Hlavní navigace

Soukromí zaměstnanců je nedotknutelné. Musíte ho zachovávat i ve firmě

Zdeněk Vesecký

Zaměstnavatelé nejsou ve firmách neomezenými vládci. Musí ctít soukromí svých zaměstnanců. GDPR jim příliš bedlivý dohled nad prací zaměstnanců omezí.

Doba čtení: 6 minut

I zaměstnanci mají právo na soukromí a jeho ochranu. A to dokonce i v případech, kdy se svým soukromým aktivitám věnují v práci nebo na zaměstnavatelem propůjčených zařízeních. Zaručuje jim to i GDPR.

Jenže právě zaměstnanci představují v ochraně osobních údajů jedno z největších rizik a ani sebelepší opatření nebude schopné zabránit tomu, aby zpracovávaná osobní data, o která v GDPR jde, neohrozili právě zaměstnanci. A nemusí to být vůbec záměrně. Stačí, aby si v dobrém úmyslu vzali práci domů nebo se připojili na internet někde v kavárně při čekání na pracovní schůzku. Je proto důležité všechny zaměstnance řádně proškolovat, seznamovat se všemi možnými riziky a přijmout opatření. Ta ovšem musí být taková, aby na jednu stranu chránila zpracovatele osobních údajů, ale na druhou nesmí zasahovat do práv zaměstnanců.

I s tím je v nařízení GDPR počítáno, ale v samotném evropském nařízení to není, ostatně jako v řadě jiných případů, uvedeno zcela jednoznačně. To teď udělala až pracovní skupina WP29, která vydala své doporučení k této problematice.

Psali jsme: Narušíte soukromí zaměstnance, uhradíte milion. Sankce hrozí i od inspekce práce

Ctěte soukromí i v pracovních aplikacích

Certifikace TLS, DLP nástroje prevence úniku dat sledující odchozí komunikaci za účelem odhalení možných úniků dat, firewally nové generace a systémy zabezpečení sítě UTM, které mohou poskytovat řadu monitorovacích technologií včetně hloubkové inspekce paketů, filtrování webových stránek a obsahu a tak dále. Možností, jak preventivně bránit úniku dat, je celá řada. Je jen na zaměstnavateli, pro kterou se rozhodne. Monitorování elektronické komunikace na pracovišti, ať už jde o surfování po internetu, používání e-mailu, telefonu nebo instant messagingu, je ale tradičně považováno za hlavní hrozbu pro soukromí zaměstnanců. A stejně se na to dívá i pracovní skupina WP29. Svá práva přece mají zaměstnavatelé i zaměstnanci.

V některých případech je například sledování zaměstnanců umožněno ne v důsledku instalace specifických technologií, ale prostě proto, že se od zaměstnanců očekává, že budou používat aplikace poskytnuté zaměstnavatelem, které zpracovávají osobní údaje. Příkladem je využívání kancelářských aplikací v cloudu, třeba rozšířené textové editory, kalendáře nebo sociální sítě. Podle výkladu WP29 by zaměstnancům mělo být umožněno, aby si v nich mohli vytvořit určitá soukromá místa, kam se zaměstnavatel mimo výjimečné okolnosti nedostane. To je důležité třeba v případě kalendářů často používaných i pro záznamy soukromých termínů a událostí. Pokud zaměstnanec nějakou schůzku označí jako soukromou nebo to uvede v záznamu samotném, pak by zaměstnavatelům ani jiným zaměstnancům nemělo být dovoleno do takového záznamu nahlížet.

Dalším příkladem je situace, kdy zakázanému používání komunikačních služeb může být zabráněno blokováním určitých webových stránek. Pokud je možné webové stránky místo neustálého sledování veškeré komunikace zaměstnanců blokovat, mělo by být zvoleno blokování. Prevence by měla mít přednost před detekcí. Zájmy zaměstnavatele je ostatně stejně lepší chránit předcházením zneužití internetu než vynakládáním úsilí na zjišťování nepovoleného chování zaměstnanců.

Mohlo by vás zajímat: Nejasnosti kolem výjimky z GDPR pro malé firmy. Nakonec ji využije jen málokdo

Vedle zabezpečených přístupů mějte jeden free

V řadě firem se dnes k zabezpečení používají TLS/SSL certifikáty. Jejich hlavním úkolem je šifrování online komunikačních toků a odhalování čehokoliv nežádoucího. Jenže tyto certifikáty také dokážou zaznamenávat a analyzovat veškerou činnost zaměstnance v podnikové síti. A to z pohledu zaměstnance není tak docela v pořádku. Zaměstnavatel sice může tvrdit, že je v jeho zákonném zájmu chránit svou síť a v ní se nacházející osobní údaje jiných zaměstnanců nebo zákazníků proti neoprávněnému vstupu nebo úniku, sledování veškeré činnosti zaměstnanců v online prostředí ale představuje nepřiměřené řešení a zásah do práva na důvěrnost komunikace. Co tedy s tím?

Zaměstnavatel by měl podle doporučení WP29 nejprve prozkoumat jiné a méně invazivní prostředky k ochraně dat a zabezpečení sítě. Vzhledem k tomu, že ale zabezpečení provozu TLS/SSL může být opravdu nezbytné, mělo by být zařízení konfigurováno způsobem předcházejícím neustálému logování zaměstnancovy činnosti. A to například blokováním podezřelého příchozího nebo odchozího provozu a přesměrováním uživatele na informační portál, kde může požádat o přezkum takového automatizovaného rozhodnutí. Bude-li nějaké obecné logování přece jen považováno za opravdu nezbytné, mělo by být nastaveno tak, aby nedocházelo k ukládání logů, pokud není signalizován výskyt nějakého incidentu. Zachycené informace by pak měly být shromažďovány pouze v minimálním rozsahu.

Pokračujte na: Hlídáte areál své firmy a pracoviště kamerami? Pak vás čekají nové povinnosti

Ideálním řešením této dvousečné situace je nabídnout zaměstnancům možnost využít jiný nemonitorovaný přístup. Nejsnadněji to je možné vyřešit volnou WiFi sítí nebo jiným samostatným zařízením, kdy zaměstnanci mohou uplatnit své právo používat pracovní zařízení k některým soukromým potřebám. Je totiž potřeba myslet na verdikt Evropského soudního dvora, kdy soud konstatoval, že e-maily odesílané z obchodních prostor a informace získané z monitorování používání internetu by mohly být součástí soukromého života zaměstnance a jeho korespondence, a že sběr a uchovávání takových informací bez vědomí dotyčného zaměstnance by představovalo zásah do jeho práv. A to i tehdy, kdy soud nerozhodl, že takové sledování by v demokratické společnosti nikdy nebylo potřebné.

Ptejte se odborníka v poradně Mzdové účetnictví a personalistika
PhDr. Dagmar Kučerová
poradkyně pro mzdové účetnictví

Zaměstnavatelé musí zavést uživatelskou politiku spolu se zásadami ochrany soukromí. Zaměstnanci by měli vždy vědět, jaký druh komunikace je ve firmě monitorován a za jakým účelem. Informace o tom by měly být obsaženy ve snadno, kdykoli a všem přístupném dokumentu, jehož součástí by měla být i jasná specifikace přípustného a nepřípustného využívání sítě a zařízení. V některých zemích bude tato uživatelská politika dokonce vyžadovat souhlas podnikové rady nebo podobného orgánu zastupujícího zaměstnance.

Pokud například zaměstnavatel instaluje systém prevence úniku dat k automatickému sledování odchozích e-mailů jako prevenci neoprávněného přenosu dat, na něž se vztahují vlastnická práva, musí jeho zavedení být plně odůvodněno v zájmu dosažení náležité rovnováhy mezi legitimními zájmy a základním právem na ochranu osobních údajů zaměstnanců. A to i v případě, že je zákonným zájmem zaměstnavatele chránit osobní údaje zákazníků i svůj majetek před neoprávněným přístupem nebo datovým únikem. Aby se zaměstnavatel mohl opřít o zákonné zájmy, měl by nejprve provést opatření ke zmírnění rizik. Například by zaměstnancům mělo být zcela jasné, podle jakých pravidel systém klasifikuje e-mail jako možné porušení bezpečnosti dat, a v případě, že e-mail, který má být odeslán, je rozpoznán jako možný únik dat, měl by o tom systém odesílatele varovnou zprávou informovat ještě před odesláním, aby měl možnost přenos zrušit.

K tématu GDPR dále čtěte: Chybějící zpracovatelské smlouvy. Dlouhodobý prohřešek firem má napravit GDPR

WT 100 tip v článku obecný

Monitoring práce z domova je neobhajitelný

Velkým rizikem jsou oblíbené home office. Zaměstnanci, kteří mají vzdálený přístup k firemní infrastruktuře, nejsou obvykle vázáni fyzickými bezpečnostními opatřeními, která mohou být k dispozici v prostorách pracoviště. Zaměstnavatelé se mohou oprávněně domnívat, že bez zavedení náležitých technických opatření roste riziko neoprávněného přístupu, které může skončit ztrátou nebo zničením informací. Někteří proto přistupují k instalaci softwaru, který umí například logovat údery kláves a pohyby myší, náhodně nebo v zadaných intervalech ukládat otisk obrazovky, logovat užití aplikací, a někdy dokonce i sledovat provoz prostřednictvím webové kamery a sbírat záznamy z ní.

WP29 ale upozorňuje, že takové zpracování, které s sebou tyto technologie nese, je zcela nepřiměřené a je velmi nepravděpodobné, že by byl právní důvod založený na oprávněném zájmu zaměstnavatele, například k záznamu úderů kláves a pohybů myší, které zaměstnanec provedl. Je důležité, aby riziko v důsledku práce z domova nebo na dálku bylo ošetřeno proporcionálně a nepřehnaně, ať už je výběr nabídnut jakýmkoliv způsobem a za použití jakékoliv technologie, zvláště pokud jsou hranice mezi služebním a soukromým používáním nejisté.