Pozor na zpracování citlivých osobních údajů zaměstnanců podle GDPR

Verze pro tisk

Nové obecné nařízení o ochraně osobních údajů (GDPR) obsahuje podobně jako dosavadní zákon o ochraně osobních údajů právní úpravu zpracování tzv. citlivých údajů. Nařízení je označuje pojmem zvláštní kategorie osobních údajů. Spadají sem údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Citlivé údaje o zdravotním stavu zaměstnanců:

Typicky by mohlo docházet ke zpracování citlivých osobních údajů v souvislosti s dočasnou pracovní neschopností zaměstnance. Pokud zaměstnanec jako doklad pracovní neschopnosti předkládá zaměstnavateli standardní „neschopenku“, je tento postup z hlediska právní úpravy zcela v pořádku. Potvrzení o dočasné pracovní neschopnosti zaměstnance obsahuje pouze informaci o této skutečnosti, nikoliv konkrétní informace o zdravotním stavu zaměstnance. Samotná informace, že zaměstnanec je pracovně nezpůsobilý není ve smyslu nařízení GDPR informací o zdravotním stavu a není tak citlivým údajem. Jiná situace však je, pokud zaměstnanec předkládá zaměstnavateli lékařskou zprávu nebo jiný záznam od lékaře, který obsahuje jeho diagnózu a další informace o zdravotním stavu. Tato informace již představuje citlivý osobní údaj o zdravotním stavu zaměstnance.

Pokud by zaměstnavatel chtěl zpracovávat lékařské zprávy obsahující citlivé osobní údaje musí splňovat k tomu zákonné předpoklady. Vzhledem k tomu, že zákon nepožaduje zpracovávání těchto údajů (tj. údajů o konkrétním zdravotním stavu), nebude mít zaměstnavatel zpravidla žádná zákonný titul k tomuto zpracování. Pokud by zaměstnavatel chtěl tuto situaci řešit získáním souhlasu, který navíc musí být výslovně udělen ke zpracování citlivých údajů, nemusel by tento souhlas být posouzen jako platný. Podle aktuálních stanovisek pracovní skupiny WP 29 je obecně zpracování osobních údajů v rámci pracovněprávních vztahů na základě souhlasů zaměstnanců spíše vyloučeno. Vzhledem k specifickému postavení zaměstnance vůči zaměstnavateli založenému na určité závislosti, zde vždy budou určité pochybnosti ohledně toho, zda zaměstnanec uděluje svůj souhlas svobodně.

S ohledem na výše uvedené lze zaměstnavatelům jen doporučovat, aby jako důkaz o pracovní neschopnosti přijímali pouze standardní potvrzení o dočasné pracovní neschopnosti, které neobsahují žádné konkrétní informace o zdravotním stavu zaměstnance. V případě přijímání dokumentů s konkrétní diagnózou se zaměstnavatelé mohou dopouštět správních deliktů na úseku zpracování osobních údajů. Výjimkou, kdy bude mít zaměstnavatel titul ke zpracování dokumentů s konkrétní diagnózou, je evidence pracovních úrazů a nemoci z povolání.

 Zpracování biometrických údajů v souvislosti s docházkou:

Mnoho zaměstnavatelů v dnešní době využívá docházkový systém evidující přítomnost zaměstnanců na pracovišti na základě otisku prstů. Většina těchto systému funguje na principů kódování otisku prstů. Tzn., že systém otisk prstu zaměstnance otisk zakóduje a zašifruje takovým způsobem, že ze systému nelze ani zpětným odkódováním tento otisk prstu získat. Uvedený způsob jednosměrného převodu do kódu představoval podle dosavadního zákona o ochraně osobních údajů i podle stanoviska Úřadu pro ochranu osobních údajů osobní údaj zaměstnance. Nejednalo se tak o zpracování citlivých údajů.

V souvislosti s novým nařízením GDPR se mění částečně i nahlížení na otisky prstů jako biometrický údaj a jejich zpracování. Podle aktuálního názoru Úřadu přestává platit stanovisko, že zpracování otisků prstů na základě jejich kódování není zpracováním citlivých údajů. Vzhledem k tomu, že nařízení GDPR poskytuje větší ochranu biometrickým údajům, jedná se tak i v případě jednosměrného převodu otisků prstů o zpracování osobních údajů zvláštní kategorie (citlivých osobních údajů).

S ohledem na tento aktuální závěr Úřadu budou zaměstnavatelé od svých zaměstnanců potřebovat výslovný souhlas se zpracováním citlivých osobních údajů (otisků prstů). V opačném případě se bude jednat o porušení zákazu zpracování citlivých osobních údajů, neboť zaměstnavatel nebude splňovat žádnou z podmínek, kdy může citlivý osobní údaj zpracovávat. Upozorňujeme, že se jedná o aktuálně zastávaný názor Úřadu, který se může pochopitelně v budoucnu ještě změnit.

Další citlivé osobní údaje:

Co se týče dalších citlivých osobních údajů, jako např. informace o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, platí úplný zákaz jejich zpracování v pracovněprávních vztazích. Tento zákaz je vyjádřen zákoníkem práce, který zakazuje zaměstnavateli vyžadovat tyto informace od svých zaměstnanců, a tedy i od uchazečů o zaměstnání.