Menu

Důvěřuj, ale prověřuj? GDPR zpřísňuje monitoring zaměstnanců

Koho a za co platím? Tráví zaměstnanci pracovní dobu skutečně prací, nebo prohlížením sociálních sítí? Dodržují bezpečnostní postupy? Zacházejí zodpovědně s firemním majetkem? Nepoškozují dobré jméno společnosti?

Na řadu podobných otázek zaměstnavatelům odpoví moderní technologie, ať už jde o kamerové systémy, různý monitorovací software, ale třeba i veřejně dostupné informace na sociálních sítích. Ale pozor, jak už asi správně tušíte, využívat tyto prostředky není jen tak. A to obzvlášť ve světle blížícího se nařízení GDPR. Podívejme se na základě interpretačních vodítek pracovní skupiny WP29 na některé základní aspekty právního rámce, který bude tuto oblast upravovat.

Na straně zaměstnance dnes stojí jednak ochrana podle zákoníku práce, jednak ochrana osobních údajů, zabraňující především zásahům do zaměstnancova soukromí některými příliš invazivními metodami. Jak se různé „sledovací“ technologie rozvíjejí, vzrůstá úměrně i potřeba této zaměstnancovy ochrany. Nařízení GDPR ochranu osobních údajů (nejen) zaměstnanců v některých ohledech dále zpřísní, a posílí tak jejich postavení vůči zaměstnavateli.

Souhlas zaměstnance nestačí

Každý zaměstnavatel k legálnímu zpracování osobních údajů svých zaměstnanců potřebuje mít, jako kterýkoliv jiný správce osobních údajů, zákonný důvod.

V souvislosti s tím je třeba myslet na určitá specifika spočívající především v nerovném postavení mezi oběma stranami. Zaměstnanec je zpravidla v závislém postavení na hospodářsky silnějším zaměstnavateli.

Důsledkem závislého postavení je, že každý zaměstnavatel by se měl v rámci zpracování osobních údajů vyhnout používání zaměstnancova souhlasu jako zákonného důvodu, protože poskytnutí souhlasu nemusí být chápáno jako svobodné. Zaměstnancova obava před zhoršením pracovních podmínek nebo jiných negativních následků v případě neposkytnutí souhlasu či jeho následného odvolání totiž může jeho vůli při rozhodování zásadně ovlivnit, a souhlas by tak nebyl udělen podle nařízení platně. Více jsme o této problematice psali zde.

Kdy má zaměstnavatel „oprávněný zájem“?

Zaměstnavatelé by proto měli osobní údaje zpracovávat především na základě ostatních zákonných důvodů, jako je oprávněný zájem zaměstnavatele. Ten je na místě například v případě kontroly dodržování zákazu užívání firemního majetku pro soukromé účely. Tento zákonný důvod má ale zároveň nejméně jasnou hranici, která bude dotvářena až na základě rozhodnutí v konkrétních případech. Doporučujeme proto důsledně dodržovat zásadu přiměřenosti a vždy pečlivě zvážit, zda mohu svůj zájem jako zaměstnavatel postavit nad zájem svých zaměstnanců na ochranu soukromí. O zajímavém právním sporu z Černé Hory si přečtěte zde.

Jako další zákonné důvody v úvahu připadají nezbytnost pro plnění zaměstnavatelových právních povinností (například vedení mzdového účetnictví, řádné placení daní a pojistného, ale i vedení evidence pracovních úrazů a nemocí z povolání obsahující citlivé údaje o zdravotním stavu zaměstnance) či nezbytnost údajů pro plnění smlouvy se zaměstnancem (údaje potřebné k uskutečnění výplaty, například zaměstnancovo číslo účtu).

Shromažďujte jen údaje, které potřebujete

Během trvání pracovního poměru si zpravidla zaměstnavatel vede o svých zaměstnancích tzv. osobní spisy. Ty ale nemohou obsahovat kterékoliv osobní údaje, ale jen ty, které jsou nezbytné pro výkon práce. Nejčastěji tak bude osobní spis tvořit životopis, pracovní posudek od předchozího zaměstnavatele, pracovní smlouva, mzdový výměr, potvrzení o dosaženém vzdělání, absolvovaných kurzech a školeních, dohoda o hmotné odpovědnosti. Do tohoto spisu pak mohou nahlížet pouze v zákoně uvedené osoby a samozřejmě konkrétní zaměstnanec jako subjekt osobních údajů.

Zaměstnavatel by se měl vyhnout především shromažďování údajů nesouvisejících se samotným výkonem práce, zejména pak citlivých údajů, například o sexuální orientaci či náboženském vyznání. Zároveň by měl spis náležitě zabezpečit proti neoprávněným přístupům či únikům dat. Samozřejmostí je pak uchovávat zmíněné údaje pouze po nezbytně nutnou dobu.

Sociální sítě: Zakázané ovoce?

Lidé o sobě na sociálních sítích často zveřejňují velice citlivé informace, navíc mnohdy veřejně přístupné. Pro zaměstnavatele je pochopitelně lákavé tyto informace využít, aby zjistil, koho se chystá zaměstnat, nebo už dokonce zaměstnává. Stále se ale jedná o zaměstnancovy osobní údaje, které smí zaměstnavatel zpracovat pouze na základě některého ze zákonných důvodů a jen za určitých okolností. Takovým důvodem bude nejčastěji oprávněný zájem zaměstnavatele, který však bude možné uplatnit pouze u takových zaměstnání, kde budou i zaměstnancovy osobní projevy v jeho soukromí hrát významnou roli. O takovém zpracování bude muset být potenciální i stávající zaměstnanec náležitě informován, například již v inzerátu s pracovní nabídkou.

Důležité je rozlišovat, zda je daný profil zaměřen profesně – například LinkedIn, nebo se jedná o profil soukromé povahy – typicky Facebook. U soukromých účtů bude muset zaměstnavatelův postup být ještě opatrnější a zpracovávání zde obsažených údajů se spíše nedoporučuje.

V každém případě bude muset být zaměstnavatel schopný prokázat, že se jedná o ten nejméně invazivní způsob, o kterém byl subjekt náležitě dopředu informován, a že je na zaměstnavatelově straně dostatečně silný zájem převyšující zájem na ochranu soukromí.

Jako příklad si lze představit situaci, kdy zaměstnavatel bude kontrolovat dodržování konkurenční doložky či mlčenlivosti u bývalého zaměstnance právě sledováním jeho profesního profilu. To vše za předpokladu, že o tom byl zaměstnanec při podpisu takové doložky informován.

Kamery na pracovišti

Sledování pracovníků pomocí kamerových systémů pořizujících záznam zákoník práce připouští za předpokladu, že zaměstnavateli svědčí závažný důvod spočívající ve zvláštní povaze jeho činnosti. O oprávněné užití tak půjde v případě ochrany majetku zaměstnavatele, zajištění bezpečí na pracovišti, kontroly docházky či dodržování technologických postupů. To vše ale jen za předpokladu, že sledovaného účelu nelze dosáhnout jiným, méně invazivním způsobem, například osobní kontrolou vedoucími zaměstnanci.

Důvodem pro umístění kamer na pracovišti naopak nebude monitoring za účelem sledování výkonnosti zaměstnanců či řádného plnění pracovních povinností, a to i v případě, že by k tomu zaměstnanci dali souhlas. Nelze sledovat ani všechny prostory bez výjimky, například v šatnách, odpočívárnách či na toaletách budou kamery zpravidla nepřípustné jako příliš velký zásah do soukromí. Pracovní skupina dále nedoporučuje využívat tzv. videoanalýzu, která umožňuje automatizovaně sledovat výraz v obličeji pracovníka či změny v jeho pohybech, a hodnotit tak třeba jeho výkonnost, typicky u opakujících se činností v průmyslové výrobě a podobně.

Doprovodnou povinností je pak informování zaměstnanců o rozsahu a účelu zpracování takto získaných osobních údajů a také o tom, jak budou údaje zpracovány, kdo a jakým způsobem k nim bude mít přístup. Doporučuje se také zaměstnancům sdělit, které prostory jsou monitorovány, v jakých časech, zda je záznam uchováván a jak dlouho.

To, že byl každý zaměstnanec informován, doporučujeme písemně zaznamenat a nechat každého zaměstnance podepsat. Pozor ale, takový zaměstnancův podpis nelze vykládat jako jeho souhlas se zpracováním.

Kontrola nad home office

Home office je mezi zaměstnanci populární, ale pracují z domova skutečně stejně svědomitě jako na pracovišti? Nejsou firemní data v nebezpečí? Pro mnohé zaměstnavatele je proto lákavé služební počítač takového zaměstnance monitorovat a mít o jeho užívání naprostý přehled. Například mohou sledovat, zda zaměstnanec píše na klávesnici nebo pohybuje kurzorem myši, programy umožňují rovněž ukládat snímky obrazovky či zaznamenávat užívání pracovních aplikací.

Podle pracovní skupiny jsou však v drtivé většině případů takové postupy nepřiměřené a zaměstnavatel by se jim měl vyhnout či k nim přistupovat zcela výjimečně. Zaměstnancům by měl zaměstnavatel ponechat určitý soukromý digitální prostor i v případech, kdy nad nimi nemá přímou fyzickou kontrolu.

Sledování pomocí GPS

V rámci využití vozidla pro pracovní účely může být zaměstnavatel oprávněn z důvodu ochrany svého majetku či povahy činnosti umístit do vozidla lokační zařízení sledující jeho polohu. V případě, kdy má zaměstnanec možnost využít stejné vozidlo i pro soukromé účely, musí zde existovat možnost takové sledovací zařízení vypnout. Sledování by mělo být zaměřeno pouze na sledování polohy vozidla, a nikoliv na chování jeho řidiče, tedy například nezaznamenávat systematicky rychlost vozidla.

Stejně tak se nedoporučuje vybavovat jakýmikoliv sledovacími nositelnými zařízeními samotné zaměstnance, například z důvodu monitoringu jejich zdraví na pracovišti. V takovém případě by docházelo k systematickému zpracovávání citlivých údajů, které by však pravděpodobně nemohlo být podpořeno žádným ze zákonných důvodů.

Vždy jen transparentně a přiměřeně

Jste zaměstnavatel? Nic nezatajujte ani neskrývejte, sdělovat více je v tom případě lepší než méně. Rozhodnete-li se vůči zaměstnancům použít jakoukoliv sledovací či vyhodnocovací technologii, jež by využívala jejich osobních údajů, musíte být maximálně transparentní a předem je o tom informovat. Informace poskytujte srozumitelně tak, aby každý zaměstnanec pochopil, při jakých činnostech, v jakých intervalech a jaké osobní údaje jsou zaměstnavatelem zpracovávány a jaké to pro něj může mít následky. Informujte je i o možnostech, jak se případně proti tomuto postupu bránit, na koho se obrátit, jaký úřad kontaktovat.

Zároveň se vždy zamyslete, jakým rizikům se sledováním snažíte předcházet a zda představují závažný důvod, jehož naplnění vyžaduje zákoník práce. Snažte se objektivně posoudit, zda je zásah do soukromí zaměstnance způsobený jeho sledováním přiměřený ochraně vašeho zájmu a zda neexistuje jiná, soukromí zaměstnance méně narušující metoda dosahující stejného účelu.

Nespoléhejte na to, že když vám zaměstnanec něco podepíše, jste z obliga a můžete jeho činnost monitorovat, jak uznáte za vhodné. Věnujte čas a energii tomu, abyste aplikovali takové způsoby monitoringu, které opřete o některý z ostatních zákonných důvodů, jež GDPR nabízí.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři