Zaměstnavatelé
Zpracování osobních údajů zaměstnance vychází z dohody se zaměstnavatelem o poskytnutí benefitu, v rámci které se zaměstnavatel zaváže k poskytnutí benefitu. Pokud zaměstnanec projeví o benefit zájem, dochází k účelnému zpracování osobních údajů v souvislosti s poskytovaným benefitem, tj. i k předání osobních údajů zaměstnance dalšímu příjemci, poskytovateli služby, pokud je jím benefit zajišťován. Právním důvodem pro předmětné zpracování je článek 6 odst. 1 písm. b) GDPR, tedy plnění smlouvy, a to i případě, že k poskytnutí benefitu se zaměstnavatel zavázal v kolektivní smlouvě či právo na benefity stanovil v rámci vnitřního předpisu zaměstnavatele. V závislosti na různých druzích benefitů je nutné podle čl. 13 GDPR poskytnout zaměstnancům adekvátní informaci o nutném předání osobních údajů poskytovateli benefitu a též i o rozsahu, v jakém budou předány.
Dle článku 10 GDPR se zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů může mimo jiné provádět, pokud je oprávněné dle členského státu poskytujícího vhodné záruky, pokud jde o práva a svobody subjektu údajů.
Údaje z evidence Rejstříku trestů slouží dle zákona č. 269/1994 Sb., pro potřebu trestního, občanskoprávního nebo správního řízení a k prokazování bezúhonnosti.
Ve smyslu ustanovení § 316 odst. 4 zákona č. 262/2006 Sb., jestliže je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, nebo v případech, kdy to stanoví tento zákon nebo zvláštní právní předpis, je zaměstnavatel oprávněn vyžadovat od zaměstnance informace o trestněprávní bezúhonnosti.
Vzhledem k výše uvedenému je zaměstnavatel v některých případech při splnění předmětných podmínek oprávněn vyžadovat výpis z rejstříku trestů a po účelem zpracování odůvodněnou dobu jej uchovávat. To samé platí i o poznámkách, které si na základě předloženého výpisu z Rejstříku trestů zaměstnavatel pořídí. Z výše uvedené dikce zákoníku práce současně vyplývá, že potřebnost výpisu ve vztahu k určité pracovní pozici si musí zaměstnavatel řádně (věcně) ujasnit.
Předně si je nutné uvědomit, že ne každé pořízení a zveřejnění fotografie osoby je zpracováním osobních údajů podle GDPR.
Základní právní úpravou pro zacházení s fotografií člověka je zákon č. 89/2012 Sb. Zachytit podobu člověka tak, aby podle zobrazení bylo možné určit jeho totožnost, je možné až na výjimky jen s jeho svolením (§ 84 a násl. zákona č. 89/2012 Sb.). Dle občanského zákoníku lze dále zachytit podobu člověka bez jeho souhlasu i pro výkon či ochranu jiných práv nebo právem chráněných zájmů jiných osob.
Zveřejňuje-li zaměstnavatel fotografie zaměstnanců z pořádaných firemních akcí na svých webových stránkách, jde o záležitost nespadající do GDPR, ale do práva občanského.
V rámci zpracování osobních údajů zaměstnavatelem jsou typickými situacemi, kdy zaměstnavatel pracuje s fotografiemi, vyhotovení zaměstnaneckých průkazů nebo uvedení pracovních pozic na internetových stránkách. Typickým právním důvodem pro taková zpracování fotografií jsou oprávněné zájmy zaměstnavatele podle GDPR. Zaměstnavatel musí vždy zaměstnanci vysvětlit okolnosti, které vedou zaměstnavatele k vyžadování fotografie a sdělit mu způsoby jejího využití.
Dle ustanovení § 30 odst. 2 zákona č. 262/2006 Sb., smí zaměstnavatel vyžadovat v souvislosti s jednáním před vznikem pracovního poměru od fyzické osoby, která se u něj uchází o práci, nebo od jiných osob jen údaje, které bezprostředně souvisejí s uzavřením pracovní smlouvy. Údaje, které jsou pro zaměstnavatele relevantní, jsou informace vztahující se ke kvalifikaci, pracovní praxi, dovednostem a znalostem dotyčného uchazeče o zaměstnání. Obdobné ustanovení obsahuje i § 12 odst. 2 zákona č. 435/2004 Sb., který stanovuje, že zaměstnavatel nesmí při výběru zaměstnanců vyžadovat informace týkající se národnosti, rasového nebo etnického původu, politických postojů, členství v odborových organizacích, náboženství, filozofického přesvědčení, sexuální orientace, není-li jejich vyžadování v souladu se zvláštním právním předpisem, dále informace, které odporují dobrým mravům, a osobní údaje, které neslouží k plnění povinností zaměstnavatele stanovených zvláštním právním předpisem. Na žádost uchazeče o zaměstnání je zaměstnavatel povinen prokázat potřebnost požadovaného osobního údaje.
Dle ustanovení § 316 zákona č. 262/2006 Sb., zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování zákazu podle věty první je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat. Za přiměřené lze považovat např. to, když zaměstnavatel sleduje množství a velikost odeslané a přijaté pošty zaměstnancem nebo domény navštívených internetových stránek. V případě zavedení sledovacích nástrojů je však zaměstnavatel povinen o tom zaměstnance přímo informovat.
Správce osobních údajů, který s údaji primárně nakládá, rozhoduje o druzích prostředků, které budou pro zpracování osobních údajů použity.
Jedním z technických prostředků může být právě varianta cloud computingu, tedy jakéhosi pronájmu výpočetního výkonu či úložného prostoru poskytovatele této služby. Z hlediska správce osobních údajů lze důrazně doporučit přistupovat k poskytovateli cloud computingu jako ke zpracovateli ve smyslu GDPR. To však nezbavuje správce osobních údajů (tedy subjekt, který si cloud najímá) povinností, které jsou na něj GDPR kladeny, a v této souvislosti je nutné zmínit zejména povinnost stanovenou v článku 32 GDPR, která se týká zabezpečení osobních údajů. Je tak na správci, aby analyzoval dopady cloud computingu (analýza rizik), zajistil adekvátní opatření na své straně (např. šifrování dat) a aby si uzavřením smluvních vztahů s případným poskytovatelem služeb cloud computingu ošetřil veškeré podmínky zpracování (zajištění odpovídající úrovně zabezpečení; odpovědnost poskytovatele služeb/zpracovatele za jeho případná selhání s dopady do oblasti ochrany osobních údajů, garantování nevratné likvidace údajů apod.).
Z hlediska zákonných pravidel a záruk požadovaných pro předávání osobních údajů lze doporučit využívat pouze webové služby a cloudová úložiště, které se nacházejí na území EU a jsou plně pod jurisdikcí evropského práva, v takovém případě by pak měly být splněny i požadavky GDPR.
Předně je důležité si uvědomit, že pokud by zaměstnavatel na pracovní nástěnku umístil například tabulku s uvedením jmen všech zaměstnanců zařazených na danou směnu a ke každému z nich poté doplňoval údaje o jejich pracovních výkonech (kupř. počty vyrobených kusů) v průběhu času, prováděl by zpracování podle GDPR a nacházel by se v postavení správce.
Pro takové zpracování by však bylo jen velmi obtížné jeho provedení v souladu se zásadami zpracování podle čl. 5 GDPR, neboť se nejeví být účelné a ani není zřejmá nezbytnost jeho provedení. V souvislosti s tím lze uvést, že hodnocení pracovních výkonů zaměstnanců je obecně v pravomoci jejich vedoucích osob, a nikoliv pracovního kolektivu. V případě, že by za takovým postupem zaměstnavatele navíc stál skrytý účel v podobě „veřejného pranýřování“ zaměstnanců s nižšími pracovními výsledky, jednalo by se podle názoru Úřadu o nepřípustné zpracování.