Pokud v rámci své podnikatelské činnosti zaměstnáváte lidi, již dávno se vás dotýká ochrana osobních údajů vašich zaměstnanců tj. pracovněprání vztahy. Nařízení GDPR některé povinnosti ještě zpřísňuje. Málokdo ovšem ví, že zpracovávat data a chránit osobní údaje je nutné i u bývalých zaměstnanců a uchazečů o práci. Jak a proč, na to se podívám v dnešním článku.
Uchazeči o práci
Hledání nového zaměstnance ve většině případů začíná zveřejněním inzerátu na inzertních serverech. Jedním z požadavků na uchazeče je zaslání životopisu, který ale již obsahuje osobní údaje. Pokud tedy životopis dostanete, není nutné pro účely rozhodování o přijetí mít se zpracováním osobních údajů výslovný souhlas. Je to určité jednání o budoucí smlouvě/dohodě.
Pokud se vám přihlásí 5 zájemců a vy vyberete jednoho z nich, měli byste životopisy a případně další sesbírané informace ostatních uchazečů fyzicky zlikvidovat - vymazat z PC, skartovat papírové dokumenty atd. Pokud si budete chtít tyto sesbírané informace uchovat pro případnou další nabídku zaměstnání v budoucnu, měli byste k tomu již získat souhlas daného adepta. Samozřejmě nejlépe v písemné podobě. V souhlasu uvedete kdo bude data zpracovávat (společnost), v jakém rozsahu, proč a jak dlouho např. 3 roky. Nezapomeňte na poučení, že má dotyčný právo kdykoliv souhlas odvolat.
Pokud pro přípravu pracovní smlouvy nebo z důvodu prověření dané osoby vyžadujete kopii občanského průkazu, tuto kopii vždy můžete pořídit pouze s výslovným souhlasem dané osoby. Ideálně opět písemným. Co se týká citlivých údajů jako jsou náboženské vyznání, sexuální orientace apod., tyto údaje dle dostupných informací (od právníků) zpracovávat nelze.
Současní zaměstnanci
Pokud již máte zaměstnance, musíte dle některých zákonů osobní údaje dokonce zpracovávat povinně. V těchto případech se jich nemůžete “zbavit” ani v případě výzvy ze strany zaměstnance s požadavkem na tzv. zapomenutí os. údajů. Mezi tyto zákony patří zákony týkající se evidence sociálního a zdravotního pojištění, podkladů pro výpočet mezd apod. Ke zpracování těchto osobních údajů není nutný souhlas zaměstnance. Poučení o zpracování osobních údajů by měla obsahovat každá nová pracovní smlouva, ale u stávajících smluv bude nutné zajistit dodatky.
Marketing
Velice zajímavou kapitolou při ochraně osobních údajů ve vztahu k zaměstnancům je oblast marketingu společnosti. Většina firem dnes používá k propagaci kromě firemních stránek také sociální sítě a další média. Jak je to tedy s uveřejňováním fotografií a videí na Facebook (a na další sociální sítě) z firemních akcí, večírků, školení atd.?
Z právního hlediska, jak jsem se dozvěděl, je velmi ošemetné prokázat získání “dobrovolného” souhlasu s takovým marketingem u zaměstnanců. Lze totiž předpokládat, že nemusí jít o dobrovolný souhlas ve vztahu firma x zaměstnanec. Hrozí zde reálná obava: “Když nebudu souhlasit, šéf mě vyhodí.” Proto ani obecný souhlas v pracovní smlouvě nemusí být právně v pořádku a tuto problematiku doporučuji konzultovat s odborníky.
Tyto souhlasy by tedy měly být získávány citlivě formou: "Budeme se fotogravovat, kdo nesouhlasí není to povinné." nebo "Pojďme si udělat společnou fotografii. Kdo chce být na fotografii. apd."
Je ovšem dle nařízení do budoucna zřejmé, že pokud např. zaměstnanec po odchodu z firmy požádá o smazání (zapomenutí) osobních údajů, budete si moci ponechat zákonem stanovené údaje (viz výše), nicméně byste například měli vymazat fotografie ze sociálních sítí, na kterých se tato osoba nachází. Z praktického hlediska to může být velice komplikované nebo často dokonce nerealizovatelné.
Sledování zaměstnanců
V některých společnostech se používají různé technické prostředky na sledování zaměstnanců. Ať jsou skutečné důvody jakékoliv, využívání takovýchto programů a řešení spadá taktéž do GDPR problematiky. Mluvím zde o kamerových systémech monitorujících různá pracoviště, GPS lokátory instalované do firemních vozidel, monitorování práce zaměstnanců na počítačích apod.
Obecně lze říci, že by se takovéto systémy měly využívat k ochraně majetku a k zajištění bezpečnosti a ne ke sledování toho, zda si někdo v pracovní době hraje piškvorky nebo hodinu denně kouří na balkóně. V těchto případech je nutné poučit zaměstnance o možnosti takovéhoto monitoringu a pracovní smlouva by také měla vymezovat pracovní povinnosti lidí na jednotlivých pozicích. Pokud pak někdo takováto pravidla poruší, hrozí mu například výpověď z důvodu porušení pracovní smlouvy.
Po ukončení pracovního poměru
Z předchozího textu je zřejmé, že i po skončení pracovního poměru ukládají zákony i nadále zpracovávat vybrané osobní údaje. Ostatní informace, které mi zákon nenařizuje evidovat, by měly být smazány nebo fyzicky skartovány. Může jít o pracovní složku zaměstnance s různými podpůrnými materiály a informacemi.
Předchozí díl je zde: GDPR – procesy ve firmě a ochrana dat – 5. část
Pokračování série je zde: GDPR – co když data uniknou – 7. část