GDPR - osobní údaje
GDPR - osobní údaje
zaměstnanců
ESO9 international a.s. | |
U Mlýna 2305/22, 141 00 Praha 4 – Záběhlice | |
tel.: x000 000 000 000 | |
Květen 2018 |
1. Osobní údaje uchazečů o zaměstnání
Během výběrového řízení, kdy zaměstnavatel má v úmyslu přijmout nového zaměstnance, dochází ke shromažďování a zpracování osobních údajů uchazečů. K tomuto zpracování dochází na základě právního důvodu, kterým je jednání nezbytné pro uzavření (pracovní) smlouvy a které je uskutečněné na návrh subjektu údajů (přihláška do výběrového řízení). Zaměstnavatel tedy k tomuto zpracování nepotřebuje souhlas uchazeče.
Jakmile je výběrové řízení ukončeno a uchazeč je vyrozuměn o tom, že nebyl na pracovní místo vybrán, musí zaměstnavatel všechny osobní údaje uchazeče smazat, protože pro jejich zpracování už pominul účel a není podložené žádným právním důvodem.
Zájemce o zaměstnání lze evidovat v ESO9 PAM po dobu výběrového řízení v činnosti 2.1.1 Osoba – personální údaje jako uchazeče díky položce Je uchazečem - Ano. Po skončení výběrového řízení, lze uchazeče a jejich osobní údaje smazat tlačítkem Smazat uchazeče. Podmínkou pro smazání osoby, která je uchazečem, je že nemá v ESO9 PAM evidovaný žádný pracovní vztah.
Činnost 2.1.1 Osoba - personalistika
Pokud by chtěl zaměstnavatel osobní údaje uchazeče dál zpracovávat, například pro případ, aby mu mohl v budoucnu nabídnout jinou pracovní pozici, musel by si pro toto zpracování vyžádat od uchazeče souhlas.
2. Osobní údaje zaměstnanců
Jestliže dojde ke vzniku pracovněprávního vztahu, tedy k uzavření pracovní smlouvy, dohody o provedení práce nebo dohody o pracovní činnosti mezi zaměstnancem a zaměstnavatelem, dochází automaticky ke zpracování osobních údajů zaměstnanců. Toto zpracování bude probíhat na základě několika právních důvodů, přičemž pro každý účel zpracování bude svědčit jiný právní důvod.
Právní důvody zpracování osobních údajů zaměstnanců:
• Plnění právních povinností, které se vztahují na zaměstnavatele
• Plnění pracovní smlouvy
• Oprávněný zájem zaměstnavatele
• Souhlas zaměstnance
2.1 Plnění právních povinností zaměstnavatele
Po uzavření smlouvy o pracovněprávním vztahu vznikají zaměstnavateli zákonné povinnosti provádět zpracování osobních údajů zaměstnanců, které je nezbytné pro dodržení jeho právních povinností. Tyto osobní údaje slouží pro zpracování výstupů v oblasti mzdové, daňové, důchodového, nemocenského a zdravotního pojištění.
Povinnost zpracovávat osobní údaje zaměstnanců ukládají zaměstnavateli např. tyto zákony:
• zákon č. 262/2006 Sb., zákoník práce;
• zákon č. 586/1992 Sb., o daních z příjmů;
• zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů;
• zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení;
• zákon č. 155/1995 Sb., o důchodovém pojištění;
• zákon č. 435/2004 Sb., o zaměstnanosti;
• zákon č. 187/2006 Sb., o nemocenském pojištění.
Zaměstnavatel má právo vzhledem ke svým povinnostem, které spočívají ve výpočtu mzdy, hlášení na sociálním úřadě a odvodu sociálního a zdravotního pojištění, zpracovávat tyto osobní údaje:
• Pro evidenční listy důchodového pojištění zasílaných na OSSZ (podle § 37 zákona o organizaci a provádění sociálního zabezpečení): datum a místo narození, všechna dřívější příjmení, rodné číslo, místo trvalého pobytu, kontaktní adresa. (Byl-li občan účasten důchodového pojištění v cizině a zaměstnavatel je jeho prvním zaměstnavatelem po ukončení důchodového pojištění v cizině, rovněž údaj o názvu a adrese cizozemského nositele pojištění a cizozemském čísle pojištění).
• Pro správný výpočet mzdy: vzdělání, předchozí praxe.
• Pro zjištění přesného data nároku na odchod do starobního důchodu (podle zákona o organizaci a provádění sociálního zabezpečení): počet dětí (u žen).
• Pro plnění povinného podílu osob se zdravotním postižením na celkovém počtu zaměstnanců (podle
§ 83 zákona o zaměstnanosti): zdravotní znevýhodnění.
• Pro placení zdravotního pojištění (podle § 10 zákona o veřejném zdravotním pojištění): zdravotní pojišťovna.
• Za účelem hlášení zaměstnávání cizinců: státní občanství.
• Prohlášení poplatníka daně z příjmu (podle zákona o daních z příjmů):
− u daňových nerezidentů: datum narození, číslo a typ dokladu totožnosti, stát, který doklad vydal, identifikace ve státě daňové rezidence (např. RČ);
− pokud zaměstnanec uplatňuje daňové zvýhodnění a manžel/ka je zaměstnán/a: příjmení a jméno manžela/ky, RČ, adresa trvalého bydliště, název a adresa zaměstnavatele;
− pokud zaměstnanec uplatňuje zvýhodnění na vyživované dítě: jméno, příjmení a rodné číslo dítěte.
2.2 Plnění pracovní smlouvy
Při nástupu do zaměstnání uzavírá zaměstnavatel se zaměstnancem pracovní smlouvu, která podle zákoníku práce obsahuje identifikační údaje zaměstnance, kterými jsou podle správního řádu jméno, příjmení, datum, místo narození a místo trvalého pobytu.
V důsledku vzniku pracovněprávního vztahu dochází ke zpracování osobních údajů zaměstnanců zaměstnavatelem (např. v rámci osobního spisu zaměstnance, který obsahuje pracovní smlouvu, platové výměry, doklady o vzdělání apod.).
Na základě uzavřené pracovní smlouvy a pracovních povinností, které z ní pro zaměstnance plynou, může docházet ke zpracování osobních údajů nutných k výkonu zaměstnání. Nejčastěji se bude jednat o pracovní
e-mail, který pokud je ve tvaru xxxxx.xxxxxxxx@xxxxx.xx, je také osobním údajem zaměstnance stejně jako pracovní telefonní číslo, pokud je přiřazeno konkrétnímu zaměstnanci.
2.3 Oprávněný zájem zaměstnavatele
Další osobní údaje o zaměstnancích shromažďuje a zpracovává zaměstnavatel většinou na základě svého oprávněného zájmu. Účel zpracování musí být oprávněný, zaměstnavatel musí vždy účel dobře zvážit a případně si ho obhájit, přičemž oprávněné zájmy zaměstnavatele nesmí nikdy převýšit zájmy a práva zaměstnance.
Příklady osobních údajů, které mohou být zpracovávány na základě oprávněného zájmu:
✓ soukromé tel. číslo
✓ soukromý e-mail
✓ konfekční velikost
2.4 Souhlas zaměstnance
✓ záznam z kamerového systému
✓ fotografie k internímu použití
✓ dovednosti zaměstnance
Souhlas se zpracováním osobních údajů zaměstnance není vhodným právním titulem pro zpracování a je pravděpodobné, že většina souhlasů získaných od zaměstnanců nebude platná. Důvodem neplatnosti bude zpravidla nerovné postavení zaměstnance a zaměstnavatele, kdy je vysoká pravděpodobnost, že neudělení souhlasu bude mít pro zaměstnance negativní důsledky. Pokud by však zaměstnavatel skutečně zajistil to, že odmítnutí udělení souhlasu pro zaměstnance žádné negativní důsledky mít nebude, lze v omezené míře využít i tohoto právního titulu.
Jinými slovy zaměstnanci nejsou téměř nikdy v postavení, aby mohli dát souhlas svobodně nebo ho svobodně odmítnout či odvolat, což je dáno závislostí vyplývající ze vztahu zaměstnavatel-zaměstnanec. Vzhledem k nerovnováze sil mohou zaměstnanci udělit svobodný souhlas jen za výjimečných okolností, kdy souhlas nebo odmítnutí nevyvolá žádné následky.
Souhlas zaměstnance v ESO9 PAM
Jak už bylo řečeno výše, měl by být souhlas jako právní důvod pro zpracování osobních údajů zaměstnanců používán zaměstnavatelem jen ve výjimečných situacích. Pokud by však zaměstnavatel zajistil k souhlasu takové podmínky, že by byl tento souhlas uznán za svobodný, pak je potřeba, aby splňoval náležitosti dle GDPR. Vzor takového souhlasu s dvěma příklady zpracování osobních údajů, pro které bude nutný souhlas, je v ESO9 PAM dostupný v činnostech 1.1.1.1 Osoba – mzdy, 1.1.1.2 Osobní karta a 2.1.1 Osoba – personalistika.
Činnost 2.1.1 Osoba - personalistika
Jedná se o vzor souhlasu, pokud bude potřeba použít souhlas pro jiné zpracování osobních údajů, bude nutné sestavu upravit!
Sestava GDPR Souhlas
Evidence souhlasů v ESO9 PAM
Pokud bude zaměstnavatel provádět zpracování osobních údajů zaměstnanců na základě poskytnutých souhlasů, bude nutné tyto souhlasy také evidovat. K evidenci souhlasů slouží trvalá mzdová složka k osobě O071 GDPR Souhlas, přičemž souhlasy pro různé zpracování osobních údajů je nutné rozlišovat za pomocí položky Vlastnost mzdové složky, která je povinná. Jako příklad jsou zadané vlastnosti 1 – fotografie, 2 – odbory. K trvalé mzdové složce O071 GDPR Souhlas lze zadat platnost a uložit naskenovaný souhlas do DMS.
2.5 Shrnutí
Pokud jde o právní základ zpracování osobních údajů zaměstnanců, platí, že nejvhodnějším právním titulem je nezbytnost pro plnění pracovní smlouvy (čl. 6. odst. 1 písm. b) GDPR) a nezbytnost pro plnění právních povinností (čl. 6 odst. 1 písm. c) GDPR), popř. oprávněný zájem správce (čl. 6 odst. 1 písm. f) GDPR). Naopak pro většinu zpracování osobních údajů na pracovišti nemůže a neměl by být právním důvodem souhlas zaměstnance (čl. 6 odst. 1 písm. a) GDPR), a to vzhledem k povaze vztahu mezi zaměstnavatelem a zaměstnancem.
3. Povinnosti zaměstnavatele k zaměstnancům z pohledu GDPR
3.1 Informace o zpracování osobních údajů
Zaměstnavatel má jako správce osobních údajů povinnost informovat zaměstnance o zpracování jeho osobních údajů už při získání těchto osobních údajů (čl. 13 odst. 1 a 2 GDPR). Tyto informace lze poskytnout pomocí sestavy GDPR Informace, kterou lze vytisknout v ESO9 PAM nad osobou v činnosti 1.1.1.1 Osoba – mzdy, 1.1.1.2 Osobní karta a 2.1.1 Osoba – personalistika. Tato sestava popisuje obecně důvody a účely zpracování osobních údajů zaměstnanců, kategorie osobních údajů, příjemců, doby uložení a práva subjektu osobních údajů. Sestavu je možné upravit dle individuálních požadavků.
Činnost 2.1.1 Osoba – personalistika
Stejná sestava může být použita i pro výkon práva na přístup k osobním informacím, které má zaměstnanec jako subjekt osobních údajů právo uplatňovat (čl. 15 odst. 1 a 2 GDPR). V případě tohoto práva má zaměstnanec dále nárok na poskytnutí kopií všech zpracovávaných osobních údajů. Protože by se však v tomto případě jednalo o všechny informace evidované o dané osobě v ESO9 PAM, je možné toto odmítnout s odůvodněním, že žádost je nedůvodná, respektive nepřiměřená (čl. 12 odst. 5 b) GDPR), případně poskytnout jen některé kopie osobních údajů (např. výplatní pásky, evidenční listy důchodového pojištění atd.).
Sestava GDPR Informace
3.2 Výmaz osobních údajů
Po ukončení pracovního vztahu zaměstnance má zaměstnavatel povinnost jeho osobní údaje, pro jejichž zpracování nemá již žádný právní důvod, vymazat. Protože se ale na každého zaměstnavatele vztahují určité zákonné povinnosti a archivační lhůty podle různých předpisů zákonů, nelze po skončení pracovního vztahu ihned vymazat všechny osobní údaje zaměstnance. Výmaz bude většinou možný jen u některých osobních údajů, a to většinou u těch, které jsou zpracovávány na základě oprávněného zájmu zaměstnavatele.
Výmaz některých osobních údajů, konkrétně se jedná o položky Fotografie, E-mail, Mobil a Telefon, je možný v činnosti 2.1.1 Osoba – personalistika pomocí tlačítka Výmaz osobních údajů GDPR, a to u osob, u kterých není evidovaný žádný aktivní pracovní vztah.
Činnost 2.1.1 Osoba – personalistika
4. Archivace ve spojení se zaměstnáním
Na každého zaměstnavatele se vztahují archivační lhůty podle různých předpisů zákonů. Níže uvedený výčet není kompletní, další zákony a zvláštní a prováděcí předpisy mohou stanovit speciální lhůty i pro některé další dokumenty!
Podle zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, jsou zaměstnavatelé povinni uschovávat:
• Stejnopisy evidenčních listů vyhotovených v kalendářním roce, kterého se týkají, nebo v bezprostředně následujícím kalendářním roce po dobu 3 kalendářních roků po roce, kterého se týkají, a stejnopisy ostatních evidenčních listů po dobu 3 kalendářních roků po roce, ve kterém byly vyhotoveny.
• Seznam společníků a členů statutárního orgánu a dozorčí rady této společnosti za jednotlivé kalendářní měsíce a přehled kalendářních měsíců, za které tato společnost neodvedla pojistné na sociální zabezpečení a příspěvek na státní politiku zaměstnanosti, které byla povinna odvést (jde-li o obchodní společnost za období před rokem 2014), a to po dobu 6 kalendářních roků následujících po měsíci, kterého se záznam týká, vždy však po dobu 3 kalendářních roků následujících po měsíci, v němž bylo dlužné pojistné za tento měsíc zaplaceno.
• Mzdové listy nebo účetní záznamy o údajích potřebných pro účely důchodového pojištění po dobu 30 kalendářních roků následujících po roce, kterého se týkají; jde-li o mzdové listy nebo účetní záznamy
o údajích potřebných pro účely důchodového pojištění vedené pro poživatele starobního důchodu, po dobu 10 kalendářních roků následujících po roce, kterého se týkají.
Pokud zvláštní právní předpis nestanoví pro záznamy, které mají charakter účetních záznamů, delší uschovací dobu; za záznamy o těchto skutečnostech se vždy považují doklady o druhu, vzniku a skončení pracovního vztahu, záznamy o pracovních úrazech a o nemocech z povolání a záznamy o evidenci pracovní doby včetně doby pracovního volna bez náhrady příjmu.
Podle zákona č. 589/1992 Sb., o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti, jsou zaměstnavatelé povinni uschovávat:
• Účetní záznamy o údajích potřebných pro stanovení a odvod pojistného po dobu 10 kalendářních roků následujících po roce, kterého se týkají.
Podle zákona č. 563/1991 Sb., o účetnictví, jsou zaměstnavatelé povinni uschovávat:
• Účetní záznamy po dobu 5 let; za účetní záznamy se považují doklady o druhu, vzniku a skončení pracovního vztahu, záznamy o pracovních úrazech a o nemocech z povolání a záznamy o evidenci pracovní doby včetně doby pracovního volna bez náhrady příjmu.
Při zániku zaměstnavatele bez právního nástupce před uplynutím dob archivace vzniká subjektu povinnost zajistit úschovu záznamů a dokladů a bez zbytečného odkladu písemně oznámit okresní správě sociálního zabezpečení, kde jsou doklady zaměstnavatele uloženy.
5. Zvláštní kategorie osobních údajů
Zpracovávání zvláštních kategorií osobních údajů (dříve tzv. citlivých údajů) zaměstnavatelem je možné, jen pokud je tak stanoveno zvláštním zákonem. K takovému zpracování dochází například v těchto případech:
• Údaje o zdravotním stavu pro účely evidence a odškodňování pracovních úrazů a nemocí z povolání podle zákoníku práce. (Zákoník práce v § 316 odst. 4 uvádí, že zaměstnavatel nesmí od zaměstnance vyžadovat informace o sexuální orientaci, původu, členství v odborové organizaci, členství v politických stranách nebo hnutích a příslušnosti k církvi nebo náboženské společnosti, není-li pro to dán věcný důvod spočívající v povaze práce.)
• Zaměstnání zaměstnanců se změněnou pracovní schopností. V tomto případě vyplývají povinnosti zaměstnavatelů související se zaměstnáváním zaměstnanců se zdravotním postižením ze zvláštních právních předpisů (zákon č. 435/2004 Sb., o zaměstnanosti, zákoník práce, vyhláška č. 182/1991 Sb., kterou se provádí zákon o sociálním zabezpečení a zákon ČNR o působnosti orgánů České republiky v sociálním zabezpečení).
• Údaj o státní příslušnosti není zvláštním osobním údajem o národnostním původu (který zaměstnavatelé často mylně a nadbytečně od cizince vyžadují, přitom však takový údaj k žádnému zákonnému účelu zpracovávat nepotřebují). Informaci o státní příslušnosti potřebuje mít zaměstnavatel k dispozici, aby mohl plnit povinnosti, které mu ukládají zvláštní zákony (např. odvod pojistného za zaměstnance dle § 5 zákona č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, zákon č. 435/2004 Sb., o zaměstnanosti apod.).
Co se nepovažuje za zpracování zvláštních kategorií osobních údajů:
• Potvrzení lékaře nebo zdravotnického zařízení (např. ze vstupní nebo preventivní lékařské prohlídky)
o tom, zda pracovník je, nebo není schopen vykonávat svoji práci, není o zdravotním stavu. Nevypovídá totiž konkrétně o zdravotním stavu zaměstnance, ale pouze o tom, zda je zaměstnanec způsobilý vykonávat pracovní úkony.
• Výpis z rejstříku trestů, který dokládá beztrestnost, není citlivým osobním údajem o „odsouzení za trestný čin“.
• Údaj o státní příslušnosti není totožný s údaji vypovídajícími o národnostním, rasovém nebo etnickém původu.