Bez ohledu na odložení účinnosti dvou klíčových směrnic na poli ESG („stop-the-clock“), kterými jsou směrnice 2022/2464 o podávání zpráv o udržitelnosti (dále jen „CSRD“) a směrnice 2024/1760 o náležité péči podniků v oblasti udržitelnosti (dále jen „CSDDD“), a dosud z velké části chybějící transpoziční vnitrostátní úpravy, se značná část nadnárodních koncernových seskupení v Evropské unii již intenzivně připravuje na implementaci jejich požadavků. Totéž se týká, byť samozřejmě v odlišném věcném a právním kontextu, i příprav na implementaci požadavků vyplývající ze směrnice 2023/970 o transparentnosti odměňování.
S ohledem na nadnárodní, resp. přeshraniční rozměr této implementace se přitom již nyní můžeme často setkávat se zjevnou snahou o to, aby pro plnění povinností vyplývajících z nové právní úpravy bylo zvoleno jednotné „koncernové“ řešení. Tato tendence se přitom týká jak koncernových příprav na sestavování konsolidovaných zpráv o udržitelnosti a dokládání náležité péče podle CSRD a CSDDD, tak i na koncernové nastavení „systémů odměňování“ zaměstnanců a plnění dalších povinností spojených s požadavky na transparentnost odměňování.
Ačkoliv v tomto směru vznikají v konkrétních případech i zásadní pochybnosti ohledně přiměřenosti a důvodnosti zamýšleného rozsahu zpracování osobních údajů zaměstnanců anebo jiných dotčených subjektů údajů, tak je nejprve třeba si odpovědět na klíčovou výchozí otázku jejich koncernového zpracování. A touto otázkou je, zda a za jakých podmínek je možné předávat, resp. poskytovat a sdílet otevřené osobní údaje zaměstnanců lokálních společností v rámci skupiny (koncernu) za účelem plnění požadavků vyplývajících z evropské legislativy a navazující transpoziční vnitrostátní úpravy.
Na tomto místě je třeba ještě doplnit, že modelů takto uvažovaného koncernového zpracování osobních údajů může být více, ale zpravidla jde o situaci, kdy vybrané osobní údaje zaměstnanců jsou poskytovány či sdíleny k tomu „určené“ sesterské společnosti anebo přímo mateřské (řídící) společnosti. Pokud jde o rozsah takto zpracovávaných osobních údajů, tak obvykle jde o základní identifikační a popisné údaje, jako je jméno a příjmení zaměstnance, osobní identifikační číslo přidělené zaměstnavatelem, datum narození, jakož i o pracovní e-mailovou adresu a telefonní číslo.
K právní úpravě koncernového zpracování osobních údajů
Pokud jde o použitelnou právní úpravu možnosti poskytování a sdílení osobních údajů v rámci skupin podniků včetně koncernu, tak ta je velmi povšechná a stručná.
Obecné nařízení o ochraně osobních údajů (dále také jen „Obecné nařízení“ nebo „GDPR“) v tomto směru pouze obsahuje jednak legální definici pojmu „skupina podniků“, za kterou ve smyslu ustanovení článku 4 bod 19) považuje skupinu zahrnující řídící podnik a jím řízené podniky, a dále pak související rámcová ustanovení recitálů (37) a (48), která jsou navázána na institut „oprávněných zájmů správce“ jakožto jednoho z právních důvodů pro zpracování osobních údajů ve smyslu článku 6.
Český zákon o zpracování osobních údajů, který je adaptačním právním předpisem k Obecnému nařízení, žádnou zvláštní anebo přípustnou rozšiřující právní úpravu v tomto směru neobsahuje.
V popsaném kontextu je přitom třeba konstatovat, že recitál (37) Obecného nařízení výslovně připouští, aby byl v rámci skupiny podniků společnou dohodou určen podnik, který vykonává správu zpracování osobních údajů v podnicích k němu přidružených, a to v rámci širšího pověření k zajišťování „personální administrativy“.
Podle souvisejícího recitálu (48) Obecného nařízení pak platí, že správci, kteří jsou součástí skupiny podniků, mohou mít oprávněný zájem na předávání osobních údajů v rámci skupiny podniků pro vnitřní administrativní účely (v kontextu celého koncernu), a to nejen zpracování osobních údajů zaměstnanců, ale i zákazníků.
Touto shora popsanou, velmi obecnou a stručnou úpravou je tedy rámcově dán jak účel, tak i právní základ, resp. příslušný právní důvod „společného“ koncernového zpracování osobních údajů, byť tuto úpravu určitě nelze z hlediska lokálních společností (členů koncernu) bez dalšího považovat za zcela „bezpečný přístav“ (safe harbor). Na druhou stranu je třeba konstatovat, že tato existující úprava může v řadě případů výrazně ulehčit a usnadnit poskytování a sdílení osobních údajů zaměstnanců a zákazníků jak mezi lokálními společnostmi jako „koncernovými závody“ navzájem, tak i mezi lokálními společnostmi a mateřskou, resp. řídící společností.
Jak využít „malé koncernové privilegium“
V teorii práva ochrany osobních údajů, a to zejména v německojazyčném právním prostředí, jsou shora citovaná ustanovení Obecného nařízení vykládána a označována jako „malé koncernové privilegium“ (něm. kleines Konzernprivileg), jehož rozsah a širší souvislosti již byl v posledních letech i několikrát vykládán německými soudy.
Tato omezená forma „koncernového privilegia“ přitom spočívá v tom, že Obecné nařízení zohledňuje specifický charakter vztahů v rámci skupiny podniků (koncernu), které při splnění určitých podmínek odůvodňuje a zakládá oprávněný zájem na předávání osobních údajů v rámci skupiny, přičemž oprávněný zájem je v tomto smyslu uznáván i jako příslušný právní základ zpracování osobních údajů ve smyslu čl. 6 odst. 1 písm. f) Obecného nařízení.
Důvodem pro označování tohoto specifického nástroje jako „malé“ koncernové privilegium je ta omezující skutečnost, že je možné jej využít výhradně a pouze ve spojení se zvláštním účelem zpracování osobních údajů, kterým jsou interní administrativní účely, a to ve vztahu k osobním údajům „koncernových“ zaměstnanců i zákazníků. Tuto restriktivně vymezenou formu koncernového privilegia tedy nelze zásadně využít v kontextu jiných účelů při koncernovém zpracování osobních údajů, u kterých je třeba určit i jiný právní základ zpracování.
Pokud jde o konkrétní podmínky pro uplatnění „malého koncernového privilegia“, tak tyto lze stručně vymezit takto:
účelem pro poskytování a sdílení osobních údajů jsou interní administrativní účely ve smyslu „vnitro-koncernových administrativních účelů“, které jsou, pokud jde o osobní údaje zaměstnanců, vázány na zajišťování širší „personální administrativy“ spojené se zaměstnanci jednotlivých podniků (společností) ve skupině;
je přijato příslušné „koncernové opatření“ anebo transparentní skupinová „mezipodniková dohoda“ o tom, že „personální administrativu“ a s tím spojené zpracování osobních údajů bude zcela anebo částečně zajišťovat jedna ze společností ve skupině (dále jen „určená společnost“), a to zpravidla s odkazem na potřebu efektivní konsolidace administrativních procesů a činností v rámci centrálních (globálních) služeb personalistiky;
mezi „určenou společností“ a dalšími společnostmi ve skupině je, z titulu konceptu společných správců ve smyslu článku 26 Obecného nařízení, transparentně ujednáno, jak se společní správci podílejí na plnění povinností podle Obecného nařízení, zejména pokud jde o výkon práv dotčených subjektů údajů (zaměstnanců) a o plnění informačních povinností správců podle článků 13 až 22 Obecného nařízení;
za určitých okolností přitom lze uvažovat i o tom, že by koncernově „určená společnost“ nebyla v postavení společného správce, ale zpracovatele ve smyslu článku 28 Obecného nařízení.
Vzhledem ke shora popsaným skutečnostem je proto třeba konstatovat, že možnost aplikace „malého koncernového privilegia“ ve vztahu k poskytování a sdílení osobních údajů zaměstnanců je zásadně spojena, až na nepatrné výjimky, se splněním příslušných podmínek.
Takovými výjimkami, kdy lze „malé koncernové privilegium“ v zásadě aplikovat bez dalšího, tj. i bez předchozího splnění popsaných formálních podmínek, jsou případy jednoduchého sdílení osobních údajů v kontextu obvyklé vnitro-koncernové administrativní správy, které se týkají co do rozsahu jen některých vybraných údajů a jež přitom nemají podstatný vliv na práva a oprávněné zájmy zaměstnanců jako dotčených subjektů údajů. Jde např. o použití údajů o jménu a příjmení, pracovní pozici anebo o pracovních kontaktních údajích zaměstnanců v koncernově propojených telefonních anebo jiných seznamech apod.
Nové výzvy koncernového zpracování
Jak bylo shora popsáno, tak poskytování a sdílení osobních údajů zaměstnanců ze strany lokálních společností (členů koncernu) je zásadně možné jen tehdy, pokud jsou splněny příslušné podmínky vycházející z „malého koncernového privilegia“, a to s výjimkou jednoduchých případů jejich sdílení, například ve formě zmiňovaných seznamů nebo evidenčních záznamů či prezentací, které jsou přípustné i bez předchozího splnění formálních podmínek.
Z hlediska námi posuzované nové situace je přitom ale podstatné, že poskytování a sdílení osobních údajů za účelem „společného plnění“ požadavků příslušných směrnic Evropské unie a navazující transpoziční vnitrostátní úpravy se do značné míry vymyká obvyklým vnitro-koncernovým administrativním účelům spojeným s vedením vybrané „personální administrativy“.
Věc je aktuálně komplikována i tím, že účelem zpracování má být plnění povinností vyplývajících ze shora uvedených evropských směrnic, které již sice jsou platné a závazné, ale ve vztahu k lokálním společnostem dosud až na výjimky nebyly transponovány do vnitrostátního práva, a tedy je dosud ani přímo právně nezavazují.
Bez ohledu na to je cílem koncernového postupu to, aby, pokud jde o shromažďování a vykazování požadovaných konsolidovaných informací týkajících se zaměstnanců anebo skupin zaměstnanců (a to i v kontextu dělení na muže a ženy), byla i tato personální agenda centralizována a globálně zajišťována jednou „určenou společností“ v rámci skupiny (koncernu).
Důvodem je přitom ta skutečnost, že se tyto nové právní povinnosti budou se vší pravděpodobností týkat všech podniků ve skupině, které mají své sídlo nebo hlavní provozovnu na území EU, resp. že pokud jde o podávání zpráv o udržitelnosti, tak bude v budoucnu sestavována konsolidovaná zpráva o udržitelnosti, na kterou budou odkazovat i jednotlivé povinné společnosti v rámci koncernu.
Obecně přitom v této souvislosti platí, že podniky (společnosti) ve skupině se mohou i ohledně této dílčí činnosti spojené s personální agendou dohodnout na shora popsaném modelu jedné „určené společnosti“, která bude takovou činnost zajištovat centrálně.
I v takovém případě by mělo být toto koncernové řešení zásadně založeno na konceptu společných správců, kdy účel a prostředky zpracování osobních údajů stanoví společně dva nebo více správců.
V tomto směru by ale byl u společných správců pravděpodobně dán jiný konkrétní účel a příslušný právní základ zpracování osobních údajů, a to konkrétně v tomto nastavení:
účel: shromažďování a vykazování údajů pro sestavování a podávání zpráv a informací podle CSRD, CSDD a směrnice o transparentnosti odměňování;
právní základ: plnění právních povinností správce (článek 6 odst. 1 c) Obecného nařízení), popř. ve spojení s oprávněnými zájmy správce (článek 6 odst. 1 písm. f) Obecného nařízení).
Je přitom ale třeba dbát na to, aby, stejně jako v případech uplatnění „malého koncernového privilegia“, bylo příslušné koncernové zpracování osobních údajů spojeno s odpovídající transparentní dokumentací, tedy opět s „mezipodnikovou dohodou“ o centrálním zajištění shora uvedené činnosti anebo se závazným „koncernovým opatřením“ (ve formě koncernové směrnice, pokynu řídící osoby apod.), jakož i s „dohodou o společném správcovství“, která by obsahovala ujednání dle článku 26 odst. 1 Obecného nařízení (ujednání takové dohody přitom mohou být i součástí shora popsané rámcové „mezipodnikové dohody“).
Samozřejmě i v takovém případě by bylo nutné splnit informační povinnosti každého ze společných správců vůči zaměstnancům ve smyslu článků 13 až 22 Obecného nařízení.
Ve shora uvedených souvislostech je třeba závěrem doplnit, že rozsah poskytovaných anebo sdílených osobních údajů včetně jejich konkrétních kategorií a druhů, které by měly být předmětem takového koncernového zpracování, je třeba vždy posuzovat v příslušném právním kontextu, tj. zda je zpracování v takovém rozsahu v kontextu požadavků vycházejících z CSRD, CSDDD anebo ze směrnice o transparentnosti odměňování skutečně důvodné a přiměřené. Lze rozhodně doporučit, aby se „koncernové opatření“ anebo „mezipodniková dohoda“ tímto rozsahem zpracovávaných osobních údajů blíže zabývaly a také jej konkrétně odůvodnily.
