Jak zacházet se zvlášť citlivými osobními údaji

Zpracování osobních údajů zaměstnanců je věcí naprosto samozřejmou. Bez znalosti identifikačních a kontaktních údajů by nebylo možné pracovníka zaměstnat, přidělovat mu práci či vyplácet mzdu. Tato oblast tudíž nebudí příliš mnoho emocí a nevyvolává otázky, na které by se obtížně hledaly odpovědi. Naopak zcela odlišná je situace, pokud zaměstnavatel své lidi sleduje či narušuje jejich soukromí. O tom svědčí bohatá, zejména zahraniční judikatura či bohaté diskuse mezi odbornou veřejností.

Existují ovšem i jiné oblasti zpracování osobních údajů zaměstnanců, které mohou vyvolávat řadu otázek. Jednou z nich je zpracování zvláštních kategorií osobních údajů ve smyslu článku 9 obecného nařízení o ochraně osobních údajů (GDPR).^1 💬 Podle tohoto ustanovení se jedná o údaje, které "vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby".^2 💬 Danou kategorii osobních údajů lze tedy zjednodušeně charakterizovat tak, že s ohledem na jejich znalost by daný člověk mohl být snáze diskriminován či jinak znevýhodňován.

Důvodem, proč je nutné se zpracováním těchto údajů hlouběji zabývat, je skutečnost, že je možné je zpracovávat jen na základě specifických právních základů definovaných v článku 9 odstavci 2 GDPR.^3 💬 Jelikož se jedná o relativně úzce vymezený okruh situací, přináší to do praxe řadu problémů.

Při zpracování zvláštních kategorií osobních údajů totiž především není možné jako právní základy tohoto zpracování využít jednak nezbytnost zpracování pro splnění smlouvy^4 💬 a jednak oprávněné zájmy správce či třetí strany^5 💬. Za zmínku v této souvislosti stojí například otázka zpracování této kategorie osobních údajů v případě poskytování pojistných produktů, kdy je znalost takovýchto údajů objektivně nezbytná pro řádné posouzení vybraných produktů ze strany pojišťoven, zejména u životního pojištění.^6 💬

V oblasti zpracování osobních údajů zaměstnanců je situace dále poněkud specifická s ohledem na existenci zvláštních^7 💬 právních základů pro zpracování těchto údajů. Především článek 9 odstavec 2 písmeno b) GDPR umožňuje jejich zpracování v případě, že je to "nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem unie nebo členského státu nebo kolektivní dohodou […]".

V případech stanovených právními předpisy proto zaměstnavatelé nebudou mít větší problémy s určením právního základu a se zákonností takového zpracování. Půjde především o zpracování informací o zdravotním stavu, které v určitých situacích zaměstnavatelům ukládá zákon. Výhodou pak také je, že povinnosti mohou zaměstnavatelům v tomto ohledu určovat též kolektivní smlouvy, protože i když se právní základ nezbytnosti pro splnění běžné smlouvy v případě zvláštní kategorie osobních údajů neuplatní, u kolektivních smluv to neplatí.

Druhý specifický právní základ upravující možnost zpracování zvláštní kategorie osobních údajů nastává v situaci, kdy je zpracování "nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby […]".^8 💬 Správci přitom při zpracování údajů na tomto právním základě musí splnit podmínky článku 9 odstavce 3 GDPR a zajistit dodatečné záruky týkající se zabezpečení osobních údajů. S ohledem na obsah tohoto ustanovení je však zřejmé, že se použije především na zpracování údajů ze strany lékařů, nikoliv zaměstnavatelů.

Nebude-li možné aplikovat ani jeden ze dvou výše zmíněných právních základů, bude nutné v témže ustanovení hledat jiný. Nejčastěji se bude pravděpodobně jednat o právní základ, kdy je zpracování nezbytné pro určení, výkon nebo obhajobu právních nároků ve smyslu článku 9 odstavce 2 písmeno f) GDPR. Naopak za obvykle nevhodný bude nutné považovat výslovný souhlas zaměstnance podle článku 9 odstavce 2 písmene a) GDPR s ohledem na zaměstnancovo slabší postavení a spornou svobodnost udělení takového souhlasu. Využití jednotlivých právních základů je dále zkoumáno v návaznosti na jednotlivé zvláštní kategorie osobních údajů.

Informace o zdravotním stavu

Pokud jde o jednotlivé zvláštní kategorie osobních údajů, se kterými se budou zaměstnavatelé setkávat, jsou to zejména údaje o zdravotním stavu. Bude-li se jednat o situace, kdy jejich zpracování ukládá zákon (informace o zdravotní způsobilosti zaměstnance pro výkon práce, zaměstnání osob se změněnou pracovní schopností či například zpracování informací o pracovním úrazu), nebude určení zákonnosti takového zpracování činit větší obtíže.

Komplikovanější situace může nastat, pokud vazba na konkrétní zákonnou povinnost není jednoznačná. Navíc platí, že pojem údaje o zdravotním stavu je třeba vykládat spíše široce. Ačkoliv definice těchto údajů obsažená v článku 4 bodu 15) je relativně stručná,^9 💬 lze vyjít z výkladu podaného v preambuli GDPR, kde se mimo jiné uvádí: "Mezi osobní údaje o zdravotním stavu by měly být zahrnuty veškeré údaje související se zdravotním stavem subjektu údajů, které vypovídají o minulém, současném či budoucím tělesném nebo duševním zdraví subjektu údajů. To zahrnuje informace o dané fyzické osobě shromážděné v průběhu registrace […], číslo, symbol nebo specifický údaj přiřazený fyzické osobě […], informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně z genetických údajů a biologických vzorků, a jakékoliv informace například o nemoci, postižení, riziku onemocnění, anamnéze, klinické léčbě nebo fyziologickém či biomedicínském stavu subjektu údajů nezávisle na jejich původu […]".^10 💬 Soudní dvůr Evropské unie například dovodil, že za údaj o zdravotním stavu je nutné považovat též informaci, že se určitá osoba zranila na noze a čerpá částečné volno z důvodu nemoci.^11 💬

Za vhodný právní základ bude v těchto situacích možné považovat nezbytnost zpracování pro určení, výkon nebo obhajobu právních nároků,^12 💬 případně zpracování osobních údajů zjevně zveřejněných subjektem údajů, bude-li to relevantní.^13 💬 Naopak obecně nevhodným právním základem bude výslovný souhlas zaměstnance s takovým zpracováním.^14 💬 Nenalezne-li zaměstnavatel jiný vhodný právní základ, bude muset zpracování daných osobních údajů neprodleně ukončit, respektive je zpracovávat jen v takovém rozsahu, v jakém mu to ukládá zákon, případně kolektivní smlouva.

Členství v odborové organizaci

Další zvláštní kategorií osobních údajů, se kterou se budou zaměstnavatelé setkávat, je údaj o členství v odborech. Zákoník práce totiž v tomto případě zaměstnavatelům ukládá určité povinnosti. Jde například o situaci, kdy si zaměstnavatel musí podle zákoníku práce vyžádat předchozí souhlas k výpovědi dané členu odborové organizace, dále při provádění srážek ze mzdy k úhradě členských příspěvků zaměstnance, uplatnění částky zaplacených odborových příspěvků jako daňově odečitatelné položky^15 💬 nebo obecně v situacích, kdy je zaměstnavatel povinen určité skutečnosti s odborovou organizací projednávat nebo ji informovat.

Oprávnění zaměstnavatele ke zpracování údaje o členství v odborech sice v těchto situacích není explicitně vyjádřeno, i přesto se domnívám, že je nutné dovodit oprávněnost zaměstnavatele ke zpracování těchto údajů s odkazem na zmiňovaný zvláštní právních základ. O to však bude důležitější, aby zaměstnavatel dané údaje zpracovával striktně pro splnění stanovených povinností a nevyužíval je pro žádné jiné účely, například pro plánování organizačních změn či propouštění zaměstnanců. Zpracování pro takové účely by bylo bez dalšího (například bez existence souhlasu) nutné považovat za nezákonné.

Odsouzení za trestný čin

Zaměstnavatelé se dále za určitých okolností mohou dostat k informaci o tom, že zaměstnanec spáchal trestný čin a byl za něj odsouzen. Tato informace nicméně již není řazena do stejné kategorie jako ostatní zvláštní kategorie osobních údajů, nýbrž je specificky upravena v rámci samostatného článku 10 GDPR. Zpracování těchto informací je možné jen pod dozorem orgánu veřejné moci, pokud je to oprávněné podle právních předpisů poskytujících vhodné záruky nebo pokud jde o práva a svobody subjektů údajů.

Zaměstnavatelé se budou s těmito údaji setkávat zejména při náboru nových zaměstnanců. Za určitých okolností totiž mohou důvodně požadovat, aby jim uchazeči prokázali, že nebyli odsouzeni za trestný čin, a to předložením výpisu z rejstříku trestů. Ve smyslu příslušných právních předpisů se jedná o prokazování takzvané bezúhonnosti.

K povaze výpisu z rejstříku trestů zaměstnanců se vyjádřil Úřad pro ochranu osobních údajů, který uvedl, že "výpis z rejstříku trestů, který dokládá beztrestnost, není citlivým osobním údajem o odsouzení za trestný čin ve smyslu § 4 písm. b) zákona o ochraně osobních údajů".^16 💬 S ohledem na obdobnost příslušných pojmů obsažených v GDPR a zákona o ochraně osobních údajů tak lze dovozovat, že výpis z rejstříku trestů neobsahující žádné údaje o odsouzení nepodléhá režimu dle článku 10 GDPR.^17 💬

Mnohdy se však zaměstnavatelé dostanou též nepřímo či nechtěně k informacím o odsouzení zaměstnanců či uchazečů o zaměstnání, které není rozhodné pro dané zaměstnání. Zaměstnavatel musí s touto možností počítat a být na ni připraven. Může z toho vyplývat řada dalších povinností, jako je omezení možnosti zpracovávat takové údaje pro jiné účely^18 💬, povinnost provést posouzení vlivu^19 💬 či povinnost jmenovat pověřence pro ochranu osobních údajů^20 💬. Pro tyto situace lze proto obecně zaměstnavatelům doporučit tyto údaje nijak nezpracovávat a pouze si poznamenávat, zda došlo či nedošlo k doložení bezúhonnosti.

Biometrické údaje

Jednou z dalších ze zvláštních kategorií osobních údajů, se kterou zaměstnavatelé přicházejí do kontaktu, jsou biometrické údaje. Těmi se ve smyslu článku 4 bodu 14) GDPR rozumí "osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje". V praxi se může nejčastěji jednat o otisky prstů, záznam hlasu či sken oční duhovky využívaný pro přístupové systémy. Může jít i o bližší informace o podobizně zaměstnance, o specifické prvky chůze, jež mohou být využívány pro účely ostrahy objektů, nebo o rukopis zaměstnance.

Je nutné podotknout, že vymezení určitého údaje jako biometrického ve smyslu článku 9 GDPR nebude vždy snadné. Zejména u podobizny platí, že ne každé zpracování fotografie by mělo být považováno za zpracování ve smyslu zvláštních kategorií osobních údajů. Fotografie by měla být za biometrický údaj považována pouze v případech, kdy je zpracovávána zvláštními technickými prostředky umožňujícími jedinečnou identifikaci osoby.^21 💬 Fotografie pořízená na průkaz zaměstnance by tedy obecně neměla být považována za biometrický údaj.

Pokud jde o podmínky, za kterých mohou zaměstnavatelé biometrické osobní údaje zpracovávat, je nutné vyjít z účelů jejich zpracování. Jak bylo naznačeno, bude se nejčastěji jednat o docházkové systémy, systémy umožňující přístup či jiné bezpečnostní systémy, jako například monitorovací či sledovací.

Pro přístupové systémy bude ve specifických případech možné dovozovat určité zákonné požadavky na zajištění odpovídajícího zabezpečení. Takto je možné zmínit povinnost stanovenou § 11 a § 13 vyhlášky o zabezpečení jaderného zařízení a jaderného materiálu. Obdobné povinnosti týkající se bezpečnosti, ačkoliv biometrika explicitně zmíněna není, jsou obsaženy dále v zákoně o ochraně utajovaných informací, zejména jde o povinnost zajistit systémy pro kontrolu vstupů. Za zmínku stojí také skutečnost, že využití výslovného souhlasu jako právního základu pro zpracování těchto údajů může být zákonné za předpokladu, že zaměstnanec bude mít k dané volbě alternativu. Například bude moci využívat osobní kartu, heslo či jiný ověřovací prvek. Pak bude tedy možné aplikovat využití biometrických osobních údajů pro přístupové systémy i v situacích, kdy to nebude uloženo právním předpisem.^22 💬

U docházkových systémů je situace složitější. Úřad pro ochranu osobních údajů obecně zastává postoj, že zpracování takovýchto údajů pro vedení docházky je nepřípustné.^23 💬 V právních předpisech neexistuje pro tento účel specifické zmocnění. S ohledem na explicitní zákaz použití biometrického údaje pro účely jednoznačné identifikace fyzické osoby, jak je dnes obsažený v GDPR, by nebylo ani možné uvažovat o situaci, kdy by biometrický údaj byl ihned po přečtení převeden na jinou, nikoliv biometrickou informaci, se kterou by bylo pro účely docházky pracováno (tato možnost byla dovozována před účinností GDPR). Nicméně se domnívám, že i přesto by pro docházkové systémy bylo možné využít biometrické osobní údaje, pokud k tomu bude zaměstnancem udělen souhlas. Samozřejmostí i zde musí být to, že půjde o skutečně platně udělený souhlas (například, že zaměstnanec má alternativu k biometrice) a že je zpracování omezeno z věcného i časového hlediska na nezbytné minimum.

Zpracování biometrických údajů pro docházkové systémy i přes udělení výslovného souhlasu ovšem Úřad pro ochranu osobních údajů odmítá. Jako důvod uvádí, že zpracování neodpovídá stanovenému účelu a nejde o nezbytný rozsah.^24 💬 Podle mého názoru však zpracování biometrického údaje účelově dává smysl i pro docházkové systémy, neboť jiné systémy, jako jsou například karty, se dají obvykle relativně snadno obelstít. Stačí například, když svou kartu zaměstnanec předá jiné osobě. Zaměstnavatelé jsou poté nuceni sahat k závažnějším zpracováním údajům, například pomocí kamer, aby si v případě pochybností mohli ověřit, že zaměstnanec do práce skutečně dorazil.

Pokud jde o argument Úřad pro ochranu osobních údajů týkající se nadbytečného rozsahu, k tomu lze uvést, že ten je do určité míry vždy překročen u souhlasového zpracování. Avšak právě protože se jedná o souhlasové zpracování, je nutné posuzovat nezbytnost rozsahu méně přísným měřítkem. Ochrana subjektu údajů je zde zajištěna primárně odvolatelností souhlasu.

Posledním případem, kdy může přicházet do úvahy využití biometrických údajů a který stojí z hlediska praxe za zmínku, je zpracování údajů při monitorování či sledování prostřednictvím kamer či jiných obdobných nástrojů, které umí zachytit a vyhodnocovat biometrické prvky. Tyto technologie bývají obvykle využívány pro účely zabezpečení objektů, respektive pracovišť. Bude se jednat především o specifické prvky chůze a pohybů osob zachycených na kamerách či rysy obličeje. Moderní systémy dokážou tyto údaje vyhodnocovat a určit, zda se na daném záběru nevyskytuje osoba, která se tam vyskytovat nemá či nesmí.

To logicky přináší nutnost zpracování odpovídajících biometrických údajů osoby či osob, která se na daném místě vyskytovat má. Odpověď na možnost zpracování těchto údajů bude obdobná jako u systémů monitorujících přístup. Tyto údaje tedy bude možné zpracovávat, pokud bude existovat specifické zákonné zmocnění k využití takovýchto osobních údajů pro zajištění fyzické ostrahy. Naopak ale v tomto případě nebude připadat do úvahy možnost využití souhlasu, neboť v tomto případě pro zaměstnance nebude nikdy existovat možnost jeho neudělení, a tudíž by vyžadování a udělení souhlasu bylo neplatné. To je navíc na pracovišti umocněno specifičností vztahu zaměstnance a zaměstnavatele a dále ustanovením zákoníku práce omezujícím možnost sledování zaměstnanců.

Výše zmíněné zvláštní kategorie osobních údajů nejsou jediné, se kterými se zaměstnavatelé mohou setkat. Do úvahy mohou dále připadat například údaje, které vypovídají o politických názorech či náboženském vyznání. Obvykle náhodně se zaměstnavatelé mohou setkat též se zbývajícími ze zvláštních kategorií osobních údajů. Mohou samozřejmě nastat situace, kdy bude zpracování takovýchto údajů odůvodnitelné. Například informace o politických názorech v případě různých politických stran a hnutí či informace o náboženském vyznání v případě církví a náboženských společností. Zpracování takových údajů by však běžně nemělo vyvolávat příliš otázek, a to i s ohledem na specifickou regulaci obsaženou v ustanovení § 316 odstavce 4 zákoníku práce, § 12 odstavce 2 zákona o zaměstnanosti či v antidiskriminačním zákoně.

Důležitějším jsou proto výše zmiňované a do větší hloubky analyzované zvláštní kategorie osobních údajů, s jejichž zpracováním se bude možné v praxi setkávat častěji. Přes snahu objasnit v tomto článku veškeré možné případy zpracování takových údajů, zůstávají při určování zákonnosti jejich zpracování některé otevřené otázky. V každém případě je zřejmé, že zaměstnavatelé by ke zpracování takových osobních údajů měli přistupovat zvlášť obezřetně a striktně dodržovat zásadu účelového omezení a nevyužívat tyto informace pro jiné potřeby. Právní úprava obsažená v GDPR není s ohledem na svou obecnost v otázce určování právních základů pro zpracování zvláštních kategorií osobních údajů zaměstnanců příliš jednoznačná a nenasedá na některé specifické aspekty při jejich zpracování. Do větší míry se s tím však lze vypořádat výkladem a nalézt odpovídající právní základ, kdy je možné takové údaje zpracovávat.

Na závěr stojí za zmínku skutečnost, že zpracování zvláštních kategorií osobních údajů je podle GDPR v případě zaměstnanců možné také s odkazem na nezbytnost plnění kolektivní smlouvy. Takovéto záležitosti se však prozatím kolektivním smlouvám vyhýbají. Uvidíme, co přinese další vývoj a zda se tato situace do budoucna nezmění. Na druhou stranu by motivem pro změnu v tomto ohledu měla být spíše skutečná snaha o vyřešení těchto otázek v kolektivních smlouvách, a nikoliv snaha o odstraňování některých legislativních nedostatků.

Článek byl publikován v měsíčníku Právní rádce.

^{zpět🡹 1) V zákoně č. 101/2000 Sb., o ochraně osobních údajů, byly tyto osobní údaje označovány legislativní zkratkou jako citlivé. Nařízení GDPR sice termín "citlivé" osobní údaje také zná, ale jako legislativní zkratku jej pro tuto kategorii osobních údajů nepoužívá.}

^{zpět🡹 2) Viz ustanovení čl. 9 odst. 1 GDPR.}

^{zpět🡹 3) Podle názoru autora tohoto článku není vůbec nutné zabývat se při zpracování zvláštních kategorií osobních údajů ustanovením čl. 6 GDPR. Důvodem je skutečnost, že jednotlivé důvody se překrývají, resp. v čl. 9 odst. 2 GDPR jsou úžeji vymezeny. Odlišně Nulíček, který dovozuje nutnost aplikovat též ustanovení čl. 6 odst. 1 GDPR (Nulíček, M., Donát, J., Nonnemann, F., Lichnovský, B., Tomíšek, J. GDPR / Obecné nařízení o ochraně osobních údajů: praktický komentář. Praha: Wolters Kluwer, 2017, s. 164).}

^{zpět🡹 4) Viz článek 6 odstavec 1 písmeno b) GDPR.}

^{zpět🡹 5) Viz článek 6 odstavec 1 písmeno f) GDPR.}

^{zpět🡹 6) V praxi bývá takovéto zpracování realizováno obvykle na základě výslovného souhlasu (který však nelze s ohledem na jeho odvolatelnost považovat za vhodný právní základ) nebo s odkazem na nezbytnost zpracování pro určení, výkon nebo obhajobu právních nároků ve smyslu čl. 9 odst. 2 písm. f) GDPR.}

^{zpět🡹 7) Vyloučit samozřejmě nelze ani využití jiných právních základů ve smyslu čl. 9 odst. 2 GDPR.}

^{zpět🡹 8) Viz článek 9 odstavec 2 písmeno. h) GDPR.}

^{zpět🡹 9) Podle tohoto ustanovení se údaji o zdravotním stavu rozumí "osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu."}

^{zpět🡹 10) Viz preambule (35) GDPR.}

^{zpět🡹 11) Srov. rozhodnutí Soudního dvore Evropské unie ze dne 6. listopadu 2003, C-101/01, ve věci Bodil Lindqvist.}

^{zpět🡹 12) Ve smyslu článku 9 odstavce 2 písm. f) GDPR.}

^{zpět🡹 13) Ve smyslu článku 9 odstavce 2 písm. e) GDPR.}

^{zpět🡹 14) Ve smyslu článku 9 odstavce 2 písm. a) GDPR.}

^{zpět🡹 15) Za nesystematický a překonaný lze považovat názor vyjádřený Úřadem pro ochranu osobních údajů, že v souvislosti s prováděním dohody o srážkách ze mzdy nepotřebuje zaměstnavatel zpracovávat citlivý údaj vypovídající o členství zaměstnance v odborové organizaci, neboť tento názor Úřadu byl dovozován účelově zejména s ohledem na plnění oznamovací povinnosti dle § 16 ZOOÚ (srov. stanovisko ÚOOÚ č. 2/2001: Zpracování citlivého osobního údaje o členství v odborových organizacích v souvislosti s odváděním členských příspěvků členů odborových organizací. Říjen 2001, aktualizováno červenec 2006, červen 2007, revize srpen 2009).}

^{zpět🡹 16) Stanovisko ÚOOÚ č. 6/2012: Zpracování osobních údajů zaměstnanců ve vztahu k oznamovací povinnosti správce podle § 17 zákona o ochraně osobních údajů. Březen 2012, poslední revize duben 2013.}

^{zpět🡹 17) Shodně Nulíček, M., Donát, J., Nonnemann, F., Lichnovský, B., Tomíšek, J. GDPR / Obecné nařízení o ochraně osobních údajů: praktický komentář. Praha: Wolters Kluwer, 2017, s. 170.}

^{zpět🡹 18) Viz článek 6 odstavec 4 GDPR.}

^{zpět🡹 19) Viz článek 35 GDPR.}

^{zpět🡹 20) Viz článek 37 GDPR.}

^{zpět🡹 21) Viz preambule (51) nařízení GDPR.}

^{zpět🡹 22) Obdobné závěry vyplývají též ze stanoviska ÚOOÚ č. 1/2017: Biometrická identifikace nebo autentizace zaměstnanců. Červen 2017.}

^{zpět🡹 23) Tamtéž.}

^{zpět🡹 24) Viz stanovisko ÚOOÚ č. 1/2017: Biometrická identifikace nebo autentizace zaměstnanců. Červen 2017.}