Víte, v čem zaměstnavatelé dělají velké chyby při plnění svých povinností podle GDPR? Je to právě informační povinnost vůči zaměstnanci! Navíc po něm chtějí souhlas v rámci pracovní smlouvy, a to je chyba.
Pokud bychom měli zmínit jednu věc, ve které zaměstnavatelé při plnění povinností dle GDPR většinou pokulhávají, byl by to způsob, jakým plní jako správci svoji povinnost informovat zaměstnance o tom, jak zpracovávají jejich osobní údaje. Nezřídka se tak stále setkáváme s vynucováním souhlasu se zpracováním osobních údajů pro účely plnění pracovněprávního vztahu, jejž zpravidla nalezneme ještě jako součást jiného dokumentu, zejména pak pracovní smlouvy.
Svoji vinu na tom nese pravděpo dobně skutečnost, že celý internet je plný „zaručených“ vzorů informační dokumentace (či nesprávně souhlasů), které nebyly vytvořeny plně v souladu s čl. 13 GDPR či Pokyny WP29 k transparentnosti a které zaměstnavatelé velmi často rádi využívají z toho důvodu, že jsou krátké a zdarma.
Zaměstnavatelé pak velmi často zapomínají na požadavky čl. 12 GDPR, a sice že veškeré informace by měly být zaměstnancům sděleny co nejvíce srozumitelným jazykem s minimem těžko uchopitelných právních pojmů, kterým někdy nerozumějí ani sami zaměstnavatelé.
Pozor na volně dostupné vzory informační dokumentace, ne vždy jsou v souladu s GDPR
Napomenutí pro zaměstnavatele
V tomto článku se blíže podíváme na to, za co si jeden řecký zaměstnavatel vysloužil dne 6. 9. 2024 od tamního úřadu napomenutí.
Na počátku celého případu stojí stížnost zaměstnankyně společnosti Nikos Lazaridis Ovge S.A., v níž upozorňovala na několik prohřešků v oblasti zpracování osobních údajů svého zaměstnavatele. Pokud chtěl člověk v dané společnosti pracovat, musel podepsat několik dokumentů předložených zaměstnavatelem, aniž by byl řádně informován o tom, jak budou jeho osobní údaje zpracovávány. Podpisové martyrium pak bylo zakončeno udělením souhlasu se zpracováním osobních údajů, který však neobsahoval bližší požadavky dle čl. 7 a 13 GDPR. Sama zaměstnankyně ve své stížnosti naznačila to, co jsme již na těchto stránkách několikrát rozebírali, a sice že kvůli významnému nepoměru mezi zaměstnancem a zaměstnavatelem nelze považovat souhlas za platný.
V dokumentaci pak zaměstnavatel měl pochybit tím, že velmi často využíval obratů jako „může být zpracováno“ či „zaměstnanec souhlasí se zpracováním osobních údajů“. Zaměstnanci tak vlastně ani nevěděli, jestli dané zpracování probíhá a kdo má skutečně k osobním údajům přístup. Dokumentace navíc neobsahovala údaje o účelech či právních titulech zpracování. Zaměstnankyně tak upozorňovala úřad na to, že ze strany zaměstnavatele došlo k porušení zásady transparentnosti. Samotné dokumenty si mezi sebou různě odporovaly, protože libovolně zaměňovaly právní tituly mezi jednotlivými účely, čímž zaměstnavatel definitivně docílil jediného efektu, že zaměstnance místo řádného informování jednoduše zmátl.
Zaměstnankyně tak nabyla pocitu, že její osobní údaje nebudou v dobrých rukou. To se jí potvrdilo v okamžiku, kdy zaměstnavatel zasílal její citlivé osobní údaje do firemní e-mailové schránky, přestože jej upozornila na to, že si nepřeje, aby k takovým údajům mělo přístup IT oddělení za městnavatele, a přeje si dostávat informace nesouvisející s prací na svůj soukromý e-mail. Zaměstnankyně se tak domnívala, že zaměstnavatel se dopustil porušení zásady důvěrnosti a integrity osobních údajů, protože nezajistil, aby k daným osobním údajům neměly přístup třetí osoby. Ostatně jako jeden z bodů své stížnosti zaměstnankyně uvedla, že zaměstnavatel přistupoval bez jejího vědomí (a tedy neoprávněně) k jejímu počítači, což považovala za zásah do svých práv.
Své pochybení pak zaměstnavatel stvrdil tím, že na přímou žádost zaměstnankyně v rámci práva na přístup, kde se dožadovala kopií svých osobních údajů (v kompletní podobě), dostala pouze částečnou, téměř vyhýbavou odpověď. Zaměstnankyně si přála obdržet výsledky lékařských testů (včetně testů na covid-19), pracovní podpisy, korespondenci či komunikaci mezi ní a zaměstnavatelem v pracovněprávních otázkách, ale nedočkala se ničeho.
Pokud zpracování probíhá na základě pracovní smlouvy, nemůžete chtít souhlas od zaměstnanceance souhlas
Společnost v řízení před dozorovým orgánem uváděla, že všechny osobní údaje byly zpracovávány v souladu s plněním pracovněprávních úkolů a že společnost přijala veškerá nezbytná opatření jak po právní, tak technické stránce. Na závěr pak zaměstnavatel uvedl, že ve skutečnosti veškeré operace zpracování probíhaly kvůli tomu, že byly nezbytné pro plnění pracovního poměru. A právě zde narážíme na jeden z problémů.
Úřad totiž dal zaměstnankyni v tom to za pravdu a v zásadě uvedl, že pokud zaměstnavatel používal pojmy jako „souhlas“ či „souhlasím“, vytváří taková informace dojem, že zaměstnanec poskytl se zpracováním osobních údajů souhlas, přestože právním titulem byla nezbytnost pro splnění smlouvy. Totéž pak platí o používání pojmů jako „může být zpracováno“. Stejně tak úřad uvedl, že opírat se v takových případech o souhlas nelze.
I když v případě stížnosti na nedostatečné zabezpečení osobních údajů úřad nezjistil dostatečné důkazy, v případě nevyhovění právu na přístup (a neposkytnutí požadovaných kopií) dle úřadu zaměstnavatel selhal.
Předmětná společnost se tentokrát pokutě vyhnula, nicméně úřad jí nařídil, aby veškeré zpracovatelské postupy do tří měsíců napravila a poskytla zaměstnankyni požadované údaje.
Jak plníte informační povinnost?
Z tohoto případu byste si měli odnést, že k plnění povinností dle zásady transparentnosti byste neměli přistupovat liknavě. Chyba na začátku v rámci nesprávného informování totiž může v případě zaměstnance, který je dostatečně motivován svému zaměstnavateli „zatopit“, eskalovat do stížnosti a jednotlivé prohřešky vůči GDPR pak začnou vyplývat na povrch. Každý zaměstnavatel by tak měl bedlivě zkontrolovat, zda v této otázce neselhává.
Comments