dnes je 20.10.2019
Input:

Monitoring zaměstnanců z pohledu GDPR

27.9.2019, , Zdroj: Verlag Dashöfer

2019.21.01
Monitoring zaměstnanců z pohledu GDPR

JUDr. Magda Janotová

Moderní technologie umožňující okamžité sdílení informací a relativně snadné analytické zpracování dat jsou velkým lákadlem pro zaměstnavatele ve smyslu možnosti sledovat výkony svých zaměstnanců či monitorovat využívání svěřených prostředků. Jejich zavádění v infrastruktuře, softwaru nebo hardwaru (např. v mobilních zařízeních) na pracovišti umožňují nové způsoby systematického a potenciálně invazivního zpracování dat. Například používání online služeb anebo lokačních údajů z chytrého zařízení jsou pro zaměstnance mnohem méně viditelné než tradičnější způsoby (např. neskryté kamery). Rovněž hranice mezi domovem a pracovištěm není úplně jasná – zaměstnanci mohou například pracovat z domova nebo během služební cesty (Pracovní skupina WP29. Stanovisko 2/2017 ke zpracování osobních údajů na pracovišti. Pracovní překlad. [online]. 2017 [cit. 15. 8. 2019] https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=30203).

PRÁVNÍ RÁMEC

Primárním konfliktem, který musí současná i budoucí legislativa v této oblasti řešit, je existence ochrany soukromí a ochrany osobních údajů na jedné straně a zároveň vlastnické právo zaměstnavatele na straně druhé. Úkolem zákonodárců pak je vyřešit kolizi těchto dvou ústavně zaručených práv. Kromě toho zde existují ještě práva a povinnosti týkající se daného pracovního poměru. Podle ustanovení § 316 odst. 1 ZP nesmí zaměstnanec využít pro svou osobní potřebu jakýkoliv výrobní či pracovní prostředek zaměstnavatele, aniž by k takovému užití měl jeho souhlas. Dle judikatury je rozsah souhlasu pro použití pracovních a výrobních prostředků k osobní potřebě zcela na vůli zaměstnavatele. Zákaz použití se týká i výpočetní techniky a telekomunikačních prostředků zaměstnavatele a je absolutní. Zaměstnanec je naopak povinen tyto výrobní prostředky používat pouze za účelem výkonu uložené práce a má povinnost řádného hospodaření s nimi.

Dne 25. 5. 2018 nabylo účinnosti Nařízení 2016/679 Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (tzv. GDPR), které vnáší do oblasti ochrany dat nový rozměr, a hlavně posiluje její společenský význam. Jeho významným aspektem je univerzální platnost pro všechny země EU. V návaznosti na to pak v ČR nabyl účinnosti dne 24. 4. 2019 zákon č. 110/2019 Sb., o zpracování osobních údajů, upřesňující GDPR (tzv. „adaptační zákon”) Pozn.: Dřívější národní zákony (v ČR zákon č. 101/2000 Sb., o ochraně osobních údajů) bohužel vycházely ze značně zastaralé evropské směrnice (Směrnice 95/46/ES Evropského parlamentu a Rady ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů), v současné době jsou již neúčinné, proto nejsou v dalším textu analyzovány.

GDPR A ZÁKONNOST ZPRACOVÁNÍ

Do oblasti monitoringu zaměstnanců zavádí GDPR celou řadu nových pravidel, která vycházejí ze zásad tohoto Obecného nařízení (čl. 5 GDPR). Zaměstnavatel je proto povinen zavedení monitorovacího systému a jeho nezbytnost nejen řádně odůvodnit ve smyslu legitimnosti těchto prostředků, ale také právně posoudit, zda jsou pro zavedení monitorovacích prostředků splněny veškeré podmínky vyžadované právním řádem. Ještě před zahájením zpracování by měl být proveden tzv. test proporcionality, aby se posoudilo, zda je dané zpracování k naplnění oprávněného účelu nutné, a aby se zvážila opatření nezbytná pro zajištění, že pravděpodobnost porušení práva na soukromý život a důvěrnost komunikací bude snížena na minimum.

Pro většinu zpracování dat na pracovišti nemůže a neměl by být právním důvodem souhlas zaměstnance (článek 7, písm. a) vzhledem k povaze vztahu mezi zaměstnavatelem a zaměstnancem. Zpracování osobních údajů nemůže být legalizováno zaměstnaneckým souhlasem tam, kde nesouhlas by vedl ke skutečné nebo možné újmě, což v souvislosti se zaměstnáním může být vysoce pravděpodobné, hlavně týká-li se to průběžného sledování zaměstnance zaměstnavatelem. Souhlas by pak nemohl být v žádném případě svobodný, jelikož se musí jednat o konkrétní a informovaný projev zaměstnancovy vůle. Vzhledem k nerovnováze sil mohou zaměstnanci udělit svobodný souhlas jen za výjimečných okolností, kdy souhlas nebo odmítnutí nevyvolá žádné následky (Škorníčková, Eva. Důvěřuj, ale prověřuj? GDPR zpřísňuje monitoring zaměstnanců [online]. 2018 [cit. 15.8.2019] Dostupné z na https://www.gdpr.cz/blog/monitoring-zamestnancu).

Velmi častým legitimním důvodem pro zpracování osobních údajů při monitoringu je oprávněný zájem. Ten může spočívat v ochraně majetku anebo prokazování důležitých skutečností či vyplývat z důvodu bezpečnosti práce. Účel zpracování však musí být oprávněný a zvolená metoda nebo konkrétní technologie zpracování musí být nezbytná pro naplnění oprávněného zájmu zaměstnavatele. Zpracování také musí být proporcionální vzhledem k podnikatelským potřebám, tj. odpovídat danému účelu. Zpracování dat na pracovišti by mělo být prováděno co možná nejméně vtíravým způsobem a být zaměřeno na specifickou rizikovou oblast. Test proporcionality (pro splnění zásady proporcionality a subsidiarity) by měl být proveden před nasazením jakéhokoliv monitorovacího nástroje, aby se zvážilo, zda jsou všechna data potřebná, zda dané zpracování nepřevažuje nad obecnými právy ohledně soukromí, kterých zaměstnanci požívají i na pracovišti, a jaká opatření je třeba učinit pro zajištění, že zásahy do práva na soukromý život a práva na důvěrnost komunikace budou omezeny na nezbytné minimum.

S oprávněným zájmem souvisí také právo zaměstnance na námitku vůči zpracování ze závažných a legitimních důvodů. GDPR posiluje systém práv subjektů údajů, a to jak v aktualizaci stávajících práv, tak i některými novými právy, jako je např. právo na přenositelnost. Jejich účelem je vybalancovat vztah mezi správcem a subjektem údajů.

Operace zpracování musí také být ve shodě s požadavky transparentnosti (články 10 a 11 GDPR) a zaměstnanci by měli být jasně a plně informováni o zpracování svých údajů, včetně přítomnosti jakéhokoliv sledování. Měli by být informováni rovněž i rozsahu kontroly a o způsobu jejího provádění – kde a po jakou dobu budou údaje uchovávány, kdo k nim má přístup, kdo bude kontrolu provádět a jakým způsobem. Dále je nutno uvést informace o době a způsobu uložení shromážděných informací a informace o provedených technicko-organizačních opatření mimo jiné z důvodu minimalizace rizika jejich úniku.

GDPR A MONITOROVÁNÍ

Jak je naznačeno v dalším textu, dopouští se zaměstnavatelé často různých pochybení. Např. o způsobu kontroly a důvodech monitoringu rozhodoval i v minulosti ELSP v rozhodnutí ze dne 12. ledna 2016 č. 61496/08, Bărbulescu proti Rumunsku. V tomto procesu byl stěžovatel zaměstnán v soukromé společnosti jako inženýr v oddělení prodeje. Na žádost zaměstnavatele si založil účet na Yahoo Messenger, aby mohl odpovídat na žádosti zákazníků. V červenci 2007 jej zaměstnavatel informoval o tom, že jeho komunikace na tomto účtu byla v předchozích osmi dnech monitorována a že ze záznamů vyplývá, že jej v rozporu s vnitřními pravidly společnosti vyžíval rovněž k soukromým účelům. Stěžovatel to popřel, poté mu však bylo předloženo jako důkaz 45 stran přepisu jeho komunikace včetně komunikace s jeho bratrem a snoubenkou. Společnost stěžovatele následně propustila pro porušení vnitřních předpisů, které kromě jiného zakazují používat počítače a další elektronická zařízení společnosti k soukromým účelům. Stěžovatel se bránil proti ukončení pracovního poměru u soudu, kde poukazoval na porušení svého soukromí a korespondence (Murad, M. Uhrinová, A. Monitoring činností zaměstnanců ze strany zaměstnavatele [online]. 2019 [cit. 15.8.2019]. Dostupné z https://www.epravo.cz/top/clanky/monitoring-cinnosti-zamestnancu-ze-strany-zamestnavatele-1-cast-109563.html).

Porušení shledal ESLP zejména v tom, že zaměstnavatel předem neinformoval zaměstnance o možnosti a rozsahu sledování jeho soukromé korespondence na Yahoo Messengeru. Podstatné však je, že ESLP potvrdil, že zaměstnavatel má právo na monitorování komunikace zaměstnanců, pokud k tomu má legitimní důvod. Tímto legitimním důvodem může být (jako v tomto případě) podezření ze zneužívání pracovních nástrojů k soukromým účelům nebo například kontrola kvality péče o klienty či nutnost přístupu do e-mailové schránky zaměstnance v době jeho dovolené (za předpokladu, že toto nelze zařídit jinak). V úvahu je nutné také vzít, zdali je sledován tok komunikace, nebo i její obsah, zdali byla sledována celá komunikace, nebo pouze její část, či zda byl např. omezen počet osob, který měl ke sledované komunikaci přístup. Jinými slovy, zda je míra zásahu do soukromí relevantní a přiměřená. Základním předpokladem pro uvažování o zavedení sledování komunikace však v intencích rozhodnutí ESLP je povinnost zaměstnavatele o těchto nástrojích transparentně zaměstnance informovat.

V obdobném případu kontroly zaměstnanců rozhodoval také v minulosti Nejvyšší soud ve svém rozhodnutí ze dne 16. srpna 2012, sp. zn. 21 Cdo 1771/2011. V tomto případě zaměstnanec v září 2009 v rámci pracovní doby strávil přes 102 hodin prohlížením internetových stránek, které neměly spojitost s plněním jeho pracovních úkolů. Od prohlížení internetových stránek zaměstnance neodradil ani zákaz v pracovním řádu zaměstnavatele. Zaměstnavatel na základě provedené kontroly uvedené porušení povinností zjistil a se zaměstnancem okamžitě zrušil pracovní poměr pro zvlášť hrubé porušení pracovních povinností. Zaměstnanec tvrdil, že prohlížení internetových stránek nebylo na úkor plnění jeho pracovních povinností. Dále připustil, že zřejmě porušil nějakou povinnost, ale že se nejednalo o porušení povinností zvlášť hrubým způsobem. To ostatně i potvrdil i NS - zaměstnanec porušil svoje pracovní povinnosti dle ustanovení § 38 odst. 1 písm. b) ZP a § 316 odst. 1 ZP a pracovního řádu zaměstnavatele tím, že porušil výslovný zákaz bez souhlasu zaměstnavatele užívat pro svou osobní potřebu jeho výrobní a pracovní prostředky včetně výpočetní techniky a povinnost zaměstnance plně využívat pracovní dobu k plnění pracovních úkolů. K námitce zaměstnance, že zaměstnavatel tajně sledoval jeho užívání internetu, NS připustil, že kontrola dodržování výše uvedených povinností nemůže být vykonávána zcela libovolně, ale musí být prováděna přiměřeným způsobem. Přiměřenost kontroly je nutné zkoumat vždy s přihlédnutím k rozhodujícím okolnostem každého konkrétního případu. Zejména je nutné vzít v úvahu, zda šlo o kontrolu průběžnou či následnou a jaká byla délka a rozsah kontroly. Podstatné také je to, zda a do jaké míry kontrola omezovala zaměstnance v jeho činnosti a do jaké míry zasahovala do jeho práva na soukromí. V tomto případě však smyslem provedené kontroly bylo zjištění, zda zaměstnanec respektuje zákaz užívat pro svou osobní potřebu výpočetní techniku zaměstnavatele vyplývající ze zákoníku práce a zda respektuje zákaz prohlížení internetových stránek, které s výkonem práce nesouvisí, vyplývající z vnitřního předpisu zaměstnavatele. Nebylo tedy kontrolováno, které internetové stránky zaměstnanec sleduje, a proto kontrola směřovala jen k ochraně majetku zaměstnavatele.

Z výše uvedeného tedy vyplývá, že je důležité stanovit ve vnitřním předpisu pravidla týkající se využívání zařízení zaměstnavatele pro soukromé účely a kritéria pro provádění kontroly dodržování těchto pravidel. Zejména je vhodné stanovit, kdo a v jakém rozsahu je oprávněn u zaměstnavatele kontrolu provést s tím, že větší důraz by měl být kladen na kontrolu následnou (kdy už existuje nějaké podezření). Vždy je však ale nutno posuzovat každý případ zvlášť, a to rovněž s ohledem na legitimní očekávání soukromí zaměstnanců, a ve svém výsledku poskytovat zaměstnancům neomezitelnou minimální úroveň soukromí, která se vždy uplatní. Také je potřeba dbát na to, aby osobní údaje z monitorovacích zařízeních byly přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Je nezbytné zejména zajistit, aby byla doba, po kterou jsou osobní údaje uchovávány, omezena na nezbytné minimum.

Zaměstnavatel jako správce osobních údajů je odpovědný za jakékoliv zpracování osobních údajů jím prováděné nebo prováděné pro něj. Zaměstnavatel je zejména povinen zavést vhodná a účinná opatření a být schopen doložit, že činnosti zpracování jsou v souladu s GDPR, včetně účinnosti opatření. Tato opatření by měla zohledňovat povahu, rozsah, kontext a účely zpracování a riziko pro práva a svobody fyzických osob. Před zahájením monitorování by měl zaměstnavatel provést důkladnou analýzu toho, jaké zájmy monitorováním zaměstnanců chránit, a zvážit, zda nelze zájmy či majetek chránit jiným způsobem než monitorováním zaměstnanců. Pokud určitý druh zpracování, zejména při využití nových technologií a s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, ukládá GDPR v článku 35 pro tyto případy novou povinnost správcům zpracovat posouzení vlivu na ochranu osobních údajů (tzv. „posouzení vlivu”). Příkladem může být docházkový systém za využití biometrických údajů (fotografie zorničky nebo otisk prstu), který je novou technologií aplikovanou na zaměstnance. Pokud z posouzení vlivu vyplyne, že zjištěné riziko správce sám nezvládne ošetřit (zbytkové riziko zůstává vysoké), musí se pak obrátit na dozorový úřad a konzultovat takovou situaci ještě před zahájením zpracování (Nešpůrek, P. Šuchman, J. Jaroš, J. Monitoring zaměstnanců: Práva a povinnosti zaměstnavatelů při zpracování osobních údajů [online]. 2019 [Cit. 15.8.2019]. Dostupné z https://www.pravniprostor.cz/clanky/pracovni-pravo/monitoring-zamestnancu-prava-a-povinnosti-zamestnavatelu-pri-zpracovani-osobnich-udaju).

Velmi specifická situace nastává v případě, kdy jsou osobní údaje zaměstnanců předávány mimo EU/EHP (např. prostřednictvím cloudových služeb). V takovém případě je dle GDPR nutno zajistit, aby přístup jinými subjekty k zaměstnaneckým osobním údajům v rámci skupiny zůstal omezen na nezbytné minimum pro naplnění zamýšlených účelů. Kromě toho musí pro takovou zemi existovat rozhodnutí Komise, které určuje, zda je v ní zajištěna odpovídající úroveň ochrany. Pokud rozhodnutí Komise v této zemi neexistuje, mohou být osobní údaje do třetí země předány, pouze pokud přijímající správce poskytl vhodné záruky a za podmínky, že jsou k dispozici vymahatelná práva subjektu údajů a účinná právní ochrana subjektu údajů. Mezi tyto vhodné záruky patří zejména závazná podniková pravidla a standardní smluvní doložky. Vyjma shora uvedených podmínek lze předávání osobních údajů uskutečnit, pokud je splněna alespoň jedna z podmínek uvedených v článku 49 odst. 1 GDPR, např. v případě informovaného výslovného souhlasu subjektu údajů, nebo pokud je takové předání nezbytné pro splnění smlouvy mezi subjektem údajů a správcem osobních údajů.

V návaznosti na shora uvedené povinnosti zde však nastávají další otázky, a to ohledně přípustnosti využití monitorovacích systémů na pracovišti. Moderní technologie totiž umožňují v průběhu času sledovat zaměstnance na pracovišti i doma pomocí mnoha různých zařízení, jako jsou chytré telefony, osobní počítače, tablety, vozidla a nositelná elektronika. Není-li zpracování omezeno a transparentní, hrozí velké riziko, že zákonný zájem zaměstnavatele zvýšit efektivitu a chránit firemní majetek se promění v neodůvodnitelné a dotěrné sledování. V následující části budou rozebrány jednotlivé případy monitoringu, které se v pracovněprávních vztazích nejčastěji vyskytují.

KAMEROVÉ SYSTÉMY SE ZÁZNAMEM NA PRACOVIŠTI

Provozování kamerového systému se záznamem je považováno za zpracování osobních údajů podléhající povinnostem podle obecného nařízení, jelikož údaje uchovávané v záznamovém zařízení (obrazové či zvukové) jsou osobními údaji. To ovšem za předpokladu, že na základě těchto záznamů (informace z obrazových či zvukových nahrávek) lze přímo či nepřímo identifikovat konkrétní fyzickou osobu. Fyzická osoba je identifikovatelná, pokud jsou ze snímku, na němž je zachycena, patrné její charakteristické rozpoznávací znaky (zejména obličej) a na základě propojení rozpoznávacích znaků s dalšími disponibilními údaji je možná plná identifikace osoby.

Účelem provozu kamerového systému je ochrana života, zdraví a majetku zákazníků, ochrana života, zdraví a majetku zaměstnanců a ochrana majetku zaměstnavatele. Kamerové systémy však nejsou zárukou zamezení vzniku nežádoucí události, mají však významný vliv například na možnost následného uplatnění práv poškozených a zabránění opakování takové činnosti v budoucnu, jakož i představují odstrašující prvek, aby vůbec k protiprávnímu jednání nedocházelo. Kritérium potřebnosti vychází z nemožnosti uplatnit méně invazivní prostředky k dosažení cíle sledovaného správcem osobního údajů.

Zpracování osobních údajů provozováním kamerového systému je zákonné, pouze pokud je prováděno v odpovídajícím rozsahu v rámci některého z přípustných právních titulů zpracování osobních údajů, nejčastěji na pracovišti to bude zpracování nezbytné pro účely oprávněných zájmů příslušného zaměstnavatele (správce). Kamerové sledování nesmí nadměrně zasahovat do soukromí. Je vyloučeno užití kamerového systému v prostorách určených k ryze soukromým úkonům (např. toalety, sprchy) a rovněž nesmí docházet kromě minimalizovaného rozsahu ke sledování prostorů určených pro jejich „soukromé” aktivity, jako jsou šatny a odpočinkové místnosti. Provoz kamer a využití záznamu musí být rovněž v souladu s pracovněprávními předpisy, zejména § 316 ZP, zejména není přípustné sledování zaměstnanců v průběhu výkonu jejich práce. Ustanovení § 316 ZP umožňuje zaměstnavateli zaměstnance monitorovat a jinak narušovat jeho soukromí pouze ze závažných důvodů spočívajících ve zvláštní povaze činnosti zaměstnavatele.

V případě, že takový důvod dán není, nemůže se zaměstnavatel ke sledování uchýlit, a to ani za předpokladu, že zaměstnanec udělí s monitorováním souhlas. Tento závěr je založen na skutečnosti, že v případě § 316 odst. 2 ZP se jedná o kogentní právní normu, od níž není možné se odchýlit ani dohodou smluvních stran. Shromažďovat osobní údaje lze pouze k stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu. Zpracovávat osobní údaje je možno pouze v souladu s účelem, k němuž byly shromážděny.

Doba uchovávání dat by neměla přesáhnout časový limit maximálně přípustný pro naplnění účelu provozování kamerového systému. V případě, pokud by docházelo vedle obrazového záznamu též k pořizování zvukového záznamu, je třeba posoudit, zda je jeho pořizování v souladu s účelem zpracování a je skutečně nezbytně nutné pro naplnění účelu zpracování. V drtivé většině případů tomu tak není (pro prokázání určité události zcela postačuje obrazový záznam). Rozsah zpracovávaných údajů by se tedy měl omezit pouze na pořizování obrazového záznamu.

Povinností správce (zaměstnavatele) dle GDPR je v souvislosti s pořizováním kamerového záznamu vést záznamy o činnostech zpracování.  Tato povinnost ovšem není úplně nová, záznamy fakticky nahrazují dosavadní registrační formuláře, na rozdíl od dosavadní registrace však tyto záznamy již správce pouze uchovává, tj., nezasílá Úřadu. Kromě již výše zmíněné informační povinnosti musí zaměstnavatel také přijmout veškeré potřebné technicko-organizační opatření pro zajištění ochrany zpracovávaných osobních údajů a veškeré operace s kamerovým systémem logovat.

Pokud zaměstnavatel využívá v souvislosti s provozováním kamerového systému zpracovatele, je novou povinností uzavřít s tímto zpracovatelem zpracovatelskou smlouvu s obligatorními náležitostmi dle GDPR.

ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ ZAMĚSTNANCŮ PROSTŘEDNICTVÍM SOCIÁLNÍCH SÍTÍ

Prověřování zaměstnaneckých profilů na sociálních sítích by se nemělo dít na obecném základě. Není možné, aby zaměstnavatelé prověřovali zaměstnance nebo uchazeče o zaměstnání prostřednictvím sběru o jejich přátelích, volnočasových aktivitách, názorech, zájmech o jejich chování atd. Taktéž nemohou ani požadovat přístup k těmto informacím. Pokud však může zaměstnavatel doložit, že takové sledování je potřebné k ochraně jeho zákonných zájmů a že neexistují jiné, méně invazivní prostředky, přičemž bývalí zaměstnanci byli náležitě informováni o míře pravidelného sledování jejich veřejné komunikace, pak se zaměstnavatel může opřít o právní základ. Příkladem může být monitoring profilů bývalých zaměstnanců vázaných konkurenční doložkou na profesní sociální síti (LinkedIn).

ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ V SOUVISLOSTI S EVIDENCÍ PRACOVNÍ DOBY A DOCHÁZKY

Povinnost vést řádnou evidenci pracovní doby zaměstnanců vychází z § 96 ZP, přičemž není vyznačena žádná forma této evidence. Zaměstnavatel obvykle vede evidenci prostřednictvím speciálních docházkových systémů. Často se k identifikaci zaměstnanců využívají identifikační karty nebo elektronické čipy. Vyloučena není ani biometrická identifikace například prostřednictvím otisků prstů. V současné době využívají rovněž zaměstnavatelé i jiné systémy, které jim umožňují kontrolovat, kdo vstupuje, resp. může vstoupit, do jejich prostor a/nebo do jejich určitých částí, což může umožňovat také sledování činnosti zaměstnanců. Ačkoliv tyto systémy existují již řadu