GDPR zasáhne i do zákoníku práce. Na co se musí firmy připravit?

Problematika osobních údajů je v současnosti často skloňovaným pojmem v mnoha oborech lidské činnosti. Obecně lze říci, že mnoho firem si stále neuvědomuje dopady tohoto nového evropského nařízení o ochraně osobních údajů, jež začne platit v květnu letošního roku. Uvědomují si to zaměstnanci?Osobní údaje se stávají důležitou komoditou, platidlem a stále častěji i zdrojem příjmů. Podle odborníků je proto pochopitelné, že Evropská unie v této oblasti přistupuje k výrazné regulaci.

Velmi úzce se přitom nové nařízení o ochraně osobních údajů, známé pod zkratkou GDPR, dotkne i českého zákoníku práce. GDPR totiž předvídá existenci podrobnějších národních úprav mimo jiné právě v oblasti ochrany osobních údajů zaměstnanců.

„Takovou úpravu může představovat například právě zákoník práce, kde hned několik ustanovení se zpracováním osobních údajů přímo souvisí. Sousední Německo například v tomto směru učinilo první kroky – již dávno přijalo nový implementační zákon, který nad rámec GDPR zavádí celou řadu přísných omezení ohledně zpracovávání zaměstnaneckých údajů. Naopak český návrh zákona teprve leží v Poslanecké sněmovně a vzhledem k současné politické situaci možná ani nebude přijat před tím, než GDPR v květnu tohoto roku vstoupí v platnost,“ říká Petr Šabatka z pražské pobočky mezinárodní advokátní kanceláře DLA Piper.

Zpracování osobních dat nad rámec vyžadovaný zákonem již nyní podléhá souhlasu zaměstnance. Podle GDPR již tento souhlas v zásadě nebude možný a bude třeba spoléhat se na zákonné důvody pro zpracování – zákoník práce přitom v této oblasti poskytuje relativně široké pole působnosti, když zaměstnavateli i zaměstnanci stanoví celou řadu povinností, jejichž dodržování se neobejde bez poměrně rozsáhlého zpracování údajů zaměstnanců.

Nepřehlédněte SPECIÁL: GDPR a jeho dopady na firmy

Zaměstnanec navíc bude moci jednoduše podat námitku, v důsledku které by zaměstnavatel musel zpracování dat založené na svých oprávněných zájmech okamžitě přerušit a eventuálně i zcela ukončit.

„To nepochybně naruší některé firemní procesy, především v oblasti HR. Příkladem je sdílení údajů zaměstnanců nadnárodně v rámci skupiny, jejíž HR je většinou centrálně řízeno. Již dle současné právní úpravy je sdílení údajů českých zaměstnanců velmi problematické a vyžaduje jejich souhlas, což bude dle GDPR nahrazeno výše uvedeným právem namítat neoprávněnost takového postupu,“ konstatuje Stanislav Bednář z DLA Piper.

Podobný problém představuje uchovávání databáze životopisů uchazečů o práci – v praxi bude zřejmě nutné se souhlasem uchovat jen životopisy patřící uchazečům, kteří nakonec naleznou v příslušné firmě uplatnění a ostatní budou muset být smazány, ovšem nabízí se i výklad opačný, podle něhož uchazeči nepožívají zaměstnanecké ochrany dle GDPR, a proto by mohli souhlas k uchování svých životopisů po delší dobu udělit.

Jaké změny tedy můžeme očekávat?

Dnes běžný souhlas zaměstnance dle GDPR postačí jen zřídka a ve výjimečných situacích. Fakticky se na něj zaměstnavatelé budou moci spoléhat už jen s obtížemi. „Oprávněný zájem zaměstnavatele na konkrétním zpracování údajů musí být natolik silný, že převáží ztrátu soukromí zaměstnance,“ zdůrazňuje Stanislav Bednář.

V důsledku tohoto takzvaného testu proporcionality bude třeba ještě intenzivněji zvažovat dopady konkrétních opatření do soukromí zaměstnanců a například dát přednost blokování konkrétních internetových stránek před neomezeným monitorováním užívání internetu ze strany zaměstnanců.

„Navíc bude nutná absolutní transparentnost – zaměstnavatel by tak měl před zahájením monitoringu zaměstnanci sdělit podrobné informace o jeho rozsahu. Na druhou stranu české soudy v některých případech zaujaly překvapivě liberální postoj a umožnily i skryté sledování zaměstnanců. Je ale otázkou, nakolik tento výklad přetrvá i po GDPR. Zřejmě ne,“ odhaduje Petr Šabatka další vývoj.

Zaměstnavatel nebude rovněž moci bez dalších kroků ani používat informace o zaměstnancích získané z jejich účtů na sociálních sítích. „To, že jednotlivec souhlasí se zveřejněním svých údajů, neznamená, že jsou k dispozici například pro nábor zaměstnanců nebo pro monitorování dodržování konkurenční doložky. Uchazeč o tomto screeningu musí být předem informován, například přímo v textu inzerátu, a data by měla být smazána hned po vyřazení potenciálního uchazeče,“ pokračuje Stanislav Bednář.

Ovšem i v této oblasti bude podle něj zaměstnavateli ponechán jistý manévrovací prostor, protože různé sociální sítě mají různý účel. A proto profily zaměstnanců na LinkedIn budou pravděpodobně chráněny méně než ty na Facebooku.

Jinde pravidla přitvrdí. „Sledování zaměstnanců mimo pracoviště – kompletní skenování mobilního telefonu či jiného zařízení, včetně soukromých zpráv a souborů, bude vyloučeno úplně. A to i v případě, že se jedná o zařízení zaměstnavatele, které pro soukromé účely používáno vůbec být nemá. Monitoring polohy zařízení a přenesených dat může být za určitých okolností legitimní, například z hlediska antivirové ochrany, ale bude třeba technologiemi rozlišit soukromé a služební užití a zvážit celou řadu dalších aspektů – což ovšem bude relativně složité a navíc nákladné,“ konstatuje Stanislav Bednář.

Monitorování služebních vozidel by podle jeho názoru rovněž mělo být deaktivováno mimo pracovní hodiny nebo při soukromém užití, a to zejména pokud se sleduje nejenom poloha, ale také chování zaměstnance ve vozidle.

„Zaměstnavatel by měl zvážit zakázání soukromého užití pracovní technologie či zařízení, pokud si chce zachovat možnost alespoň omezeného monitorování zaměstnanců, například z bezpečnostních důvodů. Tato obezřetnost bude na místě, zejména pokud skrze zařízení lze získat přístup k velkému množství údajů nebo údajům citlivým, za něž zaměstnavatel nese odpovědnost,“ podotýká advokát DLA Piper.

Sběr informací o zaměstnancích ze strany zaměstnavatele je podle jeho slov již nyní silně omezen a za případná porušení budou nově hrozit přímo drakonické sankce až 20 milionů eur nebo 4 procenta celosvětového obratu. A to zřejmě celé skupiny společností, nikoli pouze konkrétního zaměstnavatele. „Velmi pravděpodobně tak GDPR významně ovlivní pracovněprávní vztahy tak, jak je známe v současné podobě, kdy řada zaměstnavatelů ochranu osobních údajů neřeší z důvodu téměř nulového rizika uložení citelných sankcí,“ předpokládá Stanislav Bednář.

Je GDPR změna k lepšímu?

Podle některých expertů, kteří jsou vzdálení běžné podnikatelské realitě, si zaměstnavatel v současnosti v zásadě nemůže sjednat přístup do e-mailů zaslaných na pracovní e-mailovou adresu zaměstnanců, a to ani v případě jejich úmrtí, odchodu nebo dlouhodobé pracovní nepřítomnosti. Jediná povolená aktivita zaměstnavatele je podle zastánců tohoto pohledu jen zjišťovat počet příchozích a odchozích e-mailů a také komu zaměstnanci píší a od koho e-maily dostávají. A to jen v případě konkrétního podezření.

„Podle jiných názorů není ani možné, aby zaměstnavatel nařídil zaměstnanci pro případ nepřítomnosti ustanovit asistentku nebo jiného kolegu oprávněného ke vstupu do jeho pracovní e-mailové schránky a vyřízení obchodní korespondence. My s tímto extrémním výkladem nesouhlasíme a snažíme se vždy nalézt rozumné řešení prakticky schůdné i pro naše klienty. GDPR v tomto ohledu bohužel nepřináší žádné racionální zjednodušení, a to z důvodu výše uvedené výjimky pro lokální, českou ochranu zaměstnanců,“ podotýká Petr Šabatka.

Důraz na zaměstnanecké soukromí není vlastní pouze českému právu, ale je rozšířen v rámci celé EU a zasahuje až do rozhodovací praxe Evropského soudu pro lidská práva. Ten nedávno vyhověl žalobě rumunského inženýra, který dostal výpověď kvůli dopisování se snoubenkou přes chatovací službu Yahoo Messenger zřízenou výlučně k pracovním účelům.

Zaměstnavatel shromáždil 45 stran soukromé korespondence s jeho snoubenkou a bratrem o zdraví a sexuálním životě a přesto neuspěl, protože se údajně jednalo o důkazy získané v rozporu se soukromím daného zaměstnance, a tedy nelegální. „Není přitom bez zajímavosti, že tentýž soud se v první instanci zaměstnavatele zastal a teprve následně svůj názor zcela změnil. Z hlediska podnikatelů je to velmi problematické, protože právní jistota prakticky neexistuje a navíc se případný spor může protáhnout na deset a více let,“ varuje Stanislav Bednář.

Nedávno došlo k obdobnému rozhodnutí českých soudů, kdy neuspěl provozovatel maloobchodní prodejny, jejíž pokladnu monitorovala kamera z důvodů rizika krádeží. „Takto byl ale zachycen také vedoucí prodejny, který se na pracovišti příliš nezdržuje a pokud ano, tak na pokladně hraje hry nebo se dívá na filmy. Soud se tohoto zaměstnance zastal a výpověď ukončující jeho pracovní poměr označil za neplatnou proto, že kamerový záznam k tomuto účelu údajně použít nelze,“ zmiňuje další příklad Petr Šabatka. GDPR v tomto ohledu podle něj změnu nepřinese, protože sledování zaměstnanců řeší pouze okrajově a nenastavuje tak jasné celoevropské mantinely pro jasné řešení podobných kauz.

Je GDPR revolucí ve světě práva?

I proto se nedomnívá, že by GDPR bylo revolucí ve světě práva. „Je to bohužel pouze evoluce. Řada expertů očekávala zjednodušení stávajících pravidel a jejich revizi s ohledem na moderní technologie. Tato očekávání zůstala z velké části nenaplněna a GDPR v zásadě pouze rozvíjí a zpřísňuje existující regulaci,“ konstatuje Stanislav Bednář.

Zároveň se domnívá, že pro ty firmy a podnikatele, kteří jsou v souladu se současnou legislativou na ochranu osobních údajů, nebude GDPR nepřekonatelnou překážkou. „Někteří advokáti působící v DLA Piper se ochraně osobních údajů věnují již 15 let a s GDPR se podrobně setkali již před čtyřmi lety, když bylo nařízení jen ve formě pouhého návrhu Evropské komise. Tito odborníci tehdy na půdě Americké obchodní komory iniciovali a řídili přípravu připomínek českých podnikatelů a korporací k tomuto návrhu, který byl v té době ještě více byrokratický, nejasný a pro podnikatele zbytečně nákladný,“ vzpomíná Stanislav Bednář.

„Byl to téměř osamocený názor, který za Českou republiku zazněl poté, co příslušná ministerstva naprosto podcenila význam a dopady této normy. Neoslovila ani podnikatelskou komunitu a neposlala EU za Českou republiku téměř žádné připomínky, což je v dramatickém kontrastu s ostatními členskými státy EU, které měly desítky až stovky pozměňovacích návrhů,“ navázal Stanislav Bednář.

Právě na základě iniciativy na půdě Americké obchodní komory se podařilo zohlednit alespoň některé dlouhodobé zkušenosti s ochranou osobních údajů: „Zasadili jsme se o to, že výsledná podoba je jistě přijatelnější pro všechny, kterých se bude týkat. Tedy i pro zaměstnance, i pro zaměstnavatele,“ zmiňuje Stanislav Bednář.

Současné znění GDPR podle něj tyto připomínky z praxe částečně reflektovalo. „Ovšem celková koncepce tohoto nařízení zůstala netknuta: přes 100 stran velmi podrobné právní úpravy, ke které jsou nyní vydávány stovky stran komentářů a prováděcích právních předpisů, představuje pro většinu podnikatelů překážku, k jejímuž zdolání musí hledat externí právní pomoc,“ konstatuje Stanislav Bednář. 

Situace, ve které se firmy ocitly, podle něj není vůbec záviděníhodná. „Skutečných expertů na ochranu osobních údajů je v České republice velmi málo, řádově desítky, a i těch ostatních, tedy průměrných je velký nedostatek. Tato neutěšená situace vznikla také v důsledku nové povinnosti jmenovat zmocněnce pro ochranu osobních údajů, jež dopadne řádově na tisíce podnikatelů a orgánů státní správy i samosprávy. Některé odhady hovoří až o 30 000 pověřencích,“ vypočítává Petr Šabatka.

Jak se firmy mohou co nejlépe připravit

Kromě placených služeb právních kanceláří a expertů na osobní údaje mohou podnikatelé využívat i některé bezplatné prostředky. Základní orientační představu poskytuje například webový nástroj Data Privacy Scorebox, který firmám prozradí i to, jak jsou na tom ohledně GDPR v porovnání s ostatními podniky působícími ve stejném tržním segmentu. Kancelář DLA Piper nabízí mobilní aplikaci o GDPR.

Dalibor Dostál

Doporučujeme