Každý zaměstnavatel se může setkat s různými krizovými situacemi. Některé se mohou dotýkat primárně činnosti zaměstnavatele (např. hackerský útok), jiné spíše osobního života zaměstnanců, když například zaměstnanec dostane infarkt na pracovišti, další mohou mít vliv jak na činnost zaměstnavatele, tak na osobní život zaměstnance, typicky přírodní katastrofa. V obdobných situacích je často nezbytné, aby zaměstnavatel jednal rychle.
Pro případy krizových situací týkajících se osobního života zaměstnanců zpracovávají někteří zaměstnavatelé informace o tzv. kontaktních osobách pro případ nouze. V článku se podíváme na to, jaká pravidla pro zpracování těchto údajů by měl zaměstnavatel dodržovat.
Jak může zaměstnavatel údaje o kontaktních osobách pro případ nouze využít?
Zaměstnavatel může informace o kontaktních osobách pro případ nouze využít jenom v zájmu daného zaměstnance. Cílem (účelem) zpracování těchto dat je zabránit tomu, aby se rodina či další osoby zaměstnancem určené dozvěděli o krizové situace z jiného nežádoucího zdroje (např. z médií nebo ze sociálních sítí) a aby bylo možné podniknout urychleně kroky k ochraně práv a zájmů zaměstnance, příp. dalších osob.
Zaměstnavatel tedy může informace o kontaktních osobách pro případ nouze využít například v těchto situacích:
pracovní úraz, ke kterému došlo na pracovišti nebo během pracovní cesty,
jiné zdravotní potíže, ke kterým došlo na pracovišti nebo během pracovní cesty,
přírodní katastrofa nebo jiná mimořádná událost v oblasti, kde se nachází pracoviště zaměstnance nebo kam zaměstnanec cestuje za prací, která má vliv na jeho bezpečnost nebo která odůvodňuje jeho evakuaci.
Využití kontaktních údajů v praxi
Pokud dojde ke krizové situaci, která vyžaduje okamžitý kontakt s určenou osobou pro případ nouze, zaměstnavatel musí podniknout následující kroky:
Spojit se s osobou, kterou zaměstnanec určil jako svou kontaktní osobou pro případ nouze, poskytnout jí informace o krizové situaci a případně koordinovat další postup, který je v zájmu zaměstnance.
Pokud se s určenou kontaktní osobou není možné spojit nebo pokud zaměstnanec takovou kontaktní osobu neurčil, zaměstnavatel osloví v případě potřeby příslušné záchranné složky (např. policii, hasiče, zdravotnickou záchrannou službu) a nechá je převzít případnou další komunikaci s příbuznými zaměstnance.
Zaměstnavatel nebude sám aktivně vyhledávat příbuzné nebo přátele zaměstnance online, prostřednictvím jiných zaměstnanců nebo jinými prostředky, pokud k tomu nemá výslovný souhlas zaměstnance.
Informace o kontaktních osobách pro případ nouze slouží pro případy, kdy nastane krizová situace dotýkající se osobního života zaměstnance. Pokud např. dojde k významnému kybernetickému útoku, který je schopen vyřešit pouze zaměstnanec, který je na dovolené a nebere zaměstnavateli telefon, zaměstnavatel nemůže informace o kontaktních osobách pro případ nouze využít pro jeho dostižení.
Právní důvod zpracování informací o kontaktních osobách pro případ nouze
Podle názoru autora článku je možné výše popsané zpracování osobních údajů opřít o čl. 6 odst. 1 písm. f) obecného nařízení o ochraně osobních údajů (GDPR). Jedná se tedy o zpracování osobních údajů, které je nezbytné pro účely oprávněných zájmů nejen samotného zaměstnance, ale i třetích subjektů – rodiny zaměstnance a dalších osob, které případně určil.
Je však vhodné upozornit na to, že tento závěr není všeobecně přijímán. Dle některých názorů je nutné rozlišovat právní důvod zpracování osobních údajů zaměstnance a právní důvod zpracování osobních údajů ve vztahu ke třetí osobě, která byla určena jako kontaktní osoba pro případ nouze. Zatímco ve vztahu ke třetí osobě, která byla určena jako kontaktní osoba pro případ nouze, obstojí jako právní důvod oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR, ve vztahu k samotnému zaměstnanci je nutné zpracování údajů opřít o souhlas podle čl. 6 odst. 1 písm. a) GDPR.
Další diskutovanou variantou pro zpracování předmětných údajů ve vztahu k zaměstnanci by mohla být smlouva, tzn. čl. 6 odst. 1 písm. b) GDPR. Lze si totiž snadno představit situaci, že zaměstnavatel uzavře se zaměstnancem smlouvu, kterou se zaměstnavatel zaváže informovat v případě krizové situace kontaktní osobu určenou zaměstnancem pro případ nouze. Stejně tak se nabízí otázka, zda by se v některých situacích nedalo předmětné zpracování opřít o čl. 6 odst. 1 písm. d) GDPR, tedy zda by se nedalo argumentovat tím, že zpracování je nezbytné pro ochranu životně důležitých zájmů zaměstnance.
Který z uvedených právních důvodu je pro toto zpracování nejvhodnější?
V případě zpracování osobních údajů zaměstnance zaměstnavatelem platí, že souhlas se zpracováním osobních údajů by měl být využíván jen ve výjimečných případech. Zaměstnanec je totiž slabší stranou, a dá se tudíž polemizovat, zda by udělený souhlas byl opravdu svobodný. Uzavření smlouvy mezi zaměstnancem a zaměstnavatelem představuje zvýšenou administrativní zátěž pro zaměstnavatele. Tato varianta je tedy méně praktická. U právního důvodu ochrany životně důležitých zájmů zaměstnance se dá zase namítat, že pro ochranu životně důležitých zájmů zaměstnance bude ve většině případů postačovat, pokud zaměstnavatel osloví příslušné záchranné složky a nechá je převzít případnou další komunikaci s příbuznými zaměstnance.
Podle názoru autora článku je proto nejvhodnějším a zároveň nejpraktičtějším řešením opřít se o oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR.
Informování kontaktních osob o zpracování jejich údajů
Informování samotného zaměstnance o zpracování jeho osobních údajů většinou nepředstavuje problém. Zaměstnavatel však musí vyřešit, jak budou o tom, že jejich údaje jsou zpracovávány, informovány kontaktní osoby určené pro případ nouze.
Postačí, když zaměstnavatel informuje kontaktní osoby pro případ nouze až ve chvíli, kdy se s nimi spojí v rámci řešení konkrétní krizové situace?
Nebo by je měl informovat již ve chvíli, kdy jejich údaje získá od zaměstnance?
V dnešní době bude mít většinou kontaktní údaj na osoby určené pro případ nouze podobu e-mailu nebo telefonního čísla. Podle autora článku by zaměstnavatel měl využít získaný kontaktní údaj k zaslání odkazu na dokument obsahující podrobnosti o předmětném zpracování osobních údajů a tím poměrně snadno splnit svoji informační povinnost.
V některých situacích by přicházel do úvahy postup podle článku 14 odst. 5 GDPR. Ten obsahuje výjimku z informační povinnosti, podle které správce nemusí informace subjektu údajů poskytovat, pokud se ukáže, že splnění této povinnosti by vyžadovalo nepřiměřené úsilí. Odeslání e-mailu či SMS však podle autora článku nebude ve většině případů představovat pro zaměstnavatele nepřiměřené úsilí. Výjimka podle článku 14 odst. 5 GDPR tedy není obecně aplikovatelná na všechny situace.
Retenční doba kontaktních údajů
Údaje o osobách určených zaměstnancem pro případ nouze může zaměstnavatel zpracovávat maximálně po dobu trvání pracovního poměru zaměstnance. Poté je nutné je smazat či anonymizovat. Po skončení pracovního poměru totiž automaticky odpadne důvod pro jejich zpracování.
Zaměstnavatel však v některých případech musí vymazat údaje o kontaktních osobách pro případ nouze i před samotným skončením pracovního poměru – v případě, že daný zaměstnanec nebo určená kontaktní osoba uplatní proti předmětnému zpracování osobních údajů námitku, odvolá svůj souhlas nebo jinak vyjádří svoji nevoli. Ať už se bude zaměstnavatel při zpracování osobních údajů opírat o jakýkoliv právní důvod, daný důvod ve velké většině případů v takovém případě odpadne. Proč? Protože v takovém případě by další zpracování daných osobních údajů nevedlo ke kýženému cíli.
Je možné v případě nouze využít i údaje dalších osob?
Pokud zaměstnavatel zpracovává údaje rodinných příslušníků zaměstnance pro jiné účely, např. daňové, nemůže tyto osoby v případě krizové situace kontaktovat, pokud k tomu nemá výslovný ad hoc souhlas zaměstnance. Důvodem je respektování práva zaměstnance na soukromí a jeho volby ohledně toho, kdo má být v krizových situacích kontaktován. I když by podobný postup zaměstnavatele mohl být veden dobrými úmysly, zaměstnavatel nemusí být zasvěcen do specifické situace každého zaměstnance a sdílení informací s příbuznými (či jinými osobami) bez vědomí (či souhlasu) zaměstnance by mohlo být v rozporu s přáním zaměstnance. Proto by mohlo představovat výrazné porušení práva zaměstnance na soukromí. A v konečném důsledku by zaměstnanci mohlo způsobit více problémů než přinést užitku.