Hlavní navigace

Aktuálně k GDPR z pohledu zaměstnavatelů

Dagmar Kučerová

Obecné nařízení o ochraně osobních údajů (GDPR) je účinné již více než rok. Nyní přibyl další právní předpis, a to zákon o zpracování osobních údajů.

Doba čtení: 4 minuty

Sdílet

Ve všech společnostech (bez ohledu na jejich velikost) by měla na problematiku ochrany osobních údajů dbát minimálně jedna osoba.

Ať už se jedná o zpracování osobních údajů zaměstnanců, zákazníků či klientů. Často se jedná o účetní či personalisty.

Zákon o zpracování osobních údajů

Obecné nařízení GDPR se vztahuje na všechny členské státy Evropské unie. Stanovilo povinnost promítnout některá jeho ustanovení do vnitřního zákonodárství a naopak možnost se od některých ustanovení odchýlit. Ovšem pouze okrajově. A k tomu slouží právě zákon o zpracování osobních údajů (takzvaný adaptační zákon). Tento právní předpis se nepodařilo schválit k datu účinnosti GDPR. Legislativním procesem prošel až v jarním období roku 2019. Nabyl účinností 24. dubna 2019 jako doplněk pro zpracování osobních údajů v České republice.

Na zpracování osobních údajů zaměstnanců nemá zákon o zpracování osobních údajů na rozdíl od GDPR významný vliv. Zákon zavedl nové výjimky u některých povinností správců osobních údajů ve specifických případech. Například se jedná o zpracování osobních údajů pro účely vědeckého či historického výzkumu a zpracování pro statistické účely nebo zpracování osobních údajů novináři. V těchto případech bude redukována informační povinnost.

Zákon rovněž posílil právní postavení subjektů, které budou vymáhat své pohledávky vůči dlužníkům (je možné omezit některá práva subjektů údajů). Dále upravuje organizační záležitosti Úřadu pro ochranu osobních údajů. Zejména může naplno využít potenciál GDPR z pohledu ukládání opatření a sankcí. Což může vést i k zefektivnění justice. Část agendy ze soudní soustavy totiž bude přenesena právě na Úřad pro ochranu osobních údajů.

Malým obcím a příspěvkovým organizacím (např. školám) byla snížena horní hranice pokut v některých případech na 15 tisíc korun, a v některých dokonce až na 5 tisíc korun. Což je samozřejmě v pořádku, na druhou stranu je nespravedlivé, že pravidla neplatí stejně také pro drobné podnikatele a živnostníky. Školy a malé obce, jež zpracovávají rozsáhlé množství často citlivých osobních údajů, mohou tyto údaje zpracovávat, aniž by se obávaly nepřiměřeně velkých sankcí.

Sporné otázky kolem GDPR v personalistice

Přestože se obecným nařízením v mzdovém účetnictví a personalistice řídíme již více než rok, stále existují sporné, dosud nevyjasněné praktické situace. Například v oblasti kopírování osobních dokladů. Zákon o občanských průkazech zakazuje kopírování celých průkazů totožnosti. Doporučuje se tudíž údaje opsat nebo pořídit kopii prostřednictvím šablony, kde bude určitá část průkazu zakryta. Obdobně to platí kupříkladu i pro cestovní pasy. I když se v praxi vyskytují i opačné právní názory.

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Zaměstnavatel, který zaměstnává cizince, je povinen po dobu trvání jejich zaměstnání a další tři roky po jeho skončení vést stanovenou evidenci. Jedná se o číslo cestovního dokladu, název orgánu, jenž jej vydal (nikoli jeho celkovou kopii), povolení k zaměstnání a povolení k pobytu, zaměstnaneckou či modrou kartu, případně kartu převedeného zaměstnance.

Neméně problematické je kopírování rodných či oddacích listů pro účely daňového zvýhodnění. Ačkoliv se podle řady odborníků toto kopírování nedoporučuje, finanční správa na něm většinou trvá. A to v rozporu se zákonem o daních z příjmů, který požaduje pouze prokázání úředním dokladem prokazujícím totožnost dítěte, aniž by specifikoval, o jaký doklad se vlastně jedná. 

Tomuto tématu se server Podnikatel.cz postupně věnoval v článcích:

GDPR si vyžádalo i úpravu interních směrnic

Zaměstnavatelé rovněž v souvislosti s účinností obecného nařízení GDPR upravili interní směrnice pro zpracování osobních údajů zaměstnanců v průběhu pracovněprávního vztahu i po jeho skončení. Opatrní musí být již při výběrovém řízení. Nelze vyžadovat údaje, které bezprostředně nesouvisí s uzavřením pracovní smlouvy. K tomu bylo potřeba upravit i osobní dotazník tak, aby se zde neobjevovaly informace zákonem zakázané (§ 316 odst. 4 zákoníku práce), jako je například těhotenství, rodinné a majetkové poměry, členství v odborových organizacích apod. Osobní dotazníky a další získané údaje neúspěšných uchazečů lze po ukončení výběrového řízení uchovávat pouze se souhlasem uchazečů o zaměstnání. A to pro případné další nabídky práce v budoucnu. Ostatní údaje by měly být bezodkladně zlikvidovány, eventuálně ponechány pouze v přiměřeném rozsahu po nezbytnou dobu pro případ možné žaloby neúspěšného uchazeče o zaměstnání. Čtěte také: Zaměstnavatel a záznamy o činnostech zpracování dle GDPR

Obdobná situace nastává po ukončení zaměstnání. Každý správce osobních údajů je povinen přestat osobní údaje zpracovávat v okamžiku, kdy uplyne poslední účel, který má pro jejich zpracování. V pracovněprávních vztazích je účelem zpracování osobních údajů ze strany zaměstnavatele zpravidla nezbytnost plnit uzavřenou pracovní smlouvu a související právní povinnosti (vést účetní a mzdovou agendu). Jakmile dojde k ukončení pracovního poměru a uzavření související agendy, měl by zaměstnavatel zvážit, zda existuje jiný účel, pro který má nebo může osobní údaje nadále uchovávat, nebo jestli a v jakém rozsahu by měly být vymazány. I pro tento účel je vhodné vypracovat interní směrnici. Více v článku: GDPR a výmaz osobních údajů po skončení pracovního poměru

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).