Zpracování osobních údajů zaměstnanců je nezbytné pro zajištění bezproblémového provozu zaměstnavatele a zajištění souladu s právními předpisy – od správy mezd a benefitů, přes platby zdravotního a sociálního pojištění, přidělování práce až po hodnocení výkonnosti a zajišťování bezpečnosti práce. Musí se však řídit určitými pravidly. Zaměstnanci mají např. legitimní zájem na tom, aby rozuměli, jak jsou jejich údaje využívány, a aby byla respektována jejich práva na přístup k informacím a právo na transparentnost zpracování osobních údajů.
Právo na přístup podle GDPR
Zaměstnanci, stejně jako každému jinému subjektu údajů, náleží právo na přístup k osobním údajům podle čl. 15 obecného nařízení o ochraně osobních údajl (GDPR).
Zaměstnanec má právo získat od správce osobních údajů, zaměstnavatele, potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány. Pokud zpracovávány jsou, má právo na přístup k uvedeným osobním údajům, jakož i k informacím týkajícím se zejména účelů zpracování a příjemců nebo kategorií příjemců, kterým tyto osobní údaje byly nebo budou zpřístupněny.
Pokud se nejedná o zjevně nedůvodnou nebo nepřiměřenou žádost, zaměstnavatel musí zaměstnanci poskytnout požadované údaje bezplatně a bez zbytečného odkladu, nejpozději do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce.
Uvedené právo má zaměstnanci umožnit, aby se seznámil se zpracováním svých osobních údajů, ověřil si zákonnost tohoto zpracování a aby případně uplatnil svá další práva. Jde zejména o právo na opravu, právo na výmaz, právo na omezení zpracování osobních údajů, právo na námitku proti zpracování svých osobních údajů stanovené v čl. 21 GDPR, jakož i právo na soudní ochranu pro případ utrpěné škody zakotvené v čl. 79 a 82 GDPR.
Kdy má zaměstnanec právo na kopii údajů?
Čl. 15 odst. 3 GDPR stanoví, že správce „poskytne kopii zpracovávaných osobních údajů“. Bližší vysvětlení pojmu „kopie“ nalezneme např. v rozsudku Soudního dvora EU ze dne 22. června 2023 ve věci C-579/21. Podle SDEU pojem „kopie“, který nalezneme v čl. 15 odst. 3 GDPR, označuje věrnou reprodukci nebo opis originálu. Čistě obecný popis zpracovávaných osobních údajů nebo odkaz na kategorie osobních údajů této definici neodpovídá.
Kopie, kterou je zaměstnavatel povinen zaměstnanci na jeho výslovnou žádost poskytnout, musí obsahovat veškeré zpracovávané osobní údaje. Jen tak zaměstnanec bude mít možnost účinně uplatňovat svá výše uvedená práva podle GDPR.
Poskytnuté informace by měly být pro žádající subjekt údajů snadno pochopitelné. To explicitně vyžaduje čl. 12 odst. 1 GDPR ve spojení s bodem 58 odůvodnění GDPR. Proto v některých případech, je-li uvedení zpracovávaných údajů do kontextu nezbytné pro zajištění jejich pochopitelnosti, může být nezbytné zaměstnanci zpřístupnit reprodukce výpisů z dokumentů či celých dokumentů nebo výpisů z databází, které obsahují i osobní údaje žadatele. Zejména pokud jsou osobní údaje generovány z jiných údajů nebo pokud takovéto osobní údaje vyplývají z mezer v textu (to znamená, že osobní údaje o zaměstnanci vyplývají z neuvedení určité informace), je kontext, v němž jsou tyto údaje zpracovávány, nezbytným prvkem toho, aby zaměstnanec mohl získat transparentní přístup a aby byla prezentace těchto osobních údajů srozumitelná.
Právo na informace podle zákoníku práce
Právní vztahy zaměstnavatele a zaměstnance detailně upravují i pracovněprávní předpisy, zejména zákoník práce. Ten obsahuje i řadu specifických situací, kdy zaměstnanec může definovaným postupem získat přístup k některým údajů či dokumentům, které o něm jeho zaměstnavatel vede.
Podle § 312 odst. 3 zákoníku práce má zaměstnanec právo nahlížet do svého osobního spisu, pokud jej zaměstnavatel vede, činit si z něho výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na náklady zaměstnavatele. Dané oprávnění se vztahuje jenom na údaje, dokumenty a listiny, které jsou součástí osobního spisu zaměstnance.
Podle § 96 odst. 2 zákoníku práce je pak zaměstnavatel povinen na žádost zaměstnance umožnit zaměstnanci nahlédnout do jeho účtu pracovní doby nebo evidence pracovní doby a do jeho účtu mzdy a pořizovat si z nich výpisy, popřípadě stejnopisy na náklady zaměstnavatele. Toto oprávnění se tedy vztahuje jenom na účet pracovní doby nebo evidence pracovní doby a na účet mzdy.
Podle § 103 odst. 1 písm. i) zákoníku práce musí zaměstnavatel umožnit zaměstnanci nahlížet do evidence, která je o něm vedena v souvislosti se zajišťováním bezpečnosti a ochrany zdraví při práci. Předmětné ustanovení zákoníku práce zaměstnanci neumožňuje pořizovat si z evidence, která je o něm vedena v souvislosti se zajišťováním bezpečnosti a ochrany zdraví při práci, výpisky či stejnopisy.
Zákoník práce nestanoví konkrétní lhůtu, ve které musí zaměstnavatel zaměstnanci realizaci těchto práv umožnit. Mělo by to však být v přiměřené době, která odpovídá běžné administrativní praxi. Postup pro uplatnění výše uvedených práv a pro následné vyřízení předmětných žádostí zaměstnanců by měl být upraven vnitřním předpisem tak, aby na jedné straně chránil provoz zaměstnavatele, ale aby zároveň respektoval práva zaměstnanců, tedy např. neumožňoval svévoli nebo dokonce diskriminaci v rozhodování zaměstnavatele o lhůtách, ve kterých jednotlivým zaměstnancům umožní jejich práva uplatnit.
GDPR nebo zákoník práce? Rozhodnutí je na zaměstnanci
Zaměstnanec , který chce získat přístup k údajům, které o něm zaměstnavatel zpracovává, se musí rozhodnout, jakou cestu zvolí.
Při volbě vhodného prostředku si zaměstnanec bude muset nejdříve ujasnit, jaké informace chce získat.
Proč?
Protože zaměstnavatel může například zpracovávat i jiné osobní údaje než ty, které jsou uvedeny v osobním spise. Pokud k nim bude chtít zaměstnanec získat přístup, ustanovení § 312 odst. 3 zákoníku práce o přístupu do osobnímu spisu mu stačit nebude. Zaměstnanec bude muset postupovat podle § 96 odst. 2 nebo § 103 odst. 1 písm. i) zákoníku práce (pokud bude mít zájem o specifické informace, které spadají pod daná ustanovení zákoníku práce) nebo podle GDPR.
Čl. 15 GDPR umožňuje zaměstnanci získat přístup ke všem osobním údajům, které o něm zaměstnavatel zpracovává. Dalo by se tedy říct, že jde o univerzální nástroj, který může zaměstnanec použít v každém případě. Ustanovení zákoníku práce však umožňují zaměstnanci přijít do přímého kontaktu s originálními dokumenty obsahujícími jeho osobní údaje. To může být vhodná cesta, kterou zaměstnanec zvolí např. v případě, kdy bude podezřívat zaměstnavatele, že by mu neposkytl všechny informace nebo by mu neposkytl správné informace, pokud by si o ně požádal podle GDPR.
Pokud by zaměstnavatel neumožnil zaměstnanci uplatnit jeho právo, mohl by se zaměstnanec bránit například podáním stížnosti Úřadu pro ochranu osobních údajů nebo inspektorátu práce v závislosti na tom, které konkrétní právo zaměstnance bylo porušeno, příp. podáním žaloby k soudu.
Uchovávání informace o přístupu zaměstnance k osobním údajům a o nahlížení
Zaměstnavatel by si měl uchovávat informace o přístupu zaměstnance k osobním údajům podle čl. 15 GDPR nebo o nahlížení do osobního spisu či jiné evidence podle zákoníku práce pro pozdějšího prokázání skutečnosti, že postupoval v souladu s právními předpisy a zaměstnanci umožnil výkon jeho práva. Lhůta pro uchovávání těchto informací by se měla odvíjet od délky promlčecí doby, která činí 3 roky. Pro podobné případy činí retenční lhůta standardně jeden rok po uplynutí promlčecí doby s ohledem na možné nároky uplatněné na konci promlčecí doby.
