezpečnostní opatření:
- Pravidelná školení: Proškolte zaměstnance o bezpečné práci s osobními údaji a možných bezpečnostních hrozbách.
- Bezpečné ukládání dokumentů: Zajistěte, že tištěné materiály s osobními údaji jsou uložené v zamčených skříňkách, ke kterým má přístup jen pověřený zaměstnanec. Zaveďte pravidlo „čistého stolu“ bez odložených dokumentů a papírků s hesly a dalšími osobním údaji.
- Zabezpečení prostor: Mějte kontrolu nad tím, kdo má do vašich prostor přístup. Řešením může být recepce, na které se ohlásí návštěvy, čipové karty k otevírání prostor nebo kamerový systém u vstupů do prostor. Pozor na to, že kamerami nesmíte monitorovat zaměstnance při práci.
- Zabezpečení sítě a systémů: Zabezpečte svou síť a informační systémy pomocí firewall i antivirových programů a kontrolujte, zda vám k nim nevypršely licence.
- Zabezpečení přístupů: Zpřístupněte systémy a soubory s osobními údaji jen pověřeným zaměstnancům. Zaměstnanci by k přístupům měli používat silná hesla a měli by si je pravidelně měnit.
- Řešení bezpečnostních incidentů: Nastavte si pravidla pro řešení bezpečnostních incidentů a pověřte řešením konkrétní zaměstnance. Všechny soubory s osobními údaji si pravidelně zálohujte pro případ jejich ztráty nebo poškození. Pravidelně ověřujte, jestli jsou zavedená opatření stále dostačující a případně je aktualizujte.
6. Chybějící smlouvy se zpracovateli osobních údajů
Zaměstnavatelé běžně využívají služeb externích spolupracovníků, marketingových agentur, dodavatelů software a poskytovatelů jiných služeb, kterým zpřístupňují osobní údaje. Mnohdy s nimi ale zapomínají uzavřít zpracovatelskou smlouvu, přestože tyto subjekty vystupují jako zpracovatelé osobních údajů.
Jak se chybě vyhnout?
Ověřte si, kterým subjektům zpřístupňujete osobní údaje a jestli jsou v postavení správce nebo zpracovatele. Pokud určujete účel zpracování vy, jde o zpracovatele, což je typické pro dodavatele software či marketingové agentury. U těchto subjektů ověřte, zda máte uzavřenou zpracovatelskou smlouvu. Hledejte v podepsaných smlouvách i obchodních podmínkách odsouhlasených online. Pokud zpracovatelská smlouva chybí nebo nesplňuje požadavky GDPR, uzavřete ji co nejdříve.
Kde hledat více informací?
- § 84 a následující zákona č. 89/2012 Sb., občanský zákoník
- § 316 zákona č. 262/2006 Sb., zákoník práce
- nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES
Další články
Participační práva dětí, aneb „ty nevíš, co je pro tebe dobré“ podruhé
Rozsudek Nejvyššího správního soudu z prosince 2025 vyjasňuje limity participačních práv dětí v opatrovnických řízeních. Zdůrazňuje, že smyslem pohovoru není dítě přesvědčovat, ale citlivě porozumět jeho názoru a respektovat jeho prožívání.
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
