Sledování zaměstnanců ve firmě nezakáže ani nástup GDPR

V jedné kauze rozhodl Evropský soud pro lidská práva po roce na první pohled rozdílně. Tuzemské firmy si však z případu mohou vzít poučení, jaké chyby neopakovat, aby monitoring pracovníků nebyl nelegální ani po nástupu nového nařízení GDPR.



Když v roce 2016 potvrdil Evropský soud pro lidská práva výpověď, kterou dostal rumunský zaměstnanec Bogdan Mihai Bărbulescu za to, že sociální sítě v zaměstnání využíval pro soukromé účely, zdálo se, že zaměstnavatelé získali do rukou silný nástroj, jak se vypořádat s podobnými pracovníky zneužívajícími pracovní dobu.

Jenže loni jiná instance téhož soudu rozhodla jinak. Jde o revoluční rozhodnutí? „Podle nás jde spíše o evoluci. Svým rozhodnutím z 5. září 2017 Velký senát Evropského soudu pro lidská práva ve Štrasburku („ESLP“) rozhodl, že pokud zaměstnavatel neinformuje zaměstnance o vykonávaném monitoringu jeho elektronické komunikace a dostatečně nezváží míru zásahu do soukromí zaměstnance, porušuje tak zaměstnancovo právo na soukromý a rodinný život,“ vysvětluje Robert Nešpůrek, partner advokátní kanceláře Havel & Partners.

Soukromé použití počítače zakázáno

Proč soud v témže případu rozhodl na různých úrovních odlišně? „Přestože ESLP vydal už několik rozsudků týkajících se ochrany soukromé korespondence na pracovišti, případ Bărbulescu se od ostatních liší tím, že zaměstnavatel na pracovišti výslovně zakázal užívání počítače, telefonu a dalších pracovních pomůcek pro soukromé účely. Tato informace však neobsahovala žádné oznámení o možnosti kontroly ze strany zaměstnavatele,“ doplnil Richard Otevřel z kanceláře Havel & Partners. Čím tedy firma pochybila? „Zaměstnavatel předem neinformoval zaměstnance o možnosti a rozsahu sledování jeho soukromé korespondence na messengeru,“ navázal Richard Otevřel.

Přesto by firmy neměly rozsudek vnímat jen negativně. „Současně jde o přelomový rozsudek v tom smyslu, že poprvé posuzoval činy zaměstnavatele, který není veřejnou institucí. Podstatné je, že ESLP potvrdil, že zaměstnavatel má právo na monitorování komunikace zaměstnanců, pokud k tomu má legitimní důvod,“ zdůraznil Richard Otevřel.

Tímto legitimním důvodem podle něj může být, stejně jako v případě rumunského pracovníka, podezření ze zneužívání pracovních nástrojů k soukromým účelům, nebo například kontrola kvality péče o klienty či nutnost přístupu do e-mailové schránky zaměstnance v době jeho dovolené, pokud to nejde zařídit jinak.

Rozhodující bude, co firma sleduje

Při rozhodování soudů v případě dalších sporů, zda bylo sledování pracovníka legální nebo ne, může mít vliv řada faktorů. „V úvahu je nutné například vzít, zdali je sledován tok komunikace, nebo i její obsah. Nebo zdali byla sledována celá komunikace, nebo pouze její část, či zda byl například omezen počet osob, který měl ke sledované komunikaci přístup. Jinými slovy míra zásahu do soukromí i nadále zůstává relevantní,“ konstatuje Robert Nešpůrek.

Základním předpokladem pro uvažování o zavedení sledování komunikace je však podle něj v intencích rozhodnutí ESLP povinnost zaměstnavatele o těchto nástrojích transparentně zaměstnance informovat. To ostatně již v současnosti ukládá § 316 odst. 3 českého zákoníku práce.

Stejná logika se podle odborníků aplikuje také při posuzování této problematiky skrze evropskou legislativu o ochraně osobních údajů. „Ať už stávající směrnice, respektive český zákon, nebo nové obecné nařízení o ochraně osobních údajů (GDPR) předvídají možnost zpracovávání osobních údajů, což údaje o takovéto komunikaci či komunikace sama zcela jistě je, pro ochranu legitimních zájmů relevantních osob, v tomto případě zaměstnavatele,“ upozorňuje Robert Nešpůrek.

I v takovém případě je podle něj třeba mít na paměti, že takovéto zpracování může probíhat pouze pokud zájmy zaměstnavatele nejsou převáženy základními právy subjektu údajů – zaměstnance, které jsou hodny ochrany. „Z judikatury vrcholných evropských soudů vyplývá, že právo na ochranu soukromí a ochranu osobních údajů jsou základními právy hodnými ochrany, a z pozice zaměstnavatele je tedy potřeba k monitoringu přistupovat obezřetně a transparentně, avšak při zachování efektivity takového postupu,“ podotýká Robert Nešpůrek.

Za zásah do soukromí hrozí pokuty

Těžko obhajitelné by bylo například zjišťování obsahu souborů, například textových dokumentů či e-mailů. „Zde už by se jednalo o značný zásah do soukromí zaměstnanců, který z hlediska prevence není nutný. Výjimkou jsou odůvodněné kontroly, o jejichž možnosti by měli být zaměstnanci informováni například firemní směrnicí,“ potvrzuje expert na ochranu osobních údajů Martin Voborník z advokátní kanceláře Voborník-Nigrini-Kipiel.

Za neadekvátní zásah by firmám mohla hrotit výrazná pokuta. „Pokud by zaměstnavatel například porušil pravidla GDPR spočívající v nelegálním zpracovávání osobních údajů obsažených v soukromé komunikaci zaměstnance, mohou být podle nových sankčních pravidel stanovených GDPR uloženy výrazně vyšší pokuty až do výše 20 milionů eur nebo 4 procent z celosvětového obratu společnosti podle toho, jaká z částek je vyšší,“ upozorňuje Richard Otevřel.

„Firmy budou muset přemýšlet nad tím, jestli nezasahují do soukromí zaměstnanců více, než je třeba. Oprávněným zájmem zaměstnavatele zůstane například zabezpečení dat nebo kontrola využívání firemních prostředků,“ doplňuje Jan Tomíšek, expert na ochranu osobních údajů a soukromí z advokátní kanceláře Rowan Legal.

Podle statistik přitom v současnosti zaměstnanci na pracovišti tráví denně více než hodinu soukromými aktivitami realizovanými na firemním počítači. V některých měsících, například loni před Vánocemi, to bylo dokonce neuvěřitelných 100 minut denně! Účet za zneužívání pracovního času totiž může být vysoký. „Loni v prosinci jeden zaměstnanec v průměru proflákal 5625 korun,“ shrnuje Martin Hnízdil, AuditPro manažer společnosti truconneXion.

Monitorování zaměstnanců GDPR nezruší

Podle něj tak v praktické rovině bude možné i nadále monitorovat, jaké aplikace a typy souborů zaměstnanci na počítači využívají. „Jedině monitoringem lze zabránit svévolnému stažení zavirovaného softwaru či pirátských kopií hudby a filmů, které mohou firmu kriminalizovat z pohledu autorských práv. Schopnost prokázat, jaký uživatel se dopustil například stažení nelegálního softwaru nebo hudby, je žádoucí,“ dodává Martin Hnízdil.

Sledování využívání kancelářských aplikací či tiskáren bude i nadále možné za účelem zjištění, jak efektivně jsou firemní software a hardware vytíženy. „Účelem sledování je zjistit, jak zaměstnanci využívají instalovaný software nebo tiskárnu, které by případně mohly být použity jinde. Tedy nikoli monitoring obsahu, ale frekvence využívání, například spuštění aplikace nebo vytištění dokumentu,“ vysvětluje Martin Hnízdil.

Oprávněný zájem by se ale těžko hledal pro plošný monitoring klávesnice za účelem zjištění, co dotyčný píše nebo vytváří v aplikaci. „To by byl opět zásadní zásah do soukromí zaměstnanců, pro který není obyčejně zákonný důvod. Výjimkou mohou být namátkové kontroly, jejichž účelem je preventivně zamezit například zneužívání počítačů,“ dodává Martin.

Nejistota trvá dál

Start GDPR nemusí být jen nutné zlo, jak jej většina firem vnímá, ale i příležitostí, jak zlepšit ochranu firemních dat. Související legislativa totiž firmám dává oporu v oblasti prevence ztráty či zneužití dat. „Naprosto v souladu s GDPR je kontrola provozu firemní počítačové sítě a aktivní snaha zabránit protiprávnímu chování, například stahování nelegálního obsahu. Tato opatření zamezují možné ztrátě či úniku dat a slouží jako jasný důkaz, že firma se aktivně snaží plnit své zákonné povinnosti,“ shrnuje Martin Hnízdil.

Ani loňský rozsudek evropského soudu však podle odborníků nedá českým podnikům potřebnou jistotu, zda jejich kroky v této oblasti jsou stoprocentně správné. „Předpokládáme, že toto rozhodnutí výrazným způsobem neovlivní současnou nejistotu ohledně legálního monitoringu zaměstnanců v České republice způsobenou i některými rozhodnutími pracovněprávního senátu Nejvyššího soudu ČR. Posuzování intenzity střetu práva na soukromí se zájmy zaměstnavatelů tak nadále bude zaměstnávat nejen samotné zaměstnavatele, ale i jejich právní poradce,“ uzavírá Robert Nešpůrek.

Dalibor Dostál 

Jak vznikla kauza Bărbulescu

Zaměstnanec Bogdan Mihai Bărbulescu byl se zákazem obsaženým v interní směrnici opakovaně seznámen formou oznámení zaslaném všem pracovníkům. Kromě tohoto oznámení obdržel o několik dní později výzvu k podání vysvětlení v souvislosti s užíváním internetu pro soukromé účely. Výzva rovněž zahrnovala obsah jeho soukromých zpráv. Na základě tohoto prokázaného porušení interní směrnice zaměstnavatel Bărbulesca propustil. Bărbulescu u ESLP namítal, že došlo k porušení práva na rodinný a soukromý život, když zaměstnavatel monitoroval jeho soukromou korespondenci v rámci aplikace Messanger Yahoo, ve které si založil účet za účelem plnění pracovních povinností. Argumentoval zejména tím, že účet byl založen jím osobně, že k němu měl přístupové údaje pouze on a že tak nemohl očekávat, že zaměstnavatel bude kontrolovat konverzaci i v rámci tohoto účtu. Měl tedy mít „rozumnou míru očekávání soukromí“, které je Úmluvou – konkrétně článkem 8 – chráněno. Právě porušení čl. 8 Úmluvy ESLP shledal. Zaměstnavatel totiž předem neinformoval zaměstnance o možnosti a rozsahu sledování jeho soukromé korespondence.

Doporučujeme