Práce na dálku zásadně změnila způsob, jakým zaměstnavatelé kontrolují své zaměstnance. Nástroje pro sledování aktivity, docházky a produktivity jsou dnes běžné – zároveň však vyvolávají významné otázky z pohledu ochrany osobních údajů podle GDPR.
Nedávné rozhodnutí Úřadu na ochranu osobních údajů SR ukazuje, že skutečnost, že je monitoring technicky možný, neznamená, že je i zákonný.
Nástup nástrojů pro monitorování na dálku
Zaměstnavatelé často využívají:
software pro evidenci pracovní doby;
virtuální docházkové terminály;
nástroje pro sledování produktivity;
monitoring zařízení a síťové aktivity.
Tyto nástroje mohou sloužit legitimním účelům, například řízení pracovní síly nebo plnění zákonných povinností. Podle GDPR však musí být každé zpracování nezbytné, přiměřené a založené na platném právním základu.
Když evidence docházky zajde příliš daleko
Slovenský úřad zkoumal systém, ve kterém zaměstnanci na home office zaznamenávali pracovní dobu prostřednictvím mobilní aplikace. Na první pohled jde o legitimní řešení (pracovněprávní předpisy vyžadují evidenci pracovní doby).
Problém nastal ve chvíli, kdy aplikace zároveň sbírala geolokační údaje a zaměstnanec se bez zapnutí sdílení polohy nemohl vůbec přihlásit.
Úřad identifikoval několik závažných pochybení:
1. Absence právního základu pro geolokaci
Podle slovenského Zákoníku práce je zaměstnavatel povinen evidovat, kdy zaměstnanec pracuje, nikoli kde.
Zpracování polohy šlo nad rámec zákonné povinnosti;
Souhlas nebyl platný, protože nebyl svobodný (zaměstnanec neměl reálnou volbu).
To odpovídá obecné praxi podle GDPR: souhlas v pracovněprávních vztazích je problematický kvůli nerovnému postavení stran.
2. Nejasný a rozporný právní základ
Zaměstnavatel střídavě uváděl:
plnění právní povinnosti;
souhlas zaměstnance.
Tyto právní základy se vzájemně vylučují. GDPR vyžaduje, aby byl právní základ jasně určen před zahájením zpracování, nikoli dodatečně hledán při kontrole.
3. Nedostatečná transparentnost
Zaměstnanci měli k dispozici:
vágní a neúplné informace;
neurčitě formulované účely zpracování;
dokumenty, které pouze „vzali na vědomí“, aniž by k nim měli trvalý přístup.
Tím došlo k porušení požadavků na transparentnost podle článků 12–13 GDPR.
4. Nesprávné použití posouzení vlivu (DPIA)
Zaměstnavatel sice provedl DPIA, ale použil jej nesprávně.
DPIA má sloužit k:
identifikaci rizik před zahájením zpracování;
nastavení vhodných opatření.
V tomto případě byl použit jako obranný dokument ex post, který měl ospravedlnit nezákonné zpracování.
Úřad zdůraznil zásadní princip:
DPIA nemůže legitimizovat zpracování, které postrádá právní základ.
Uložené sankce
Výsledek řízení byl následující:
pokuta ve výši 6 000 EUR
povinnost okamžitě ukončit zpracování údajů o poloze
povinnost vymazat již získaná geolokační data
Klíčová poučení pro zaměstnavatele
Tento případ potvrzuje principy, které dlouhodobě zdůrazňuje také European Data Protection Board:
Monitoring musí být přiměřený - Evidence pracovní doby je v pořádku. Sledování polohy – pokud není nezbytné – nikoli.
Právní základ musí být určen předem - Nelze jej „dohledávat“ zpětně.
Souhlas zaměstnance je problematický - Pokud jej nelze odmítnout bez negativních důsledků, není svobodný.
DPIA je nástroj, nikoli ochranný štít - Slouží k posouzení rizik, ne k legalizaci zpracování.
Transparentnost musí být skutečná - Informace musí být konkrétní, úplné a trvale dostupné.
Praktická doporučení pro praxi
Pro zajištění souladu s GDPR:
používejte docházkové systémy, které zaznamenávají pouze čas, nikoli polohu;
nezhromažďujte údaje „pro jistotu“;
jasně si určete právní základ před zahájením zpracování;
zajistěte, aby informace pro zaměstnance byly konkrétní a kdykoli dostupné;
DPIA provádějte až po definování účelu a právního základu.
Co bude dál: standardizace DPIA
European Data Protection Board aktuálně připravuje standardizované dotazníky pro DPIA (veřejná konzultace probíhá do června 2026). Cílem je pomoci správcům zajistit, aby jejich posouzení byla:
úplná;
strukturovaná;
provedená ve správném pořadí.
Slovenský případ jasně ukazuje, proč je tato iniciativa potřebná.
Závěr
Monitorování zaměstnanců na dálku stojí na hranici mezi efektivním řízením a ochranou základních práv.
Hlavní poselství zní:
Pokud zpracováváte více údajů, než je nezbytné, nebo stojíte na nejistém právním základě, vaše řešení se může rychle stát nezákonným.
GDPR by zaměstnavatelé neměli vnímat jako překážku, ale jako rámec pro nastavení spravedlivých, transparentních a přiměřených pracovních podmínek.
