Nepřístupný dokument, nutné přihlášení
Input:

Pravidla zaměstnavatele k ochraně osobních údajů

9.3.2018, , Zdroj: Verlag Dashöfer

2.16.1
Pravidla zaměstnavatele k ochraně osobních údajů

JUDr. Věra Bognárová, JUDr. Jaroslav Šuchman

Pravidla zaměstnavatele k ochraně osobních údajů

Zaměstnavatel ………………. (uvést jeho přesné označení, sídlo, IČO)

zastoupený ………………………

V zájmu zajištění ochrany osobních údajů zaměstnanců, jakožto subjektů údajů, vydávám v souladu se zákonem č. ../2018 Sb., o zpracování osobních údajů („zákon”, pozn.: (k datu redakční závěrky byl znám pouze vládní návrh adaptačního zákona, proto neuvádíme jeho číslo ve Sbírce zákonů) a Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („nařízení”) a po projednání s odborovou organizací tato pravidla:

1. Tato pravidla se vztahují na všechny zaměstnance ........ (název společnosti, podniku, družstva apod. - zaměstnavatel“) v pracovněprávním vztahu a, jde-li o management zaměstnavatele, též ve vztahu smluvním.

2. Všichni zaměstnanci, na něž vztahují tato pravidla (bod 1), jsou povinni dodržovat při shromažďování, evidenci a zpracování osobních údajů ustanovení zákona a nařízení, které též stanoví, co se těmito údaji a nakládáním s nimi rozumí (čl. 4 nařízení). Stejně tak jsou povinni se řídit příslušnými ustanoveními zákoníku práce upravujícími tuto problematiku (zejména § 312 ZP a § 316 odst. 4 ZP).

3. Všechny osoby, které zpracovávají osobní údaje pro zaměstnavatele, jakož i další osoby, které přijdou do styku s osobními údaji u zaměstnavatele nebo zpracovatele, jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních přijatých zaměstnavatelem. Povinnost mlčenlivosti trvá i po skončení pracovního poměru nebo poměru obdobného.

4. Způsob nakládání s osobními údaji v souladu se zásadami zpracování uvedenými v čl. 5 nařízení určí příslušní vedoucí zaměstnanci, v jejichž působnosti k nakládání dochází.

Alternativa 1

V případě, že povinnost zpracovávat osobní údaje nevyplývá z obecně závazného právního předpisu (např. ze zákona o zaměstnanosti, ze zákona o účetnictví) anebo ze smlouvy uzavřené se zaměstnancem, lze údaje tohoto zaměstnance zpracovávat na základě uděleného souhlasu. Souhlas se zpracováním osobních údajů nelze v žádném případě vynucovat. Udělení souhlasu musí být dobrovolné a vždy prokazatelné. Vedoucí zaměstnanec také zajistí náležité informování zaměstnance podle čl. 13, resp. čl. 14 nařízení.

Altternativa 2

Vyplývá-li povinnost zpracovávat osobní údaje přímo nebo nepřímo z obecně závazných právních předpisů, ustanovení předchozí věty se nepoužije. Těmito předpisy jsou zejména:

  • zákoník práce,

  • zákon o zaměstnanosti,

  • zákon o organizaci a provádění sociálního zabezpečení

  • zákon o veřejném zdravotním pojištění,

  • zákon o účetnictví,

  • daňový řád

  • ……………………atd. (podle potřeby zaměstnavatele).

Pokud nutnost shromažďovat a zpracovávat osobní údaje ze zvláštních právních předpisů nevyplývá, jsou tito vedoucí zaměstnanci povinni uzavřít v případě potřeby se zaměstnancem dohodu o souhlasu se zpracováním jeho osobních údajů. Související plnění informační povinnosti vůči subjektu údajů upravuje směrnice Informace zaměstnavatele o základních právech a povinnostech vyplývajících z pracovního poměru a informace o zpracování osobních údajů.

5. Pokud zaměstnavatel zapojí do zpracování jiný subjekt, je povinen s externím zpracovatelem dle čl. 28 nařízení uzavřít smlouvu o zpracování. Tato smlouva musí být písemná a obsahovat veškeré náležitosti uvedené v čl. 28 odst. 3 nařízení.

6. Zaměstnavatel je povinen zpracovávat zvláštní kategorii osobních údajů pouze na základě zvláštních právních důvodů uvedených v čl. 9 odst. 2 nařízení, přičemž je povinen dodržet podmínky pro udělení souhlasu uvedené v čl. 7, 9 a 13 nařízení.

7. Zaměstnavatel je povinen v souladu s čl. 30 nařízení vést záznamy o činnostech zpracování, které obsahují zejména informace o kontaktních údajích zaměstnavatele, účelech zpracování, subjektech údajů, příjemcích, předávávání do třetí země, lhůty pro výmaz a obecný popis technických a organizačních bezpečnostních opatření v případech kdy:

  • zaměstnává více než 250 osob, anebo

  • zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.

8. Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, bude mít za následek vysoké riziko pro práva a svobody fyzických osob (nejen zaměstnanců, ale také svých zákazníků apod.), provede zaměstnavatel před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů podle čl. 35 nařízení. Pokud z posouzení vlivu vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by zaměstnavatel nepřijal opatření ke zmírnění tohoto rizika, požádá Úřad pro ochranu osobních údajů (dále jen „Úřad”) o předchozí konzultaci dle čl. 36 nařízení.

9. Zaměstnavatel vždy vypracovává posouzení vlivu uvedené v bodě 8. zejména v případech, kdy se v rámci zpracování jedná o:

  • systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;

  • rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nařízení nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v čl. 10 nařízení;

  • rozsáhlé systematické monitorování veřejně přístupných prostorů;

  • zpracování, které podléhá požadavku na posouzení vlivu na ochranu osobních údajů dle seznamu sestaveného Úřadem.

10. Zaměstnavatel dle podmínek uvedených v čl. 37 nařízení rozhodne, zda jmenuje pověřence pro ochranu osobních údajů či nikoli. Zaměstnavatel, který nejmenoval pověřence pro ochranu osobních údajů, neboť neprovádí zpracování, jehož hlavní činnost spočívá v operacích, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektu údajů, anebo v operacích spočívajících v rozsáhlém zpracování zvláštní kategorie a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů, vypracuje na základě doporučení1 pracovní skupiny WP292 analýzu o nejmenování pověřence pro ochranu osobních údajů.

11. Na osobní spis zaměstnance (§ 312 ZP), do kterého se uvádějí pouze nezbytné údaje potřebné pro uzavření pracovní smlouvy a k vedení mzdové evidence, se nevztahuje souhlas zaměstnance. Personální referát (nebo jiné pověřené pracoviště) je přitom povinen zajistit, aby k personálním spisům neměly přístup nepovolané osoby a zamezit jejich případnému zneužití.

12. Zaměstnavatel (případně na základě pokynu zaměstnavatele zpracovateli prostřednictvím zpracovatele) je povinen provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány (čl. 17 nařízení). Likvidaci je třeba provést také v případě, kdy subjekt údajů požádá o ukončení zpracování osobních údajů nebo vezme zpět svůj souhlas se zpracováním osobních údajů, je-li tento nezbytný pro další zpracování a nesvědčí-li zaměstnanci jiný právní titul pro zpracování osobních údajů. Likvidací osobních údajů je pověřen ............ (kdo). Souhlas k likvidaci dává na jeho návrh ............. (oprávněný orgán zaměstnavatele). O likvidaci se provede zápis, který bude uložen ……….. (místo uložení).

13. Případné stížnosti zaměstnance na porušení povinností zaměstnavatelem při ochraně jeho osobních údajů projedná se zaměstnancem ......... (kdo, zpravidla příslušný vedoucí zaměstnanec). Zjistí-li oprávněnost stížnosti, je povinen neprodleně učinit opatření k nápravě.

14. Zaměstnavatel …… (kdo, zpravidla příslušný vedoucí zaměstnanec anebo pověřenec pro ochranu osobních údajů na základě písemného pokynu uděleného zaměstnavatelem) vyřizuje žádosti týkající se zpracování osobních údajů zaměstnanců, příp. jiných subjektů údajů bezodkladně, nejpozději však ve lhůtě 30 dnů, a to v souladu s:

  • recitály 63, 64 a čl. 15 nařízení, jedná-li se o žádosti na přístup k osobním údajům,

  • recitálem 65 a čl. 16 nařízení, jedná-li se o právo na opravu,

  • recitály 65, 66 a čl. 17 nařízení, jedná-li se o právo na výmaz,

  • recitálem 67 a čl. 18 nařízení, jedná-li se o právo na omezení zpracování,

  • recitálem 68 a čl. 20 nařízení, jedná-li se o právo na přenositelnost,

  • recitály 69, 70 a čl. 21 nařízení, jedná-li se právo vznést námitku,

  • recitály 71, 72 a čl. 22 nařízení,