V souvislosti s účinností obecného nařízení o ochraně osobních údajů (tzv. “GDPR”) [1] od května příštího roku stojí jistě za pozornost poslední výkladové stanovisko expertní pracovní skupiny 29 na téma zpracování osobních údajů na pracovišti.[2] Jelikož toto stanovisko se netýká pouze zaměstnanců, ale obecně jakýchkoliv pracovníků v obdobném postavení, tj. typicky také osob poskytujících služby na základě živnostenského oprávnění, je toto stanovisko relevantní prakticky pro všechny podnikatele. Hovoříme-li tedy níže o zaměstnavatelích a zaměstnancích, máme na mysli i subjekty v obdobném postavení na obou stranách.
Zcela všudypřítomné monitorování se stalo realitou v důsledku fenoménů, jako je monitoring využití osobních počítačů a mobilních telefonů (keyloggery, automatické screenshoty, monitorování aplikací atp.), inteligentní kanceláře prošpikované Wi-Fi, Bluetooth či RFID technologiemi, biometrické přístupové systémy, automobily s GPS, dalšími senzory a palubními kamerami mnohdy nahrávajícími i přímo zvuk v kabině, až po inteligentní hodinky a jiné wearables. Nadto na rozdíl od klasických kamerových systémů, které rovněž neustále pokrývající stále rozsáhlejší plochy, si jedinec toho, že je neustále sledován skrz výše uvedené moderní technologie nemusí být sám od sebe vůbec vědom.
Text stanoviska zdůrazňuje, že ochrana osobních údajů zaměstnanců je specifická s ohledem na jejich převážně závislé postavení vůči zaměstnavateli. Proto je souhlas zaměstnance se zpracováním osobních údajů zpravidla neplatným a rovněž zavádějícím aktem. Naopak titulem pro zpracování osobních údajů bude obvykle nezbytnost pro splnění smlouvy a právních povinností zaměstnavatele (zejména evidence za účelem odvodů na daně a pojištění a BOZP) nebo nezbytnost pro oprávněné zájmy správce. Při monitorování z titulu oprávněných zájmů zaměstnavatele je však třeba mít na paměti, že se jedná v zásadě o výjimečný důvod, a pokud je takové zpracování v konkrétním případě vůbec v souladu se zákonem, je potřeba jej vždy důsledně omezit zejména místně (monitorovat pouze specifická místa a nikoliv citlivá místa, jako jsou např. šatny), časově (preferovat namátkové oproti nepřetržitému sledování a vyvarovat se jakémukoliv sledování mimo pracovní dobu) a co do obsahu dat (např. nezpracovávat soukromou komunikaci či informace nesouvisející s výkonem práce). Tato omezení jsou o to důležitější, umožňuje-li zaměstnavatel stále oblíbenější práci z domova či práci na dálku a rovněž při podpoře využívání vlastních zařízení zaměstnanců (bring your own device).
Stanovisko WP 29 se také věnuje celé řadě konkrétních situací, jako je například zpracování osobních údajů v podobě veřejných profilů na sociálních sítích. Zde stanovisko upozorňuje, že si zaměstnavatelé často chybně myslí, že mohou sami bez dalšího libovolně zpracovávat veřejně přístupná osobní data (např. data ze sociálních sítí). Zaměstnavatelé by i v těchto případech měli především striktně odlišovat osobní data, která se zaměstnáním nesouvisejí (typicky např. Facebookový profil), a co se relevantních dat týká (zpravidla údaje uvedené na LinkedIn profilu), zdržet se jejich uchovávání, nemají-li k tomu jasný a trvající právní důvod. Stanovisko se rovněž věnuje monitorování datového provozu a mimo jiné dovozuje, že je-li možné blokovat určitě internetové stránky, má být toto řešení s ohledem na princip subsidiarity preferováno před nepřetržitým monitoringem komunikace. Co se týká různých fitness wearables, dokument upozorňuje, že krokoměry spolu s pulsmetry sbírají údaje o zdravotním stavu, a již proto by se jejich monitorování měl každý zaměstnavatel zcela vyvarovat. Stanovisko dále neshledává jako důvodné, aby zaměstnavatel sděloval osobní data zaměstnanců, jako je jejich jméno nebo fotografie, svým klientům (např. poskytování fotografie kurýra ze strany spediční společnosti), a varuje před dalším nelegitimní zpracováním osobních dat, jako je využívány kamerových záznamů sloužících k ochraně majetku a osob k ohodnocení výkonu zaměstnanců. Stejně tak využití geolokačních údajů ke kontrole lokace zaměstnance a jeho chování bude dle stanoviska zpravidla za hranou zákonného zpracování osobních údajů. S ohledem na požadavek GDPR na ochranu osobních údajů jako základní standard (“by design and by default”), by také jakékoliv zařízení předané zaměstnanci, které umožňuje zaměstnance sledovat (sběr údajů o aktivitě a lokaci zařízení atp.), mělo být dle stanoviska vždy zaměstnavatelem nestanoveno na co nejširší soukromý režim. Na jiném místě pak stanovisko konkrétně uvádí, že zaměstnanci by měli mít možnost privátního nastavení i v cloudových aplikacích používaných v souvislosti s prací, jako jsou textové editory, kalendáře či sociální sítě. Stanovisko se nadto dotýká i celé řady dalších aktuálních témat, jako je inspekce šifrovaného datového provozu, mobile device management či předávání osobních údajů do zahraničí při využívání cloudových služeb.
Závěrem lze shrnout, že zaměstnavatelé by především neměli zapomínat, že lehkost s jakou mohou v moderní době zaměstnance sledovat, nezbavuje zaměstnance jejich základních lidských práv na ochranu soukromého života a ochranu listovního tajemství. Listovním tajemstvím se přitom rozumí důvěrnost veškeré soukromé distanční komunikace jako je telefon, e-mail nebo jakákoliv messaging služba. Zaměstnavatelé tak musejí vždy hledat rovnováhu mezi svým legitimním zájmem na ochraně majetku a na efektivitě práce na jedné straně a rozumným očekáváním zaměstnanců ohledně ochrany soukromí na straně druhé. Při posuzování konkrétních otázek ohledně sběru osobních údajů je tak vždy nutné zvážit, zda je dané opatření skutečně nezbytné k dosažení legitimních cílů a k dosažení těchto cílů používá přiměřené prostředky. Před zavedením jakéhokoliv opatření je pak zejména třeba pamatovat na zásadu transparentnosti a zaměstnavatel by měl zaměstnance o konkrétním monitorování nejenom informovat, ale poučit je rovněž o účelu a o způsobu zpracování osobních údajů, jakož i o případných možnostech, jak se monitorování vyhnout či jak jej deaktivovat.
Mgr. Tomáš Elbert, advokát
