Strana 45

GDPR

epravo.cz

běžných opatření (např. šifrování nebo pseudonymizace údajů) nebo následných opatření (viz čl. 34 odst. 3 nařízení GDPR). Vyžadovalo-li by oznámení nepřiměřené úsilí, subjekty údajů mohou být informovány pomocí veřejného oznámení nebo podobného opatření. S ohledem na nové výše uvedené povinnosti správců se zaměstnavatelům doporučuje připravit a zavést, např. v rámci manuálů a různých interních politik zpracování osobních údajů, postup při ohlašování a oznamování porušení zabezpečení osobních údajů, včetně rozdělení rolí a odpovědnosti mezi jednotlivé zaměstnance, přípravy formulářů ohlašování a oznamování, zaškolení zaměstnanců či posouzení možných následných opatření pro jednotlivé případy.

Z hlediska zaměstnavatelů je důležitá také informace, že nařízení GDPR v čl. 88 umožňuje členským státům přijmout pro kontext pracovněprávních vztahů konkrétnější pravidla zpracování osobních údajů. Zatím se zdá, že český zákonodárce této možnosti nevyužije, nicméně členské státy mají možnost oznámit Evropské komisi přijatá pravidla až do dne účinnosti nařízení GDPR, tj. do 25. května 2018. Do té doby by měl být v České republice přijat nový zákon o zpracování osobních údajů, který nahradí původní zákon a naváže na nařízení GDPR. Je tedy potřeba případné novinky v této oblasti nadále sledovat.

•

.................................................................................................................... JUDr. Michaela Mackovičová, advokátka JUDr. Michaela Hájková, LL.M., advokátka HOLEC, ZUSKA & Partneři

Pozor na mnohem vyšší sankce Neméně podstatnou a praktickou je také informace, že možná výše sankcí za porušení povinností se výrazně zvýší – dnes je možné uložit pokutu do 10 mil. Kč, od účinnosti nařízení GDPR to bude až do 10 mil. eur či 2 % celkového ročního světového obratu v případě méně závažných porušení a až do 20 mil. eur či 4 % celkového ročního světového obratu u závažnějších porušení povinností.

Zaměstnavatelé coby správci Specificky zaměstnavatele nutno upozornit na stanovisko pracovní skupiny WP29, která se v tomto dokumentu z června 2017 vyjadřuje ke zpracování osobních údajů v rámci pracovněprávních vztahů. Ačkoliv obsažená doporučení a vodítka nejsou závazná, zmíněný poradní orgán tvoří zástupci dozorových úřadů členských států EU, proto lze vyjít z toho, že takto budou pravděpodobně ze strany těchto úřadů povinnosti vyplývající z nařízení GDPR v budoucnu vykládány. Pracovní skupina zdůraznila důležitost základních principů zpracování, zejména nutnost dostatečného právního důvodu pro zpracování osobních údajů zaměstnanců (souhlas subjektu údajů nebo jiný zákonný důvod) a transparentnost a přiměřenost zpracování. Dále ze stanoviska vyplývá, že zamýšlí-li zaměstnavatel použít jakoukoliv monitorovací technologii nebo aplikaci,[7] původně třeba zaměřenou na ochranu před únikem dat zaměstnavatele, která by nicméně mohla „sledovat zaměstnance“, měl by zvážit přiměřenost zaváděných opatření, ale také kroky, které by omezily dopad těchto opatření na soukromí zaměstnanců.[8] Namístě je i předchozí posouzení vlivu zamýšleného zpracování osobních údajů (monitorovací aktivity), tzv. DPIA. Také se doporučuje, aby zaměstnavatel zavedl pravidla upravující povolené užívání jeho zařízení a sítí, která by zároveň poskytla zaměstnancům podrobné informace o zpracování osobních údajů, k němuž na pracovišti, případně i mimo něj, dochází. Ohledně osob ucházejících se o zaměstnání stanovisko uvádí, že zaměstnavatelé by neměli automaticky užívat sociálních sítí k jejich prověřování, nicméně učiní-li tak v případě, že je to nezbytné a důležité pro výkon práce, měli by minimálně případné kandidáty na danou skutečnost upozornit.

Poznámky: [1] Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále v tomto textu jako „nařízení GDPR“. [2] Nařízení GDPR výslovně zdůrazňuje také právo subjektu údajů na odvolání souhlasu se zpracováním osobních údajů a právo podat stížnost u dozorového úřadu. [3] Dostupné zde: https://www.uoou.cz/pracovni-skupina-wp29-vydala-tri-dokumenty-k-obecnemu-narizeni-o-ochrane-osobnich-udaju/d-21750. Pracovní skupina WP29 je složena z vedoucích zástupců dozorových úřadů členských zemí Evropské unie, jejímž úkolem bylo mj. přispívat k jednotnému uplatňování národních úprav členských států. Účinností nařízení bude transformována na Evropský sbor pro ochranu osobních údajů. [4] Nutno mít na paměti, že zaměstnavatel dle ust. § 316 odst. 4 písm. e) zákoníku práce nesmí vyžadovat od zaměstnance informace o členství v odborové organizaci, nicméně tato informace mu může být poskytnuta z iniciativy zaměstnance či odborové organizace. [5] Povinnost jmenovat pověřence vzniká dle čl. 37 odst. 4 nařízení GDPR také v dalších případech, kdy to vyžaduje právo Evropské unie nebo členského státu, nicméně takové specifické případy zatím v platném právu upraveny nejsou. [6] Dostupné zde: https://www.uoou.cz/pracovni-skupina-wp29-vydala-tri-dokumenty-k-obecnemu-narizeni-o-ochrane-osobnich-udaju/d-21750 [7] V této oblasti je aktuálně zajímavý rozsudek Evropského soudu pro lidská práva, konkrétně tzv. Velkého senátu, který rozhodl odchylně od původního rozhodnutí Senátu, ve věci rumunského zaměstnance Barbulescu týkající se sledování jeho elektronické komunikace zaměstnavatelem. Dle tohoto rozsudku by zaměstnavatel měl před započetím monitorování komunikace upozornit zaměstnance na tuto možnost a na povahu monitorování. Zaměstnavatel by také měl mít konkrétní legitimní důvod pro monitorování komunikace, přičemž monitorování by mělo představovat přiměřené opatření. Nakonec, používání pracovní elektronické komunikace pro soukromé účely zaměstnancem nemusí být automaticky dostatečným důvodem pro výpověď z pracovního poměru. [8] Z hlediska českého právního řádu nesmí být případné monitorování zaměstnanců v rozporu ani s ust. § 316 odst. 1 až 3 zákoníku práce.