Klára Valentová pro HR Forum: GDPR v každodenní firemní praxi

HR Forum, 14.11.2018 0:00:00 

Obecné nařízení EU o ochraně osobních údajů, které se v praxi často označuje zkratkou GDPR (z anglického General Data
Protection Regulation), je v účinnosti několik měsíců a po všeobecné „hysterii“ vyvolané zejména zavádějící mediální kampaní
se vše pomalu vrací do původních kolejí a zájem o ochranu osobních údajů zase pozvolna utichá. Obavy z velkých pokut se
pomalu vytrácí, protože po účinnosti GDPR nedošlo k žádným velkým kontrolním akcím ze strany Úřadu pro ochranu osobních
údajů („Úřad“), což ale Úřad sám dopředu předesílal.

Na druhou stranu nelze otázku ochrany osobních údajů podceňovat, protože řada společností a organizací před účinností
GDPR nevěnovala této problematice žádnou pozornost nebo ji řešila velmi okrajovým a nesystematickým způsobem, což se
může v budoucnu ukázat jako problém. Díky velké kampani ohledně GDPR vzrostlo povědomí osob o jejich právech při
zpracování osobních údajů a pomalu vzrůstá počet podnětů, které jsou podávány na Úřad a které musí Úřad řešit. Jestliže si
bude někdo na společnost stěžovat a Úřad zahájí ve společnosti kontrolu, není možné GDPR implementovat na počkání, jak
slibují některé pochybné služby a produkty na internetu. Pokud Úřad při kontrole zjistí, že společnost se ochranou osobních
údajů vůbec nezabývá, může to vést k uložení vysoké pokuty. Vždy však také záleží na tom, jak moc porušení GDPR zasáhlo a
případně poškodilo daný subjekt údajů.

Sněmovna projednává tzv. adaptační zákon Společnosti by otázce ochrany osobních údajů měly věnovat náležitou pozornost,
ale danou oblast by měly řešit komplexním způsobem a se zdravým rozumem, což jim umožní nejen splnění stanovených
povinností, ale v případě podnikatelských subjektů také legální rozvoj jejich obchodních aktivit.

V praxi často není správně pochopena vlastní podstata GDPR a jeho vztah k českým právním předpisům. GDPR jako nařízení
EU je přímo účinný právní předpis pro všechny subjekty v České republice a není nutné ho transponovat do českého právního
řádu na základě nějakého právního předpisu. GDPR mělo v plném rozsahu nahradit český zákon o ochraně osobních údajů (č.
101/2000 Sb., ve znění pozdějších předpisů), resp.
tento zákon měl být zrušen, ale to se zatím nestalo. V Poslanecké sněmovně ČR je nyní projednáván návrh zákona o
zpracování osobních údajů (tzv. adaptační zákon) a doprovodného zákona, na jejichž základě bude zrušen zákon o ochraně
osobních údajů, budou přijaty určité odchylky od GDPR, které samotné GDPR povoluje, a novely současných právních
předpisů, aby byly v souladu s GDPR. GDPR však plně funguje i bez těchto českých zákonů a má přednost před zákonem o
ochraně osobních údajů a dalšími zákony, pokud jsou s GDPR v rozporu.

GDPR není revolucí v ochraně osobních údajů Dále je často GDPR chápáno jako něco naprosto nového, co přináší neúměrnou
zátěž pro každou společnost. Většina povinností, které jsou uvedeny v GDPR, je však obsažena již v zákoně o ochraně
osobních údajů, takže GDPR není žádnou revolucí v oblasti ochrany osobních údajů. GDPR pouze danou úpravu zpřísňuje,
upravuje některé nové povinnosti (např. povinnost jmenovat pověřence pro ochranu osobních údajů, povinnost vést záznamy o
činnostech zpracování), které se ale nemusí vždy vztahovat na každou společnost, a zejména radikálně zvyšuje pokuty až na
maximální hranici 20.000.000 EUR. To ale neznamená, že za každé porušení bude uložena takto vysoká pokuta. V některých
případech porušení nemusí být dokonce uložena žádná pokuta. GDPR obsahuje řadu nápravných pravomocí, které lze v
případě zjištěného porušení uložit. Mezi nimi je například udělení napomenutí nebo nařízení, aby společnost vyhověla žádosti
subjektu údajů o výkon práva dle GDPR. Záleží na individuálním posouzení každého případu. Úřad musí vždy posoudit rozsah,
povahu či délku porušení, ale třeba i jak správce pracuje na nápravě pochybení nebo jaká opatření přijal, aby se už v
budoucnu neopakovalo. Cílem Úřadu není udělit co nejvíce pokut, ale především zajistit nápravu a zvyšovat povědomí o
ochraně osobních údajů. To dokazuje i praxe Úřadu, když v roce 2018 několikrát upustil od pokuty, protože porušení bylo ze
strany správce ihned napraveno, a v ostatních případech ukládal pokuty jen do výše 10.000 Kč. Priority při implementaci GDPR
Na co se zaměřit při implementaci GDPR? Především je důležité si udělat podrobnou analýzu zpracování osobních údajů ve
společnosti (tzv. mapování). Mapování je dobré provádět podle jednotlivých odděleních (např. personální oddělení), typech
informačních systémů (např. mzdový systém, HR systém, docházkový systém, CRM) a skupin subjektů údajů (např. klienti,
zaměstnanci, dodavatelé). Je nutné zejména zjistit, jaký je účel a právní titul zpracování (např. mzdová agenda – plnění
zákonných povinností), jeho způsob a rozsah, kde jsou osobní údaje uloženy, jak jsou zabezpečeny, komu jsou předávány
a/nebo zpřístupněny a jak dlouho jsou uchovávány. Po tomto mapování je pak třeba porovnat současný stav s požadavky
GDPR a sestavit si akční plán na odstranění nedostatků, splnění požadovaných povinností a přípravu nezbytných dokumentů.
V personální oblasti je důležité vymezit jednotlivé oblasti zpracování, které představují plnění zákonných povinností (např.
mzdová agenda, personální agenda, evidence podle zákoníku práce), plnění pracovní smlouvy (např. poskytování benefi tů) a
oprávněný zájem zaměstnavatele (např. kamerový systém z důvodu ochrany majetku zaměstnavatele). Ve všech těchto
případech zaměstnavatel nepotřebuje souhlas zaměstnanců se zpracováním osobních údajů a dokonce je porušením pravidel
ochrany osobních údajů, pokud je takový souhlas po zaměstnancích vyžadován. Souhlas je totiž založen na absolutně
svobodném rozhodnutí jedince, a pokud není udělen, tak správce dané zpracování nesmí provádět. To ovšem pro většinu
operací s osobními údaji zaměstnanců neplatí. Zaměstnavatel musí osobní údaje zaměstnanců zpracovávat, i když by s tím
zaměstnanec nesouhlasil.

Souhlas zaměstnanců a povinnosti zaměstnavatele Souhlas zaměstnanců je vyžadován např. pro zpracování osobních údajů
za účelem oslavy narozenin zaměstnanců, zpracování profilových fotografií v interních systémech zaměstnavatele nebo pro
předávání osobních údajů do třetích tzv. nebezpečných zemí, pokud nejsou poskytnuty dostatečné záruky dle GDPR na straně
příjemce osobních údajů. V každém případě musí být souhlas zaměstnance udělován mimo pracovní smlouvu v samostatném
dokumentu, aby nebyla ohrožena svoboda souhlasu. Do pracovní smlouvy lze v souvislosti s GDPR doplnit povinnosti, které
musí zaměstnanec dodržovat, pokud bude zpracovávat osobní údaje jiných osob, případně tyto povinnosti mohou být uvedeny
v popisu pracovní pozice, pracovním řádu nebo specifi cké směrnici o ochraně osobních údajů. Dále je vhodné do pracovní
smlouvy zapracovat povinnost zaměstnance sdělovat zaměstnavateli veškeré změny v jeho osobních údajích, které
zaměstnavateli poskytl.

Ve všech případech je zaměstnavatel povinen informovat zaměstnance o veškerém zpracování jejich osobních údajů. Tato
informace by měla být předána každému zaměstnanci ve chvíli, kdy zaměstnavateli předává své osobní údaje. Nejčastěji to
bývá před nebo při nástupu do zaměstnání ve formě osobního dotazníku. Formulář osobního dotazníku by měl tedy obsahovat
i informace o zpracování osobních údajů zaměstnanců. Zaměstnanci musejí být informováni o tom, proč se osobní údaje
zpracovávají, komu mohou být osobní údaje poskytnuty, zda údaje zpracovává jen zaměstnavatel nebo používá zpracovatele,
zda jsou osobní údaje předávány mimo Evropský hospodářský prostor, jak dlouho se osobní údaje zpracovávají a jaká jsou
práva zaměstnanců při zpracování osobních údajů.

Jak dlouho osobní údaje zaměstnanců uchovávat Častým problémem v personální praxi je délka uchování osobních spisů
zaměstnanců a elektronických dat v informačním systému. U mzdové agendy jsou lhůty pro jednotlivé dokumenty a soubory dat
stanoveny právními předpisy. Nejdéle se uchovávají mzdové listy, a to 30 kalendářních let následujících po roce, kterého se
týkají. Naopak např. evidenční listy důchodového pojištění se mají uchovávat jen po dobu 3 kalendářních roků po roce, kterého
se týkají. U osobních spisů žádná lhůta stanovena není, takže zaměstnavatel si ji musí určit sám podle toho, co se všechno v
osobních spisech uchovává. Doporučuji dobu mezi 10 lety až 30 lety od skončení pracovního poměru. V žádném případě totiž
není možné uchovávat osobní spisy zaměstnanců neomezeně. U každého zaměstnance musí dojít k pročištění osobního spisu
hned při skončení pracovního poměru (např.
musí být vyskartovány životopisy, osobní dotazníky, kopie dokladů o vzdělání).

Další dokumenty jsou v osobním spisu uchovávány, pokud je zaměstnavatel potřebuje z důvodu plnění pracovních povinností
(např. vydat na žádost zaměstnance pracovní posudek) nebo pro ochranu svých práv (např. případný soudní spor o neplatnost
výpovědi z pracovního poměru).

Dále bývá problematické i předávání osobních údajů v rámci skupiny společností, kdy velkou část osobních údajů zaměstnanců
české společnosti má k dispozici její mateřská společnost, ale i případně sesterské společnosti v různých státech. Tato praxe
může být nelegální, protože i když se jedná o mateřskou společnost, má právo vidět jen základní informace o zaměstnancích
svých dceřiných společností, a to zejména pracovní informace, nikoli soukromé (např. dle mého názoru není zpravidla důvod,
aby mateřská společnost měla k dispozici informaci o adrese bydliště zaměstnance). Navíc pokud je mateřské společnost mimo
EHP (např. v Japonsku), musí se řešit i legální způsob předávání osobních údajů do tzv. nebezpečných zemí (např. cestou
závazných podnikových pravidel vypracovaných pro celou skupinu podniků).

Závěrem lze říci, že cesta k „úplné“ implementaci GDPR do každodenní praxe společnosti není jednoduchá, ale pokud se do ní
zapojí všichni zaměstnanci odpovědní za dané oddělení nebo zpracování, přizve se prověřený odborník a následně jsou
všichni zaměstnanci náležitě v této oblasti proškoleni a je důsledně vymáháno dodržování stanovených povinností, není to
nesplnitelný úkol. V rámci tohoto procesu je nutné aplikovat prvky projektového řízení a nastavit si reálné termíny, které se
odvíjejí od pracovní náplně a kapacity všech zainteresovaných osob.

MGR. KLÁRA VALENTOVÁ , TEXT: ADVOKÁTKA SPOLUPRACUJÍCÍ S ADVOKÁTNÍ KANCELÁŘÍ VILÍMKOVÁ DUDÁK &
PARTNERS