Konferenční hovory z pohledu GDPR
Konferenční hovory se staly neodmyslitelnou součástí současného pracovního i osobního života, a to zvláště po epidemii COVID-19.
Platformy jako Zoom, Microsoft Teams, Google Meet nebo Apple FaceTime nám lépe umožňují překonávat nástrahy online porad, home office či prostě jen vzdálenosti mezi klientem a prodejcem. S rozšířením těchto nástrojů a online komunikace však narůstá obava, zda jsou naplňovány podmínky ochrany osobních údajů. Zejména když jsou využívány nástroje, v jejichž rámci často dochází k předávání dat mimo Evropskou unii.
Jedná se zejména o situace, kdy popisované služby, resp. jejich provozovatelé často sídlí a mají datová centra v USA. Související rizika vyniknou tím více, když si uvědomíme, že se nejedná jen o nástroje pro komunikaci v reálném čase, ale že tyto platformy umožňují i chat, sdílení dokumentů, fotek, audio soborů, pořizování záznamů atp.
V neposlední řadě zaměstnavatelé při implementaci těchto řešení často zapomínají na vlastní zaměstnance a jejich práva dle GDPR a zákoníku práce, zejména právo na transparentnost zpracování dat.
Úpravy smluv s poskytovateli služeb konferenčních hovorů
Ačkoliv správci osobních údajů leckde velice rychle implementovali používání služeb konferenčních hovorů do běžného pracovního života, méně často se detailně zabývali souladem používání těchto služeb s GDPR a dalšími předpisy.
Po rozhodnutí SDEU Schrems II z června 2021 totiž přináší zpracování osobních údajů v rámci těchto platforem značná rizika související s přenosem osobních údajů mimo EU. Schrems II zpochybnil platnost některých mechanismů pro mezinárodní přenos dat, zejména do USA (tzv. Privacy Shield a částečně i používání standardních smluvních doložek – SCC).
Zaměstnavatelé musí zajistit dodržování GDPR i při využívání těchto služeb, a proto je vždy vhodné s poskytovatelem služby:
revidovat smlouvy a případně uzavřít dodatek, který zajistí ukládání dat shromážděných v rámci veškeré komunikace na území EU/EHP;
revidovat používání standardních smluvních doložek a nespoléhat se na ně bez dalšího;
implementovat dodatečná bezpečnostních opatření zajišťujících soulad zpracování osobních údajů s GDPR a ochranu práv dotčených osob, zejména zaměstnanců.
Nezapomeňte na zaměstnance
Před zahájením používání komunikačních platforem pro interní komunikaci se zaměstnanci je důležité si dát pozor na:
poskytnutí informací o zpracování osobních údajů prostřednictvím zvoleného nástroje pro online komunikaci, například prostřednictvím informačního memoranda pro zaměstnance;
úpravu pracovních smluv tak, aby ideálně explicitně zahrnovaly možnost této formy komunikace;
zajištění souhlasu zaměstnanců s používáním těchto platforem tam, kde je to nutné;
informování zaměstnanců o zpracování jejich osobních údajů, bezpečnosti při online komunikaci a předávání či jiném zveřejňování jakýchkoliv interních informací, know-how atp.
Co přinesla transpoziční novela zákoníku práce?
Drtivá část této novely nabyla účinnosti dne 1. října 2023, a to včetně novinek, které je nutné brát v potaz při využívání v rámci konferenčních hovorů a elektronické komunikace obecně.
Zaměstnavatel zaměstnancům hradit náklady spojené s prací na dálku, tedy i např. licenci za využívání některé ze služeb, připojení na internet atp., tam, kde ji neposkytuje zdarma. Zajímavostí pak je, že u zaměstnanců vykonávajících práci na základě pracovní smlouvy je zavedena tzv. opt-out povinnost zaměstnavatele hradit tyto náklady, tzn. pokud zaměstnanec nevysloví nesouhlas. U zaměstnanců na DPP a DPČ pak novela počítá s možností tyto náklady hradit v případě, že se smluvní strany na tomto shodnou.
Nově bude možno zaměstnancům (a obráceně zaměstnanec zaměstnavateli) doručovat některé dokumenty v rámci elektronických komunikačních kanálů. Takovéto doručení však předpokládá příslušnou úpravu pracovní smlouvy (u zaměstnance písemný souhlas s takovou formou doručování) a především pak nutnost potvrzení doručení pomocí datové schránky. Potvrzení prostřednictvím datové schránky však již není nutné stihnout ve lhůtě 3 dnů a doplnit elektronickým podpisem. Pokud zaměstnanec převzetí písemnosti nepotvrdí ve lhůtě 15 dnů ode dne jejího dodání, považuje se písemnost za doručenou posledním dnem této lhůty.
Praktické tipy pro zaměstnavatele
Před zahájením využívání nástroje pro konferenční hovory lze doporučit, aby zaměstnavatele alespoň:
ověřil, jak provozovatelé jednotlivých nástrojů plní své povinnosti dle GDPR či další relevantní legislativy, a nerozhodoval se jen na základě ceny nebo rozšíření té které služby;
dokumentoval podmínky daného poskytovatele, které by měly obsahovat i náležitosti smluv podle GDPR (smlouva o zpracování osobních údajů, standardní smluvní doložky při předávání dat mimo EU/EHS);
vytvořil vlastního disclaimeru zobrazeného před samotným používáním služby; jeho smyslem je jednoduchým a transparentním způsobem informovat koncového uživatele o tom, že užíváním služby dochází ke zpracování osobních údajů, a to například i v souvislosti s možností nahrávání (nejlépe odkazem na informační memorandum), případné omezení odpovědnosti vývojáře aplikace; vymezení možnosti změny politiky bezpečnostních údajů atp.)splnění informační povinnosti vůči zaměstnanců, tzn. Prokazatelně jim poskytnout veškeré povinně poskytované informace dle čl. 13 GDPR;
tam, kde je to nutné, před použitím služby získat souhlas zaměstnance či klienta (např. při předání zvlášť citlivých osobních údajů).