Jak chránit soukromí zaměstnanců a jejich osobní data

Dnes je ochrana soukromí zaměstnanců ve firmách mnohem vyšší prioritou, než tomu bylo dříve. Shromažďování, uchovávání a používání osobních údajů může vyvolat závažné právní a etické obavy. Proto je pro zaměstnavatele nezbytné, aby porozuměli pravidlům a předpisům týkajících se soukromí zaměstnanců.

Jednou z nejdůležitějších věcí, kterou musí zaměstnavatelé pochopit, je, že práva na soukromí nejsou absolutní. Za určitých okolností může být zaměstnavatelům povoleno shromažďovat, ukládat a používat osobní údaje za účelem plnění obchodních procesů. Zaměstnavatelé však musí také dbát na to, aby v tomto procesu neporušovali žádná práva na ochranu soukromí.

A právě jedním z klíčových aspektů ochrany soukromí zaměstnanců je monitorování pracoviště. Zaměstnavatelé mohou sledovat komunikaci zaměstnanců a používání firemního vybavení, aby zajistili, že zaměstnanci tyto zdroje náležitě využívají. Zaměstnavatelé však také musí zajistit, aby v tomto procesu neporušovali práva zaměstnanců na soukromí. Například sledování e-mailů nebo telefonních hovorů bez souhlasu zaměstnance je obecně zakázáno.

Dalším důležitým aspektem ochrany soukromí zaměstnanců je shromažďování a používání osobních údajů. Zaměstnavatelé musí zajistit, že shromažďují pouze informace, které jsou nezbytné k výkonu jejich obchodních procesů, a že tyto informace používají pouze pro účely, pro které byly shromážděny. Zaměstnavatelé se také musí postarat o řádné zabezpečení těchto informací, aby se zabránilo neoprávněnému přístupu nebo zneužití.

Zaměstnavatelé si také musí být vědomi práv na soukromí zaměstnanců v souvislosti s testováním na drogy, prověrkami a lékařskými prohlídkami. Pokud lékařská prohlídka přímo nesouvisí se schopností zaměstnance vykonávat danou práci, není v právu zaměstnavatele ji po pracovníkovi vyžadovat. 

Zároveň si musí být zaměstnavatelé vědomi svých povinností. Některé státy mají například zákony, které zakazují zaměstnavatelům ptát se uchazečů o zaměstnání na jejich kriminální minulost, nebo které vyžadují, aby zaměstnavatelé poskytli zaměstnancům co nejvíce předchozích upozornění před provedením testu na drogy. V Česku se například dost často řeší téma pohovorů a otázek na plánování rodičovství, zdravotní stav, sexuální orientaci, politickou orientaci nebo na jinou osobní či rodinnou situaci. Všechny tyto otázky spadají pod zákon č. 262/2006 Sb., tedy Zákoník práce, a zákon č. 198/2009 Sb., o rovném zacházení a o právních prostředcích ochrany před diskriminací a o změně některých zákonů (antidiskriminační zákon). Na takové otázky v podstatě nemusíte odpovídat, jedná se totiž o diskriminaci. Bohužel spousta zaměstnavatelů na to nebere zřetel a může to být nakonec i důvod, proč kandidáta nepřijmou. Tato problematika se týká mnohdy také pohlaví nebo rasy. Opět se jedná o diskriminaci, kterou byste jako firma neměli tolerovat.

Dalším důležitým bodem v ochraně soukromí zaměstnanců jsou kamerové systémy. Opět je lze využívat pouze dle určitých pravidel. Kamery se například nesmějí nacházet ve sprchách, na toaletách nebo v šatnách. Zároveň by neměla být důvodem jejich instalace nedůvěra v zaměstnance. Naopak by se měly nacházet v institucích, kde se nachází majetek, který by mohl být odcizen veřejností, nebo se jedná o peněžní ústavy.

O co se z hlediska práva opřít?

Ve světě existuje několik zákonů a regulací, které by soukromí zaměstnanců řešilo. V České republice se o toto téma opírá zákon č. 262/2006 Sb., tedy Zákoník práce, a konkrétně paragraf 316 o ochraně majetkových zájmů zaměstnavatele a ochraně osobních práv zaměstnance. Zde je uvedeno, že v některých případech (pakliže utrpěla jeho důstojnost) má zaměstnanec dokonce právo na odškodné. Kontrolu pošty, a to i elektronické, pak upravuje Listina základních práv a svobod, která říká, že zde platí ochrana listovního tajemství. Někteří zaměstnavatelé však považují soukromé zprávy, které obdržel zaměstnanec v pracovní schránce, za pracovní poštu, která může být kontrolována.

Je proto opravdu třeba dbát na to, do jaké míry můžete zaměstnance kontrolovat a kdy se už jedná o omezování soukromí a tím pádem porušování jeho práv a svobod.

Jak dodržet předpisy a neomezovat soukromí zaměstnanců?

Aby firma zajistila respekt k právům zaměstnanců a jejich soukromí a dodržovala příslušné zákony a předpisy, je potřeba podniknout určité kroky. Zde je několik tipů:

Vypracujte jasné zásady ochrany osobních údajů. Ty stanoví závazek společnosti k ochraně soukromí zaměstnanců, typy informací, které mohou být shromažďovány, jak budou tyto informace používány a chráněny, a práva zaměstnanců ve vztahu k jejich osobním údajům. Zároveň by mělo být jasně stanoveno, jakým způsobem se s nimi bude manipulovat a jak s nimi bude v případě odchodu zaměstnance dále naloženo.

Poskytněte školení. Zajistěte, aby všichni zaměstnanci absolvovali školení o zásadách ochrany osobních údajů společnosti a jejich právech a povinnostech ve vztahu k osobním údajům.

Monitorujte pracoviště. A to do takové míry, abyste se ujistili, že zaměstnanci náležitě používají vybavení a zdroje společnosti. Jak už ale bylo uvedeno výše, vždy pamatujte na jejich práva na soukromí a sledujte pouze to, co je nezbytné. Zároveň vždy získejte jejich souhlas, že se pohybují v monitorovaném prostředí a také, jak s těmito záznamy bude naloženo.

Sbírejte pouze nezbytné informace. Shromažďujte pouze ty osobní údaje, které jsou nezbytné k provádění obchodních procesů, a vždy používejte tyto informace pouze pro účely, pro které byly shromážděny.

Zabezpečte osobní údaje. Podnikněte kroky k zabezpečení osobních údajů, jako je šifrování citlivých dat, implementace řízení přístupu a pravidelné sledování systémů z hlediska narušení bezpečnosti. Uchovávejte osobní údaje bezpečně, například v šifrovaných databázích nebo cloudových úložných systémech, používejte firewally, systémy detekce narušení a vícefaktorové ověřování, a pravidelně zálohujte data, abyste zabránili jejich ztrátě. Nezapomeňte i v oblasti zabezpečování své zaměstnance pravidelně školit a vzdělávat.

Provádějte pravidelné bezpečnostní audity. Mají za cíl identifikovat a řešit případné zranitelnosti v ukládání a ochraně osobních údajů.

Okamžitě reagujte na narušení bezpečnosti. A to jakékoli, abyste minimalizovali riziko poškození zaměstnanců a zajistili ochranu osobních údajů.

Buďte v obraze. Dbejte na to, abyste vždy jako firma dodržovali aktuálně platné zákony a předpisy, které mohou zaměstnancům poskytnout další práva na ochranu soukromí, a vše pečlivě dodržujte.

Pravidelně kontrolujte a aktualizujte zásady ochrany osobních údajů. Tím zajistíte, že zůstanou relevantní a v souladu se současnými zákony a osvědčenými postupy.

Zvažte najmutí odborníka na ochranu osobních údajů. Pokud to není ve vašich silách, rozhodně nešetřete na člověku, který se vám kompletně o správu a ochranu osobních dat postará. Poskytne vám rady ohledně zákonů a předpisů na ochranu soukromí a pomůže při implementaci zásad a postupů ochrany osobních údajů.

Získejte potřebné souhlasy. Nikdy nezapomeňte, že od zaměstnanců před shromažďováním, ukládáním nebo používáním jejich osobních údajů potřebujete vyjádření souhlasu. Dejte jim také možnost odmítnout určité typy shromažďování dat.

Omezte přístup k osobním údajům. A to na ty zaměstnance, kteří je potřebují k plnění svých pracovních povinností, nejčastěji tedy HR, právní nebo finanční oddělení. Zajistěte, aby byly zavedeny kontroly, které zabrání neoprávněnému přístupu.

Zajistěte transparentnost. Buďte transparentní ohledně typů shromažďovaných informací a způsobu, jakým budou tyto informace použity, a na požádání zaměstnanců jim přístup k jejich osobním údajům poskytněte.

Likvidujte osobní údaje bezpečně. Například skartováním papírových záznamů a vymazáním digitálních kopií, abyste zabránili neoprávněnému přístupu k těmto informacím.

Dodržujte zákony na ochranu dat. Dodržujte příslušné zákony na ochranu dat, jako je obecné nařízení o ochraně osobních údajů (GDPR).

Uchovávejte záznamy o činnostech zpracování údajů. Včetně typů osobních údajů, které jsou shromažďovány, účelů, pro které se tyto informace používají, a příjemců těchto informací.

Poskytněte ochranu soukromí vzdáleným pracovníkům. Pokud někteří vaši zaměstnanci pracují remote, zajistěte, aby i oni měli přístup k zabezpečeným sítím a systémům a aby byly osobní informace chráněny při přenosu přes internet.

Dbejte na stížnosti od zaměstnanců. Povzbuďte zaměstnance, aby hlásili jakékoli obavy z narušení soukromí nebo podezření na porušení od jiné osoby, a zaveďte postupy pro vyšetřování a řešení těchto obav.

Podporujte kulturu soukromí. V rámci organizace zdůrazňujte důležitost ochrany osobních údajů a povzbuzujte zaměstnance, aby byli ostražití při ochraně práv na soukromí.

Ochrana osobních údajů v České republice

V České republice se ochrana osobních údajů a práva na soukromí řídí obecným nařízením Evropské unie o ochraně osobních údajů (GDPR), platný od května 2018, a také zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

GDPR stanovuje práva fyzických osob ohledně jejich osobních údajů, včetně práva na přístup k osobním údajům, jejich opravu a výmaz, jakož i práva na přenositelnost údajů a práva vznést námitku proti zpracování osobních údajů.

Zákon č. 101 stanovuje pravidla pro zpracování osobních údajů v České republice, včetně požadavku na získání souhlasu se zpracováním osobních údajů, povinnosti správců údajů a práva subjektů údajů.

Zaměstnavatelé v České republice jsou povinni tyto dva předpisy dodržovat a podniknout kroky k ochraně práv na soukromí zaměstnanců. Zaměstnanci, kteří se domnívají, že byla v tomto ohledu jejich práva na pracovišti porušena nebo byla jejich osobní data zneužita, mají právo podat stížnost na Úřad pro ochranu osobních údajů. Zaměstnancům se však doporučuje, aby před přijetím jakéhokoli opatření vyhledali právní radu, aby byla zajištěna ochrana jejich práv.

Příklad sporu v oblasti soukromí a osobních údajů v zahraničí

Příkladem soudního sporu o porušení ochrany osobních údajů a práv na soukromí je případ Schrems vs. Facebook z let 2018 – 2019.

Max Schrems, rakouský aktivista v oblasti ochrany osobních údajů, podal u irského komisaře pro ochranu osobních údajů stížnost na Facebook, v níž tvrdil, že Facebook přenáší osobní údaje z Evropské unie do Spojených států v rozporu s právními předpisy EU na ochranu soukromí.

Případ byl nakonec postoupen Soudnímu dvoru Evropské unie, který rozhodl, že rámec EU-US Privacy Shield, který upravoval přenos osobních údajů z EU do USA, je neplatný. SDEU shledal, že rámec nezajišťuje přiměřenou ochranu práv občanů EU na soukromí a že přenos osobních údajů do USA je proto v rozporu s právními předpisy EU na ochranu soukromí.

Rozhodnutí ve věci Schrems vs. Facebook mělo významné důsledky pro společnosti působící v EU a prokázalo důležitost dodržování zákonů na ochranu soukromí a ochrany osobních údajů. Případ také zdůraznil, že je důležité, aby jednotlivci mohli uplatňovat svá práva a domáhat se nápravy v případech porušení práv na soukromí.

Příklad sporu v oblasti soukromí a osobních údajů v České republice

Příkladem případu porušení ochrany osobních údajů a práv na soukromí v České republice je případ Českého úřadu pro ochranu osobních údajů proti Playzone, sro.

V Playzone, české společnosti provozující online platformu pro rezervaci volnočasových aktivit, bylo zjištěno, že se zpracovávají osobní údaje zákazníků bez jejich souhlasu, a to v rozporu s GDPR a českým zákonem o ochraně osobních údajů.

Český úřad pro ochranu osobních údajů udělil Playzone za porušení pokutu a nařídil, aby společnost přestala zpracovávat osobní údaje svých zákazníků bez jejich souhlasu.

Případ dokládá důležitost dodržování zákonů na ochranu soukromí a dává najevo důsledky nezabezpečení osobních údajů i roli regulačních orgánů při prosazování zákonů na ochranu soukromí a ochraně práv jednotlivců.

Orientace v právech a předpisech na ochranu soukromí zaměstnanců může být pro zaměstnavatele složitým a náročným úkolem. Pochopením zákonů a předpisů, které se vztahují na jejich organizaci, a přijetím kroků, které zajistí, že neporušují žádná práva na soukromí, mohou zaměstnavatelé pomoci chránit jak své zaměstnance, tak své podnikání.

Líbil se vám článek?

Více kvalitního obsahu pro profesionály v oboru HR najdete na našem blogu.