logo Magazín o práci a lidech
Personálka.cz  →  Magazín  →  Poradna  → 

GDPR na pracovišti: Jak mohou zaměstnavatelé zpracovávat údaje zaměstnanců

Ochrana osobních údajů zaměstnanců je jednou ze základních povinností každého zaměstnavatele. Při náboru, uzavírání pracovního poměru i během jeho trvání firmy běžně pracují s řadou citlivých informací. Právě proto musí zaměstnavatelé dodržovat pravidla stanovená GDPR a dalšími právními předpisy. Jaké osobní údaje mohou o zaměstnancích shromažďovat a jaká práva mají samotní zaměstnanci? Přinášíme přehled nejdůležitějších povinností zaměstnavatelů při zpracování osobních údajů.

Jaké osobní údaje zaměstnanců může zaměstnavatel zpracovávat?

Zaměstnavatel může v souvislosti s pracovním poměrem zpracovávat pouze takové osobní údaje zaměstnanců, které jsou nezbytné pro uzavření a plnění pracovněprávního vztahu nebo pro splnění zákonných povinností. Tento princip vychází ze zásady minimalizace osobních údajů podle GDPR. V praxi to znamená, že zaměstnavatel nesmí shromažďovat informace, které nesouvisí s výkonem práce nebo s vedením personální a mzdové agendy.

Nejčastěji zaměstnavatel zpracovává zejména tyto osobní údaje zaměstnanců:

  • jméno a příjmení,
  • datum narození,
  • rodné číslo,
  • adresa trvalého nebo kontaktního bydliště,
  • kontaktní údaje (telefon, e-mail),
  • číslo bankovního účtu pro výplatu mzdy,
  • údaje potřebné pro daňové účely (např. informace o vyživovaných osobách),
  • údaje o zdravotní pojišťovně a sociálním pojištění,
  • údaje o dosaženém vzdělání, kvalifikaci nebo praxi,
  • případně další údaje vyžadované zvláštními právními předpisy.

Rozsah zpracovávaných údajů by měl vždy odpovídat konkrétní pracovní pozici a povinnostem zaměstnavatele vyplývajícím z právních předpisů. 

Informování zaměstnance o zpracování údajů

Jednou ze základních povinností zaměstnavatele je informovat zaměstnance o tom, jakým způsobem a za jakým účelem zpracovává jejich osobní údaje. Zaměstnanci by měli vědět zejména to, jaké údaje o nich zaměstnavatel eviduje, proč je zpracovává, jak dlouho je bude uchovávat a komu mohou být případně předávány. 

Součástí této informační povinnosti je také poučení o právech zaměstnanců v souvislosti se zpracováním jejich osobních údajů. Zaměstnanec by měl být s těmito pravidly seznámen nejpozději při vzniku pracovního poměru, případně vždy tehdy, pokud dojde ke změně způsobu zpracování osobních údajů.

Zvláštní pravidla platí pro citlivé osobní údaje

Pro takzvané citlivé osobní údaje, které GDPR označuje jako zvláštní kategorie osobních údajů, platí o cosi přísnější pravidla zpracování. Jedná se totiž o informace, které mohou výrazně zasahovat do soukromí zaměstnance, a proto je zaměstnavatel může zpracovávat pouze ve výjimečných případech a na základě zvláštního právního důvodu.

Příkladem jsou údaje o zdravotním stavu zaměstnance, které mohou být zpracovávány pouze tehdy, pokud to vyžaduje právní předpis nebo je to nezbytné pro plnění povinností zaměstnavatele v oblasti pracovního práva, sociálního zabezpečení nebo ochrany zdraví při práci. Pokud na shromažďování těchto dat zákonný důvod neexistuje, může být zpracování těchto údajů možné pouze na základě výslovného souhlasu zaměstnance.

Zajištění bezpečnosti osobních údajů

Další klíčovou povinností zaměstnavatele je zajistit, aby byly osobní údaje zaměstnanců dostatečně chráněny před zneužitím, ztrátou nebo neoprávněným přístupem. Ochrana osobních údajů zahrnuje jak technická, tak organizační opatření, která mají zajistit bezpečné nakládání s daty v rámci celé firmy.

V praxi to znamená například omezení přístupu k osobním údajům pouze na osoby, které je skutečně potřebují pro výkon své práce, zabezpečení elektronických systémů hesly nebo šifrováním, případně bezpečné ukládání dokumentů v listinné podobě. Zaměstnavatel by měl zároveň nastavit interní pravidla pro práci s osobními údaji a zajistit, aby zaměstnanci byli s těmito pravidly řádně obeznámeni.

Jaká jsou práva zaměstnanců jako subjektů údajů?

Zaměstnanci mají v souvislosti se zpracováním osobních údajů řadu práv, která jim umožňují kontrolovat, jak zaměstnavatel s jejich údaji nakládá. Zaměstnavatel musí být připraven tato práva respektovat a na žádosti zaměstnanců reagovat v zákonných lhůtách. Zaměstnanci se tak mohou například informovat o tom, jaké údaje o nich zaměstnavatel eviduje a k jakému účelu je využívá.

Mezi nejdůležitější práva zaměstnanců patří zejména:

  • Právo na přístup k osobním údajům – zaměstnanec má právo vědět, jaké údaje o něm zaměstnavatel zpracovává.
  • Právo na opravu – pokud jsou údaje nepřesné nebo neaktuální, může zaměstnanec požádat o jejich opravu.
  • Právo na výmaz – v určitých případech může zaměstnanec požadovat odstranění svých osobních údajů.
  • Právo na omezení zpracování – zaměstnanec může požádat o dočasné omezení práce s jeho údaji.
  • Právo vznést námitku proti zpracování – například pokud jsou údaje zpracovávány na základě oprávněného zájmu zaměstnavatele.

Monitoring zaměstnanců má svá pravidla

Monitoring zaměstnanců na pracovišti je dle zákona možný, ale musí splňovat přísná pravidla ochrany soukromí. Zaměstnavatel může využívat kontrolní nástroje, například kamerové systémy, kontrolu používání pracovních počítačů nebo sledování vstupů do budovy, pouze tehdy, pokud pro to má legitimní důvod, například ochranu majetku, bezpečnost zaměstnanců nebo kontrolu plnění pracovních povinností. Více informací o pravidlech monitorování zaměstnanců na pracovišti vysvětlujeme v článku Jak moc vás může zaměstnavatel hlídat?