Přestože historie právní úpravy ochrany osobních údajů sahá v České republice do počátku devadesátých let a od roku 2000 je tato právní úprava plně harmonizována s komunitárním právem, je téma ochrany osobních údajů v řadě společností stále tématem obávaným. Některé společnosti buď ochranu osobních údajů neřeší vůbec, jiné se ji naopak řešit snaží, avšak podnikají řadu zbytečných kroků a proces zpracování osobních údajů si sami zbytečně administrativně ztěžují.
Osobním údajem je třeba rozumět jakýkoliv údaj, na základě kterého může být konkrétní osoba určena nebo je určitelná (například jméno, příjmení, údaj o zdravotním stavu, rodné číslo). Zaměstnavatel by k osobním údajům zaměstnanců měl přistupovat jako k vlastnictví zaměstnanců, které má pouze propůjčené k určitým, předem daným a zákonem stanoveným účelům. Je povinen respektovat zásadu přiměřenosti a shromažďovat o zaměstnanci pouze údaje, které potřebuje ke své činnosti. Je třeba mít na paměti, že údaje získané pro určitý účel není možné slučovat s údaji získanými k jinému účelu. Údaje je třeba pravidelně aktualizovat a nepotřebné údaje odstraňovat. Všichni zaměstnanci zaměstnavatele a jiné fyzické osoby přicházející do styku s osobními údaji zaměstnanců jsou povinni zachovávat mlčenlivost, jež trvá i po skončení zaměstnání. Zaměstnavatel je povinen zaměstnance informovat o všech podstatných aspektech zpracování dat a dále jim umožnit, aby se seznámili s osobními údaji, které o nich shromažďuje, ti mají právo žádat jejich opravu. Osobní údaje zaměstnanců musí být odpovídajícím způsobem zabezpečeny, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k nim, k jejich změně, zničení, ztrátě, neoprávněným přenosům, neoprávněnému zpracování a aby se předešlo jejich zneužití. Navíc musí zaměstnavatel zajistit, aby osobní údaje zaměstnanců byly zpřístupňovány pouze oprávněným osobám, které s údaji bezprostředně potřebují pracovat, tj. například účetním nebo personalistům.
Zaměstnavatel může od zaměstnanců vyžadovat jen osobní údaje, které jsou nezbytné pro plnění jeho povinností (např. dle zákoníku práce, zákona o zaměstnanosti, zákona o daních z příjmu). Tyto povinnosti spočívají zejména ve výpočtu mzdy, podávání hlášení správám sociálního zabezpečení a zdravotním pojišťovnám, vypracování daňového přiznání zaměstnance, plnění povinnosti zaměstnávat určitý počet osob se zdravotním postižením apod. Pro plnění těchto povinností potřebuje zaměstnavatel zejména jméno, příjmení, datum narození, rodné číslo, trvalé bydliště. K takovému zpracování nepotřebuje souhlas zaměstnance a nemusí o tom předem informovat Úřad na ochranu osobních údajů (dále jen „Úřad“). Pokud by zamýšlel zpracovávat další údaje, je třeba získat informovaný souhlas každého zaměstnance a plnit oznamovací povinnost vůči Úřadu.
Od zájemců o zaměstnání lze vyžadovat jen údaje, které bezprostředně souvisí s uzavřením pracovní smlouvy. Nesmí se jednat zejména o bezdůvodné získávání informací ohledně některého z kritérií, které by mohlo být označeno za diskriminační (např. věk, etnický původ, národnost, sexuální orientace, náboženské vyznání). Pro hodnocení výkonu zaměstnance může zaměstnavatel shromažďovat např. hodnotící formuláře, údaje o navštívených školeních, reference od zákazníků. Pro zabezpečení bezpečnosti a ochrany zdraví při práci je navíc nutné, aby zaměstnavatel měl informaci o tom, zda zaměstnanec je práce schopen či ne, případně zda existují omezení a je třeba přizpůsobit pracovní podmínky. Pro plnění povinného podílu osob se zdravotním postižením na celkovém počtu zaměstnanců musí zaměstnavatel disponovat informacemi o zdravotním znevýhodnění zaměstnanců. Zaměstnavatel je oprávněn vyžadovat jen informaci, zda zaměstnanec je či není osobou zdravotně znevýhodněnou. V obou uvedených případech je však dostačující pouze obecná informace a nelze vyžadovat bližší informace o zdravotním stavu zaměstnance.
Předložení výpisu z rejstříku trestů může zaměstnavatel od zaměstnance vyžadovat jen tehdy, odůvodňuje-li to povaha práce, např. zaměstnanec přichází do styku s peněžními prostředky.
Velmi často také dochází k předávání osobních údajů zaměstnanců mezi zahraniční mateřskou a českou dceřinou společností. V rámci Evropské unie je předávání osobních údajů možné bez omezení. V ostatních případech je předání údajů do zahraničí možné jen v zákonem předvídaných případech nebo s povolením Úřadu.
Zaměstnavatel by měl ohledně ochrany osobních údajů ve společnosti přijmout vnitřní předpis upravující jaké osobní údaje, v jakém rozsahu a pro jaké účely shromažďuje, kdo a v jakém rozsahu bude mít k nim přístup, způsob a pravidla nakládání s osobními údaji, jejich zabezpečení, aktualizaci a archivaci a postup při jejich odstraňování, postupy a způsoby dokumentace přijatých opatření. Navíc je vhodné deklarovat, jakým způsobem zaměstnavatel získává a zpracovává osobní údaje a zdůraznit, že zaměstnavatel shromažďuje jen údaje nezbytné ke své činnosti a že v případě nutnosti shromažďovat osobní údaje nad tento rámec si vyžádá souhlasu dotčených zaměstnanců.
Převzato z magazínu PLUS, časopisu Česko-německé obchodní komory (ČNOPK). Autor: Martina Parusová Zímová, advokátka; Drahomír Tomašuk, advokát (advokátní kancelář Kocián Šolc Balaštík)
