Porušení zabezpečení osobních údajů při odeslání datové zprávy do datové schránky nesprávného adresáta
Pokud je do datové schránky nesprávného adresáta doručena zpráva, která obsahuje jakékoliv osobní údaje, nejedná se podle čl. 33 a 34 GDPR o porušení povinností takového adresáta. Danou oznamovací povinnost má obecně správce nebo zpracovatel osobních údajů (tedy ten, kdo datovou zprávu odeslal). Je však vhodné oznámit odesílateli, že jde v daném případě o nesprávné doručení, neboť z jeho strany se o porušení zabezpečení údajů jednat může a při opakovaném výskytu by měl přijmout vhodná opatření.
Právní důvod pro zpracování osobních údajů zaměstnance při poskytování benefitů
Při poskytování benefitů zaměstnavatel (organizace) zpracovává osobní údaje zaměstnance, a to na základě dohody / smlouvy o poskytnutí benefitu/ů. Při čerpání benefitu zaměstnancem dochází k účelnému zpracování osobních údajů v souvislosti s poskytovaným benefitem, tj. i k předání osobních údajů zaměstnance dalšímu příjemci, poskytovateli služby, pokud je jím benefit zajišťován. Právním důvodem pro předmětné zpracování je článek 6 odst. 1 písm. b) Nařízení GDPR, tedy plnění smlouvy, a to i v případě, že k poskytnutí benefitu se zaměstnavatel zavázal v kolektivní smlouvě či právo na benefity stanovil v rámci vnitřního předpisu zaměstnavatele. V závislosti na různých druzích benefitů je nutné podle čl. 13 Nařízení GDPR poskytnout zaměstnancům adekvátní informaci o nutném předání osobních údajů poskytovateli benefitu a též i o rozsahu, v jakém budou předány.
Monitorování služebních vozidel pomocí GPS
Monitorování služebních vozidel při pracovních cestách pomocí GPS v rozsahu a způsobem potřebným pro ochranu a správu majetku je oprávněným zájmem zaměstnavatele (jedná se o zpracování osobních údajů dle čl. 6 odst. 1 písm. f) Nařízení GDPR).
V případě využívání služebního vozidla zaměstnancem k soukromým účelům (druh benefitu) je třeba upravit vzájemná práva a povinnosti prostřednictvím dohody / smlouvy o použití služebního vozidla. Zaměstnanec by měl být na použití GPS sledování upozorněn (v rozsahu informace podle čl. 13 Nařízení GDPR). Využije-li zaměstnanec služební vozidlo i v rámci svých soukromých aktivit, je nadále oprávněným zájmem zaměstnavatele chránit svůj majetek prostřednictvím GPS. Pokud podmínku zaměstnavatele ohledně GPS zaměstnanec neakceptuje, nedojde k uzavření smlouvy o použití vozidla, a zaměstnanec nebude oprávněn předmětný benefit čerpat.
Zaměstnavatel je oprávněn zpracovávat osobní údaje v rámci účelu, pro který byly shromážděny, tj. zejména za účelem ochrany a správy majetku, vedení evidence jízd (knihy jízd), kterou je zaměstnavatel povinen vést k prokázání daňové uznatelnosti výdajů na pohonné hmoty, oprávněnosti odpisů auta či pro prokázání bezpečnostních přestávek zaměstnanců. Zaměstnavatel však nesmí zpracovávat osobní údaje k intenzivní či stálé kontrole (zaměstnanců), která by byla v rozporu s § 316 odst. 2 a 3 zákona č. 262/2006 Sb., zákoník práce.
Kontrola elektronické pošty a přenosu dat
Dle ustanovení § 316 zákona č. 262/2006 Sb., zákoník práce, zaměstnanci nesmějí bez souhlasu zaměstnavatele (organizace) užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele vč. výpočetní techniky ani jeho telekomunikační zařízení.
Dodržování zákazu je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat. Za přiměřené lze považovat např. to, když zaměstnavatel sleduje množství a velikost odeslané a přijaté pošty zaměstnancem nebo domény navštívených internetových stránek. V případě zavedení sledovacích nástrojů je však zaměstnavatel povinen o tom zaměstnance přímo informovat.
Poskytování informací o výši platu, mzdě či odměně zaměstnance veřejné správy
Účelem zákona č. 106/1999 Sb., o svobodném přístupu k informacím, je umožnit veřejnosti realizovat právo na informace ve vztahu k orgánům státní správy a územní samosprávy. Toto pravidlo by se mělo vztahovat i na poskytování informací o výši platu, mzdě či odměně zaměstnanců těchto orgánů – to ovšem neplatí absolutně, protože informace o platu, mzdě či odměně zaměstnance jsou osobním údajem a tím pádem podléhají jisté ochraně. Zákon č. 101/2000 Sb., o ochraně osobních údajů, obecně vyžaduje souhlas subjektu daného údaje, tj. zaměstnance veřejné správy, jehož výše platu, mzdy či odměny by měla být zveřejněna nebo zpřístupněna. Zpracovávání osobních údajů bez tohoto souhlasu je možné jen na základě zákonných výjimek.
Limity žádostí o poskytnutí informace o platu, mzdě či odměně zaměstnance dle § 8b zákona o svobodném přístupu k informacím, stanovil ve svém nálezu Ústavní soud v roce 2017, kde mimo jiné hovoří o dostupnosti takové informace, subjektu v roli tzv. společenského hlídacího psa či veřejném zájmu.
Platy, mzdy a odměny nejsou obecně přístupné, podané žádosti o poskytnutí informace o výši platu, mzdě či odměně zaměstnance veřejné správy je vyhověno (na základě provedeného „platového“ testu proporcionality), pokud se jedná o veřejný zájem, např. hospodárnost nakládání s veřejnými prostředky (může vzniknout konkrétní podezření, že určitý zaměstnanec s ohledem na osobní, politické či jiné vazby je za svou práci odměňován nadstandardně nebo je odměňován za práci, která není vykonávána).
Do problematiky poskytování informací o platu a odměnách zaměstnance se promítlo i Nařízení GDPR. Nařízení GDPR je ale zaměřeno na ochranu osobních údajů a má tedy opačný účel než úprava umožňující poskytování informací o platu, mzdě či odměně. Nařízení GDPR však nebrání poskytování informací a připouští národní zákonné úpravy (na poskytování informací o platu nebo odměně lze vztáhnout oprávnění vyplývající z plnění zákonné povinnosti).
Právo na výmaz – jaké údaje lze ponechat a jaké je třeba smazat
Dle Nařízení GDPR má subjekt údajů právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z důvodů dle čl. 17 Nařízení GDPR – Právo na výmaz („právo být zapomenut“).
Osobní údaje, které si správce může ponechat:
Osobní údaje, které správce musí smazat:
Osobní údaje vyžadované potenciálním zaměstnavatelem v rámci výběrového řízení na zaměstnance
Zaměstnavatel (organizace) smí dle ustanovení § 30 odst. 2 zákona č. 262/2006 Sb., zákoník práce, vyžadovat v souvislosti s jednáním před vznikem pracovního poměru od fyzické osoby, která se u něj uchází o práci, jen údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy.
Údaje relevantní pro potenciálního zaměstnavatele jsou informace vztahující se ke kvalifikaci, pracovní praxi, dovednostem a znalostem uchazeče o zaměstnání. Obdobné ustanovení obsahuje i § 12 odst. 2 zákona č. 435/2004 Sb., o zaměstnanosti, který stanovuje, že zaměstnavatel nesmí při výběru zaměstnanců vyžadovat informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace, není-li jejich vyžadování v souladu se zvláštním právním předpisem, dále informace, které odporují dobrým mravům, a osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem. Na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje.
Stěžejní pravidla výběrového řízení na zaměstnance z pohledu ochrany osobních údajů:
Nakládání s osobními údaji při zajištění BOZP a PO
Při zajišťování bezpečnosti a ochrany zdraví při práci a požární ochrany zaměstnavatel (organizace) zpracovává osobní údaje zaměstnanců. Zaměstnavatel je povinen zabezpečit osobní údaje zaměstnanců bez ohledu na to, zda si plnění povinností BOZP a PO zajišťuje sám (svým zaměstnancem), nebo prostřednictvím externí společnosti.
Ve většině případů je zpracování osobních údajů při zajištění BOZP a PO nezbytné pro plnění právní povinnosti (tj. existuje právní důvod zpracování osobních údajů). V případech, když zpracování osobních údajů není podloženo právním důvodem (např. zveřejnění fotografie znázorňující porušení požadavku k zajištění BOZP, na které je možné zřetelně identifikovat konkrétní fyzickou osobu), je nezbytné si ke zpracování osobních údajů od subjektu údajů vyžádat souhlas splňující požadavky GDPR.
V rámci pracovních úrazů se GDPR vztahuje pouze na osobní údaje o živých fyzických osobách, při šetření smrtelného pracovního úrazu se GDPR neuplatňuje.
Porušením GDPR není zveřejnění jmen a příjmení členů preventivní požární hlídky vyvěšením požárního řádu na pracovišti, a to i na veřejně přístupném místě, neboť se jedná o požadavek právního předpisu (viz § 31 odst. 4 vyhlášky Ministerstva vnitra č. 246/2001 Sb., o požární prevenci). Porušením GDPR ale je např. vyvěšení pouhého seznamu členů hlídky s uvedením pracoviště jejich působnosti bez jejich uděleného souhlasu.
Dobu uchovávání dokumentů vztahujících se k BOZP a PO řeší Spisový a skartační řád organizace, v některých případech je doba uchování upravena přímo právním předpisem, např.:
Frekvence školení zaměstnanců v oblasti ochrany osobních údajů
Obecně je doporučeno proškolit zaměstnance v oblasti ochrany osobních údajů v rámci vstupního školení pro nové zaměstnance – nastupující zaměstnanec standardně vždy projde základním vstupním školením, tj. BOZP, požární ochrana, IT školení atd., k těmto školením lze tedy přidat i ochranu osobních údajů.
U současných zaměstnanců je doporučeno školení v oblasti ochrany osobních údajů provádět 1x ročně. V případě změny právní úpravy je vhodné uspořádat pro zaměstnance mimořádné školení v oblasti ochrany osobních údajů.
Uvedení rodného čísla účastníka smluvního vztahu ve smlouvě
Používání rodného čísla definuje zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů. Podle § 13 odst. 9 tohoto zákona je rodné číslo oprávněna užívat nebo rozhodovat o jeho využívání v mezích stanovených zákonem výlučně fyzická osoba, které bylo rodné číslo přiděleno (nebo její zákonný zástupce); jinak lze rodné číslo využívat jen v případech stanovených v § 13c tohoto zákona.
Pro smlouvy uzavírané podle zákona č. 89/2012 Sb., občanský zákoník, (např. pro kupní smlouvu), občanský zákoník použití rodného čísla pro identifikaci účastníka smluvního vztahu nevyžaduje. Na základě § 3019 občanského zákoníku by měla být identifikace v těchto případech provedena zejména souborem údajů: jméno, příjmení, bydliště a datum narození, popřípadě identifikujícím údajem podle jiného právního předpisu, což je nejen podle občanského zákoníku množina údajů postačují ke zjištění identity člověka.
V jiných případech, jestliže zákon uvedení rodného čísla ve smlouvě nevyžaduje, avšak pokud je záměrem správce osobních údajů využít smlouvy uzavírané se zaměstnanci nebo zákazníky i jako prostředek shromažďování rodných čísel pro následné využívání rodných čísel pro účel stanovený zákonem správci, je možné ve smlouvě uvést rodné číslo. V případě, že nositel rodného čísla s uvedením rodného čísla v takové smlouvě nesouhlasí, je povinen sdělit rodné číslo pro zákonem stanovené využívání rodných čísel jiným způsobem. To platí pro pracovní smlouvu uzavíranou podle § 33 až 39 zákona č. 262/2006 Sb., zákoník práce, pokud by měla sloužit jako prostředek shromažďování rodných čísel pro jejich následné zákonem stanovené využívání zaměstnavatelem na základě § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění, § 25 zákona č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, a § 46 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení.
Kopie dokladů totožnosti
Podle zákona č. 328/1999 Sb., o občanských průkazech (§ 15a Nakládání s občanským průkazem odst. 2), je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana. Provádění kopií občanských průkazů je tedy považováno za závažné porušení ochrany osobních údajů a musí být podloženo výslovným dobrovolným souhlasem subjektu údajů (souhlas musí být v rozsahu dle Nařízení GDPR). Dle našich zkušeností z praxe ochrany osobních údajů doporučujeme nepořizovat kopie osobních dokladů, a to ani na základě uděleného souhlasu (souhlas bude vždy zpochybnitelný (podřízené postavení žadatele) a odvolatelný).
V případě nezbytného pořízení a uchování kopie dokladu totožnosti subjektu údajů, doporučujeme vždy na kopii osobního dokladu ponechat pouze osobní údaje relevantní pro dané účely zpracování (doporučujeme doklad totožnosti vložit do „obálky“ obsahující okénka pouze pro relevantní osobní údaje a vytvořit kopii jen požadovaných osobních údajů).
Ochrana osobních údajů v souvislosti se zákonem o registru smluv
Zákon č. 340/2015 Sb., o registru smluv, neobsahuje samostatnou úpravu týkající se osobních údajů – v § 3 odst. 1 zákon odkazuje na právní předpisy upravující svobodný přístup k informacím (zákon č. 106/1999 Sb., o svobodném přístupu k informacím, který svůj vztah k osobním údajům vymezuje zejména v § 8a). Je proto nutné vycházet z obecné úpravy ochrany osobních údajů stanovené zejména Nařízením GDPR a zákonem o zpracování osobních údajů. Osobní údaje je možné zpracovat / uveřejnit jen na základě některého z právních titulů vymezených v čl. 6 Nařízení GDPR. Pokud ke zpracování osobních údajů jejich zveřejněním není k dispozici právní titul, je nezbytné osobní údaje v dané smlouvě anonymizovat. Ve výjimečných případech lze uvažovat i o souhlasu dotčené osoby s takovýmto zpracováním jejích údajů.
Nařízení GDPR ale nezná právní titul pro zpracování oprávněně zveřejněných osobních údajů, tak jak tomu bylo v zákoně o ochraně osobních údajů. Bez jiného právního titulu tak není možné osobní údaje, které jsou veřejné podle jiného zákona, uveřejňovat v registru smluv.
ÚOOÚ doporučuje vzhledem k právní úpravě zpracování osobních údajů dle Nařízení GDPR, aby povinné subjekty přijaly taková opatření, která zabrání neoprávněnému uveřejňování osobních údajů v registru smluv (tj. nastavení mechanismu anonymizace smluv a metadat). Rozsah osobních údajů, které mohou být v registru smluv uvedeny, je uveden v Metodickém návodu Ministerstva vnitra ČR k aplikaci zákona o registru smluv (více informace naleznete zde).
Osobní údaje uvedené na dotačních programech
Čerpá-li zaměstnavatel dotaci z dotačního programu, pak se nejedná o zpracování osobních údajů na základě souhlasu, nýbrž na základě právního předpisu. Zaměstnavatel by měl zaměstnance informovat, že se jeho údaje zpracovávají v rámci dotačního programu či že se předávají dotačnímu orgánu nebo např. krajské pobočce Úřadu práce. Jedná se však o informaci, nikoliv o souhlas.
Personální agenda – archivace a skartace spisů zaměstnanců
Vedení a archivace personální agendy musí korespondovat se schváleným Spisovým a skartačním plánem původce (organizace). Pokud jsou položky z oblasti personalistiky ve Spisovém a skartačním plánu organizace uvedeny pod samostatnými spisovými znaky, musí je zaměstnanci organizace i takto ukládat a nelze je vkládat do spisu, který má spisový znak a skartační režim jiný než zbytek dokumentů (viz vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby).
Osobní spis zaměstnance organizace má být koncipován jako typový spis s více součástmi – je chápán jako složka zaměstnance bez skartačního režimu, do které budou vkládány k němu se vážící dokumenty se svými skartačními režimy. Tyto dokumenty se budou průběžně ze složky zaměstnance skartovat poté, co jim uplynou přidělené skartační lhůty. Vyskartováním posledního dokumentu osobní spis zaměstnance zanikne.
Mzdová agenda – zpracování, archivace a skartace mzdových a účetních dokladů
Mzdovou agendu, tj. doklady, které byly zaměstnavatelem (organizací) vytvořeny či získány při zpracování mezd zaměstnanců a týkající se sociálního a zdravotního pojištění zaměstnanců, odvádění daní atd., je nutné uchovávat po dobu určenou zákonem:
Z výše uvedeného tedy vyplývají jednotlivé lhůty pro archivaci složek mzdové agendy:
Za nedodržení archivačních lhůt a provedení skartace může být zaměstnavatel sankciován, proto je třeba věnovat nastavení archivačního systému řádnou pozornost.
Zveřejňování informací o přítomnosti zaměstnanců organizace na pracovišti
Některé organizace v návaznosti na transparentnost činností a dostupnost služeb poskytovaných občanům zveřejňují na webových stránkách organizace (prostřednictvím docházkového systému organizace) informace o přítomnosti či nepřítomnosti jednotlivých zaměstnanců organizace na pracovišti. Takové zveřejnění osobních údajů představuje nedůvodný zásah do práv subjektů údajů (zaměstnanců organizace) na ochranu jejich osobního a soukromého života a není proto v souladu se základními zásadami vyjádřenými v čl. 5 Nařízení GDPR.
Zveřejnění informace o přítomnosti zaměstnance organizace na pracovišti navíc nevede k vyšší informovanosti veřejnosti. Občan z uvedené informace pouze zjistí, že konkrétní zaměstnanec organizace je v danou chvíli přítomen v zaměstnání. Zveřejněná informace ovšem nezaručuje přítomnost zaměstnance organizace na jeho pracovišti po celou pracovní dobu.
Evidence kontaktních údajů
Součástí některých formulářů organizace mohou být navíc i doplňující údaje, mezi které patří kontaktní údaje osob (subjektu údajů), např. telefon, e-mailová adresa, datová schránka atd.
V případě, že neexistuje žádný právní základ zpracování těchto osobních údajů, který by explicitně vyžadoval sběr doplňujících kontaktních osobních údajů, je jejich vyplnění ve formuláři nepovinné a dobrovolné. Subjekt údajů zároveň svým podpisem zodpovídá za jejich správnost. V případě existence takových formulářů (pokud se jedná o editovatelný formulář) doporučujeme ve formuláři uvést informaci o dobrovolnosti poskytnutí těchto osobních údajů jakožto nepovinných položek formuláře.
V případě Vašeho zájmu jsme připraveni provést kontrolu Vašich formulářů a pomoci Vám s formulací vhodné informace o dobrovolnosti poskytnutí osobních údajů.
Nástroj pro anonymizaci dokumentů
Ministerstvo vnitra ČR bezplatně nabízí zaměstnancům orgánů veřejné moci nástroj pro anonymizaci dokumentů. Pomocí tohoto anonymizačního nástroje zaměstnanci organizace jednoduše a rychle provedou anonymizaci smluv organizace, které pak vloží do registru smluv.
Anonymizační nástroj naleznete na webové stránce https://anonymizace.gov.cz/crossroad/. Pro přihlášení do anonymizačního nástroje je nutné znát přihlašovací údaje do datové schránky organizace nebo JIP (Jednotný identitní prostor Czech POINT).
Dodatečné úpravy již uveřejněných smluv v centrálním registru smluv
Podle zákona č. 340/2015 Sb., o registru smluv, je vždy nutné provést anonymizaci smluv uveřejněných v registru smluv. Dodatečné úpravy uveřejněných smluv je možné dělat maximálně do tří měsíců od jejich zveřejnění s tím, že s novým zveřejněním se mění také účinnost smlouvy. Po 25.5.2018 však začalo docházet k dalším zjištěním nesprávné anonymizace uveřejněných smluv. V mnoha případech se ukázalo, že v registru smluv neprobíhala řádná anonymizace osobních údajů a že je potřeba tyto nedostatky napravit.
Níže uvádíme možný postup, jak provést dodatečnou anonymizaci osobních údajů, aniž by došlo ke změně účinnosti zveřejněné smlouvy.
„Opakované uveřejnění z důvodu ochrany osobních údajů, původní uveřejnění bylo provedeno dne …“; pozor, vlastní předmět smlouvy vhodně zkraťte, aby se Vám vešel do kolonky (celkem 255 znaků) včetně věty o opakovaném uveřejnění.
Poskytování informací dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím
Při zveřejnění poskytnuté informace nemají být zveřejněny identifikační údaje žadatele – fyzické osoby bez jeho souhlasu. Povinný subjekt, který vyřizuje žádost o poskytnutí informace, je oprávněn zpracovávat osobní údaje žadatele pouze za účelem vyřízení žádosti, nikoli pro účely jejich zveřejňování. Doporučuje se žádosti o informace nezveřejňovat, a zveřejnit pouze odpovědi (a to bez identifikačních údajů žadatele).
Stejně tak je potřeba případně provést anonymizaci osobních údajů uvedených v poskytnuté informaci, např. při zveřejnění smlouvy o poskytnutí právní pomoci (jméno, příjmení, adresa pobytu, rodné číslo) – žadateli o poskytnutí informace byly sice vydány oprávněně, ale jejich zveřejněni na internetu pro předem neurčitý okruh osob by mohlo narušit jejich právo na ochranu osobnosti a osobních údajů těchto osob ústavně nepřiměřeným způsobem. Podle Stanoviska MV ČR je nutné upřednostnit ochranu osobních údajů a zveřejnit pouze doprovodnou informaci.
Zabezpečení osobních údajů
Je potřeba věnovat pozornost pracovnímu prostředí zaměstnanců ve vztahu k dokumentům, kterém mají ve své správě. Nemělo by docházet k situaci, kdy zaměstnanci, které v rámci výkonu činnosti navštěvuje veřejnost, mají na stole či jinde volně přístupné dokumenty. Jedná se o riziko úniku neveřejných informací (minimálně v rozsahu jméno, příjmení a samotná informace o existenci tohoto řízení ve vztahu k identifikovatelné fyzické osobě).
Anonymizace smluv v registru smluv
Při zveřejnění smluv v registru smluv je potřeba provést anonymizaci osobních údajů. Ministerstvo vnitra ČR vydalo Metodický návod k aplikaci zákona o registru smluv – metodickou pomůcku k anonymizaci zveřejňovaných dokumentů – především smluv v registru smluv, na profilu zadavatele nebo na webových stránkách, ale jako metodický návod může posloužit i pro obecná pravidla anonymizace ostatních typů dokumentů. Jedná se o aktualizovanou Metodiku MV ČR, která se zaměřuje na aplikaci zákona o registru smluv, ale na stranách 53-54 je formou tabulky velmi přehledně popsáno, které položky je a není nutné před zveřejněním anonymizovat. Zároveň nám dovolte Vám připomenout, abyste při anonymizaci nezapomínali ani na přílohy smlouvy nebo např. notářské doložky.
Metodický návod k aplikaci zákona o registru smluv, který vydalo MV ČR, naleznete zde.
Kamerový systém organizace
Je potřeba zajistit, že kamerové systémy nepořizují záběry ze soukromých prostor, např. kamery míří do oken domů.
Kompletní informace z oblasti ochrany osobních údajů naleznete zde.
Poznámka: Zdrojem výše uvedených informací jsou nejen znalosti a zkušenosti společnosti Equica, a.s. v oblasti ochrany osobních údajů, ale také webové stránky Úřadu pro ochranu osobních údajů (www.uoou.cz) a webové stránky Ministerstva vnitra České republiky (www.mvcr.cz).