Berlínský komisař pro ochranu údajů a svobodu informací (BlnBDI) se během letních měsíců věnoval zajímavé kauze týkající se nadbytečného, a tedy nedovoleného, zpracovávání zvlášť citlivých osobních údajů zaměstnavatelem. Jak si dále ukážeme, tento případ je důležitý i pro praxi v dalších členských státech, včetně České republiky.
Berlínský úřad se totiž věnoval přímé aplikovatelnosti obecného nařízení o ochraně osobních údajů (GDPR), kterého aplikace je v Německu stejná jako u nás.
Koho propustit na konci zkušební doby? Že by odboráře?
De facto se jednalo o to, že zaměstnavatel v postavení správce osobních údajů vedl databázi se zvláštními kategoriemi osobních údajů svých zaměstnanců. Smyslem této databáze byl výběr zaměstnanců, kteří budou propuštěni na konci zkušební doby.
Tato databáze obsahovala dvě kategorie z pohledu GDPR rozporuplných, resp. rizikových osobních údajů.
Zaprvé se jednalo o informace o psychickém stavu a žádostech o psychoterapii konkrétních zaměstnanců. Druhou skupinou byly údaje o o ochotě zaměstnanců vstoupit do odborové organizace.
Na základě uvedené kategorizace byli zaměstnanci hodnoceni jako „kritičtí“ nebo „velmi kritičtí“. Daný zaměstnavatel takto vedené informace následně skutečně využíval k ukončení pracovních poměrů ve zkušební době.
Tato praxe, nepřekvapivě, vyeskalovala v mediální zájem a podání individuální stížnosti jednoho ze zaměstnanců k BlnBDI. Berlínský úřad dospěl k závěru, že popsaná praxe je v rozporu s článkem 9 odst. 2 GDPR, protože se jednalo o neoprávněně zpracování zvláštní kategorie údajů, včetně údajů o zdravotním stavu.
Databáze „kritických“ zaměstnanců z pohledu GDPR
Když tuto situaci analyzujeme optikou GDPR, vidíme, že zaměstnavatel naplnil podmínky správce osobních údajů dle článku 4 odst. 7 GDPR. Jednalo se o právnickou osobu, která sama určuje účely a prostředky zpracování osobních údajů.
Z tohoto postavení správci pochopitelně plynou určité právní povinnosti. Zpracování je zákonné, pokud je prováděno v odpovídajícím rozsahu za splnění nejméně jedné z podmínek – právních základů dle článku 6 odst. 1 GDPR. Zaměstnavatel argumentoval, že se jednalo o plnění pracovní smlouvy mezi zaměstnancem a zaměstnavatelem. Podle posouzení BlnBDI však plnění pracovní smlouvy není dostatečným právním základem pro daný rozsah zpracování.
Za určitých okolností může zaměstnavatel požadovat od svých zaměstnanců poskytnutí i citlivých údajů, např. o jejich zdravotním stavu. Nicméně předmětné pracování, i když vycházelo z údajů poskytnutých přímo zaměstnanci, bylo v rozporu se základními zásady GDPR, principem minimalizace a principem proporcionality. Ty umožňují zpracování osobních údajů pouze v rozsahu nezbytném, přiměřeném, relevantním a omezeném na to, co je nezbytné z hlediska účelů zpracování, jak praví článek 5 odst. 1 písm. b) GDPR. Pokud zaměstnavatel není schopen prokázat, že zpracování zdravotních údajů je nezbytné pro určitý právní nebo legitimní důvod, není naplněna tato zásada. O to se jednalo i v případě použití údajů o psychickém stavu či sympatiím k odborové organizaci k ukončení pracovního poměru, kdy o souladu se zásadou minimalizace nemůže být ani řeči.
Další pravidla pro zpracování citlivých osobních údajů zaměstnanců
Citlivé údaje, dle české terminologie „zvláštní kategorie osobních údajů“, jsou takové informace o určené či určitelné fyzické osobě, při jejichž zpracování by mohla vzniknout závažná rizika pro základní práva a svobody. To se přesně stalo v této kauze. Jsou zde zahrnuty údaje o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, genetické, biometrické a zdravotní údaje či údaje o sexuálním životě nebo orientaci.
Údaje o zdravotním stavu definuje GDPR v článku 4 odst. 15. Jedná se o osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu.
Zpracování citlivých osobních údajů je dle článku 9 GDPR v obecné rovině zakázáno, kromě několika zde uvedených výjimek. Žádná z výjimek (např. výslovný souhlas, plnění právních povinností v oblasti pracovního práva, obhajoba právních nároků správce) zde uvedena není pro popsané diskriminační jednání zaměstnavatele použitelná.
To samozřejmě neznamená, že by zaměstnavatel nemohl vést databázi obsahující údaje o zaměstnancích, včetně údajů citlivých. musí naplnit, kromě výše uvedených zásad, i podmínky nezbytnosti a vhodnosti. Lze například dokumentovat informace o výkonnosti nebo chování zaměstnanců, což je potenciálně vhodným ukazatelem případného ukončení pracovního poměru ze strany zaměstnavatele. Informace o ochotě se odborově organizovat už však je, jak nám jasně demonstruje případ od našich západních sousedů, za hranicí přijatelnosti.
Výsledek? 4 pokuty za víc než 6 milionů
Důsledky protiprávního jednání pro zaměstnavatele v analyzované kauze nejsou zanedbatelné. BlnBDI případ klasifikoval jako zvlášť závažné porušení ochrany osobních údajů. S ohledem na výše uvedené skutečnosti uložil zaměstnavateli pokutu ve výši 215 000 EUR.
Kromě toho uložil berlínský úřad společnosti další tři pokuty v celkové výši přibližně 40 000 EUR kvůli souvisejícím porušením pravidel pro zpracování osobních dat.
Na přípravě a vedení seznamu se nepodíleli firemní pověřenci pro ochranu osobních údajů
Zaměstnavatel úřadu oznámil porušení ochrany osobních údajů souvisejících s touto databází po lhůtě 72 hodin stanovené GDPR.
Vedení evidence zaměstnanců za tímto účelem nebylo evidováno v záznamech o činnosti zpracování.
Zpracování údajů zaměstnanců v České republice, GDPR a zákoník práce
Daný případ je dle mého relevantní minimálně ze dvou pohledů.
Zaprvé, dovolím jsi spíš jen krátký povzdech nad nastalou situací, a to po více než pěti letech účinnosti GDPR. Dalo se by snad očekávat, že databáze podobného typu už jsou minulostí. Vidíme však, že opak je pravdou. Výhoda, která však z daného stanoviska BlnBDI plyne, je možnost poučit se z chyb druhých. Díky horizontální (přímé) aplikovatelnosti GDPR lze s jistotou říct, že popsané protiprávní jednání zaměstnavatele by bylo obdobně posouzeno i ze strany českého dohledového orgánu, Úřadu pro ochranu osobních údajů.
Zadruhé, perspektivou českého právního řádu je vhodné zohlednit kromě GDPR taktéž relevantní úpravu zakotvenou zákonem č. 435/2004 Sb., o zaměstnanosti, a zejména zákonem č. 262/2006 Sb., zákoníkem práce. Tento předpis v § 30 odst. 2 jednoznačně uvádí, že zaměstnavatel smí v souvislosti s jednáním před vznikem pracovního poměru od fyzické osoby, která se u něj uchází o práci, nebo od jiných osob vyžadovat jen takové údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy.
Ukončení pracovního poměru upraveno § 48 zákoníku práce. Mezi zákonné důvody patří také zrušení pracovního poměru ve zkušební době, jak je dále rozvedeno § 66. Ten uvádí, že zaměstnavatel i zaměstnanec mohou písemnou formou zrušit pracovní poměr ve zkušební době z jakéhokoliv důvodu nebo bez uvedení důvodu. Ani zrušení pracovního poměru ve zkušební době však nemůže být založeno na diskriminačních důvodech, například zdravotním stavu.
Jejich neakceptovatelnost vymezuje zákoník práce již v § 1a a následně § 16. Zde je zakotveno, že zaměstnavatelé jsou povinni zajišťovat rovné zacházení se všemi zaměstnanci, pokud jde o jejich pracovní podmínky, odměňování za práci a o poskytování jiných peněžitých plnění a plnění peněžité hodnoty, o odbornou přípravu a o příležitost dosáhnout funkčního nebo jiného postupu v zaměstnání. V pracovněprávních vztazích je zakázána jakákoliv diskriminace, zejména diskriminace z důvodu pohlaví, sexuální orientace, rasového nebo etnického původu, národnosti, státního občanství, sociálního původu, rodu, jazyka, zdravotního stavu, věku, náboženství či víry, majetku, manželského a rodinného stavu a vztahu nebo povinností k rodině, politického nebo jiného smýšlení, členství a činnosti v politických stranách nebo politických hnutích, v odborových organizacích nebo organizacích zaměstnavatelů; diskriminace z důvodu těhotenství, mateřství, otcovství nebo pohlavní identifikace se považuje za diskriminaci z důvodu pohlaví.
Dojde-li tedy v pracovněprávním vztahu k ukončení poměru na základě nelegitimně zpracovávaných zvlášť citlivých osobních údajů, které jsou navíc aplikovány k diskriminaci zaměstnanců, jedná se o neplatné rozvázání pracovního poměru podle § 69 zákoníku práce. Zaměstnanec může u soudu napadnou neplatné ukončení pracovního poměru a zaměstnavatel musí dokazovat, že se o diskriminaci nejednalo (tzv. obrácené důkazní břemeno). Pokud to zaměstnavatel nedokáže, pak zaměstnanci náleží kompenzace.
10 GDPR tipů pro zaměstnavatele
Na základě rozhodnutí berlínského úřadu pro ochranu dat můžeme formulovat 10 hlavních tipů a doporučení pro zpracování osobních údajů v pracovněprávních vztazích:
Shromažďujte a zpracovávejte pouze ty citlivé osobní údaje, které jsou nezbytné pro konkrétní účel. Snažte se minimalizovat rozsah zpracovávaných údajů. V tomto případě skutečně platí, že méně je více.
Ujistěte se, že máte právní základ pro zpracování zvlášť citlivých osobních údajů podle čl. 5 i čl. 9 GDPR.
Nastavte přiměřená technická a organizační opatření pro ochranu zvlášť citlivých osobních údajů před neoprávněným přístupem, ztrátou nebo zneužitím, zaveďte a testuje proces pro řízení případů porušení zabezpečení osobních údajů, včetně oznámení na dozorový úřad
Zpracování zvlášť citlivých údajů by mělo obvykle probíhat ve prospěch zaměstnance. Například pokud jde o zdravotní údaje, mělo by to sloužit k ochraně zdraví a bezpečnosti pracovníka.
Zákaz diskriminace platí vždy. Selekce zaměstnanců na základě vysoce citlivých informací je diskriminací stricto sensu.
Limitujte přístup k zvlášť citlivým údajům jen na osoby, které to potřebují k výkonu své práce, typicky HR útvar.
Informujte zaměstnance o tom, jaké zvlášť citlivé osobní údaje zpracováváte, pro jaké účely, po jakou dobu a jaké jsou jejich práva týkající se těchto údajů.
Zvažte, jak dlouho budete zvlášť citlivé osobní údaje uchovávat. Dodržujte právní požadavky ohledně uchovávání a likvidace údajů.
Zajistěte, aby vaši zaměstnanci byli obeznámeni s pravidly ochrany osobních údajů a zvlášť citlivých údajů. Poskytněte jim školení a povědomosti o tom, jak s těmito údaji zacházet.
Pravidelně revidujte, a v případě potřeby aktualizujte, své postupy pro zpracování a ochranu zvlášť citlivých osobních údajů, využijte zkušeností a poznatků pověřence pro ochranu osobních údajů.