Od účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) uplynulo několik měsíců. Škola a školská zařízení získaly první zkušenosti se zaváděním příslušných opatření do praxe. Článek zaměřený na vedení personální agendy pokračuje v řadě textů započaté v Řízení školy 9/2018.
Nejčastější dotazy z praxe škol v oblasti GDPR - personální agenda
PhDr. Mgr.
Monika
Puškinová,
Ph.D.
právník a specialista na školskou legislativu
Mgr.
Alice
Frýbová,
právnička společnosti Holubová advokáti, s. r. o.
Výběrové řízení
1. Na základě inzerátu se nám přihlásilo několik uchazečů o zaměstnání, kteří nám zaslali svůj životopis a motivační dopis. Potřebujeme navíc jejich souhlas, abychom je mohli zařadit do výběrového řízení?
Souhlas se zpracováním osobních údajů jako podmínka zpracování osobních údajů žadatele o zaměstnání v průběhu výběrového řízení není třeba. Účelem shromáždění, uložení po dobu výběrového řízení a vyhodnocení životopisu a motivačního dopisu je rozhodnout, zda kandidát je, či není vhodný pro danou pracovní pozici, a porovnat jeho znalosti a schopnosti s ostatními uchazeči. Právním základem zpracování osobních údajů obsažených v životopisu a motivačním dopisu je právní titul zpracování vymezený čl. 6 odst. 1 písm. b) GDPR: zpracování, které je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.
Kvůli jednoznačnému chápání uvedeného právního základu zpracování autorky dodávají, že v čl. 6 odst. 1 písm. b) GDPR jsou vyjádřeny dva případy legálního zpracování osobních údajů:
1)
zpracování, které je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů,
2)
zpracování, které je nezbytné pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.
V průběhu výběrového řízení není uzavřena pracovní smlouva, jejíž smluvní stranou je subjekt údajů, a správce nezpracovává osobní údaje z toho důvodu, že plní vzniklé smluvní závazky. Avšak organizace, průběh a vyhodnocení výběrového řízení (do kterého se uchazeč dobrovolně přihlásil a dobrovolně správci zaslal osobní údaje) je provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů.
Z logiky věci plyne, že uvedený právní základ zpracování se vztahuje na zpracování osobních údajů všech uchazečů o zaměstnání v průběhu vlastního výběrového řízení. Pokud však výběrové řízení skončí a s uchazečem není uzavřena pracovní smlouva,
a)
zanikne právní základ pro zpracování osobních údajů v rámci „předsmluvní komunikace“ (tj. v rámci provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů) a současně
b)
nevznikne právní základ zpracování osobních údajů, kdy je zpracování osobních údajů nezbytné pro plnění závazků vyplývajících z uzavřené pracovní smlouvy.
V případě uchazečů o zaměstnání, se kterými nebyla uzavřena pracovní smlouva, je správce povinen životopis a motivační dopis, případně další přílohy, uchazeči vrátit nebo je zničit. Pokud by správce chtěl i po skončení výběrového řízení využívat osobní údaje obsažené v uvedených dokumentech, musí získat souhlas daného uchazeče se zpracováním osobních údajů pro účely vedení evidence možných zaměstnanců. I tento souhlas se zpracováním osobních údajů musí být svobodný, konkrétní, informovaný a jednoznačný (viz čl. 4 odst. 11 GDPR) a podmínky vyjádření souhlasu musejí odpovídat pravidlům stanoveným čl. 7 GDPR.
2. Ačkoliv jsme nevypsali žádnou volnou pozici, obdrželi jsme e-mail se žádostí o místo. Ke zprávě byl přiložen životopis a motivační dopis. Co máme s obdrženým e-mailem dělat? Máme ho ihned vymazat, nebo můžeme uchazeče oslovit v budoucnu, až se nějaké místo uvolní?
Pro řešení této otázky je třeba nejprve si uvědomit, proč dotyčná osoba zaslala škole životopis a motivační dopis. Lze předpokládat následující důvody:
a)
daná osoba chce být v budoucnu oslovena při vypsání volné pracovní pozice,
b)
daná osoba nyní žádá o přijetí do pracovního poměru.
Předpokládejme, že daná osoba chce být v budoucnu oslovena při vypsání volné pracovní pozice. Pokud bude správce zpracovávat osobní údaje za tímto
účelem
, pak není nutné, aby po obdržení e-mailu s připojeným životopisem a motivačním dopisem ještě speciálně získával souhlas se zpracováním osobních údajů. Podle čl. 4 odst. 11 GDPR může subjekt údajů dát souhlas se zpracováním osobních údajů nejen prohlášením, ale i jiným zjevným potvrzením. Uvedeným zjevným potvrzením je i „vyjádření vůle zasláním e-mailu“1), tj. i e-mailu, kterým určitá osoba kontaktovala potenciálního zaměstnavatele. Jednoduše řečeno, již tímto svým jednáním daná osoba udělila souhlas se zpracováním osobních údajů. Správce zpracovává takto a za tímto účelem sdělené osobní údaje na právním základě zpracování, kterým je udělení souhlasu [čl. 6 odst. 1 písm. a) GDPR].Nicméně na tomto místě autorky upozorňují, že doba uchování motivačního dopisu a životopisu a na něj navazující případné oslovení s nabídkou volné pracovní pozice musí být přiměřené situaci. Není možné např. oslovit uchazeče po 10 letech poté, co se na správce obrátila daná osoba. Lze předpokládat, že jeho situace se v průběhu dané doby změnila a jeho oslovení ze strany správce již nebude odpovídat účelu zpracování osobních údajů. Dle právního názoru autorek je vhodnou dobou pro zpracování uvedené e-mailové zprávy, přiloženého životopisu a motivačního dopisu doba jednoho roku. Po uplynutí této doby správce e-mail a připojené dokumenty zničí.
Jiná situace nastává, jestliže chce být daná osoba pomocí zaslaného e-mailu s připojeným životopisem a motivačním dopisem u správce zaměstnána nyní, resp. v blízké době, nemá zájem být správcem oslovena v budoucnu a správce ji nezaměstná. Právním důvodem zpracování osobních údajů, ze kterého vychází daná osoba, je provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů [čl. 6 odst. 1 písm. b) GDPR]. Protože tento právní základ zpracování reálně nenastal, správce nemůže zpracovávat sdělené osobní údaje. E-mail s připojenými dokumenty obsahujícími osobní údaje musí zničit.
Osobní složka (osobní spis) zaměstnance
3. Jaké osobní údaje můžeme požadovat v osobním dotazníku zaměstnance a na základě jakého právního důvodu?
Podle § 312 odst. 1 zákoníku práce je zaměstnavatel oprávněn vést osobní spis zaměstnance. Osobní dotazník je logicky jedním z prvních dokumentů vložených do osobního spisu. Pokud připomeneme další pravidlo stanovené § 312 odst. 1 zákoníku práce, a to pravidlo, podle kterého osobní spis smí obsahovat jen písemnosti, které jsou nezbytné pro výkon práce v základním pracovněprávním vztahu, nepřekvapí, že převažujícím právním titulem zpracování osobních údajů obsažených v osobním dotazníku je zpracování nezbytné pro splnění právní povinnosti, která se na správce vztahuje [čl. 6 odst. 1 písm. c) GDPR], nebo zpracování, které je nutné pro splnění smlouvy, a to pracovní smlouvy [čl. 6 odst. 1 písm. b) GDPR].
Osobní údaje, resp. kategorie osobních údajů, zaměstnance obsažené v osobním dotazníku a právní základ jejich zpracování jsou shrnuty v následující tabulce.
I-----------------------------------I-----------------------I---------------------------------I
I osobní údaje, resp. kategorie I osoba I právní důvod zpracování I
I osobních údajů I I I
I-----------------------------------I-----------------------I---------------------------------I
I jméno a příjmení, titul, datum I jakýkoli zaměstnanec I - plnění právní povinnosti, I
I narození, místo trvalého pobytu I I která se na správce vztahuje, I
I I I a to povinnosti vyplývající I
I I I ze zákona č. 262/2006 Sb., I
I I I zákoník práce, v platném I
I I I znění I
I I I - zpracování je nezbytné pro I
I I I splnění smlouvy, a to I
I I I pracovní smlouvy I
I-----------------------------------I-----------------------I---------------------------------I
I jméno a příjmení, datum a místo I jakýkoli zaměstnanec I - plnění právní povinnosti, I
I narození, rodné číslo, místo I I která se na správce vztahuje, I
I trvalého pobytu, datum vzniku a I I a to povinnosti vyplývající I
I skončení pracovního poměru, I I ze zákona č. 582/1991 Sb., o I
I pohlaví, státní občanství, I I organizaci a provádění I
I vyměřovací základ pojištěnce, I I důchodového pojištění, v I
I doba pracovní neschopnosti, doba I I platném znění I
I pracovního volna bez náhrady I I I
I mzdy, doba vojenské služby, údaje I I I
I o starobním důchodu, příp. údaje I I I
I o pojištění v cizině I I I
I-----------------------------------I-----------------------I---------------------------------I
I zdravotní pojišťovna I jakýkoli zaměstnanec I - plnění právní povinnosti, I
I I I která se na správce vztahuje, I
I I I a to povinnosti vyplývající I
I I I ze zákona č. 48/1997 Sb., o I
I I I veřejném zdravotním I
I I I pojištění, v platném znění I
I-----------------------------------I-----------------------I---------------------------------I
I jméno a příjmení manžela/manželky I jakýkoli zaměstnanec I - plnění právní povinnosti, I
I a jeho/jejího zaměstnavatele, I I která se na správce vztahuje, I
I jméno, příjmení a rodné číslo I I a to povinnosti vyplývající I
I dětí, pokud zaměstnanec uplatňuje I I ze zákona č. 586/1992 Sb., o I
I daňové zvýhodnění, druh I I daních z příjmů, v platném I
I pobíraného důchodu I I znění I
I-----------------------------------I-----------------------I---------------------------------I
I zdravotní postižení I jakýkoli zaměstnanec I - plnění právní povinnosti, I
I I I která se na správce vztahuje, I
I I I a to povinnosti vyplývající I
I I I ze zákona č. 435/2004 Sb., o I
I I I zaměstnanosti, v platném I
I I I znění I
I-----------------------------------I-----------------------I---------------------------------I
I údaje nutné k výpočtu a výplatě I jakýkoli zaměstnanec I - zpracování je nezbytné pro I
I mzdy/platu I I splnění pracovní smlouvy I
I I I - plnění právní povinnosti, I
I I I která se na správce vztahuje, I
I I I a to povinnosti vyplývající I
I I I ze zákona č. 262/2006 Sb., v I
I I I platném znění, a z nařízení I
I I I vlády č. 341/2017 Sb., o I
I I I platových poměrech I
I I I zaměstnanců ve veřejných I
I I I službách a správě I
I-----------------------------------I-----------------------I---------------------------------I
I údaj o vzdělání I pedagogický pracovník I - plnění právní povinnosti, I
I I I která se na správce vztahuje, I
I I I a to povinnosti vyplývající I
I I I ze zákona č. 563/2004 Sb., o I
I I I pedagogických pracovnících a I
I I I o změně některých zákonů, v I
I I I platném znění I
I-----------------------------------I-----------------------I---------------------------------I
4. Jaké osobní údaje od zaměstnance v osobním dotazníku nemůžeme požadovat?
Typickými údaji, které by neměl zaměstnavatel zjišťovat pomocí osobního dotazníku, jsou
-
národnost,
-
označení sexuální orientace, politické smýšlení, plánované otěhotnění.
Údaj o národnosti je z hlediska GDPR pro zaměstnavatele (správce) nadbytečný, a z hlediska zákoníku práce dokonce diskriminační. Proto nelze údaj o národnosti zpracovávat (shromažďovat, uchovávat) ani se souhlasem zaměstnance. Důvod pro takový postup správce vyplývá z rozdílu mezi národností a státním občanstvím:
-
Státní občanství je příslušnost člověka ke státu, která je definována jako právní svazek mezi osobou a státem a neoznačuje etnický původ osoby [viz čl. 2 písm. a) Evropské úmluvy o státním občanství, vyhlášené pod č. 76/2004 Sb. m. s.]. V České republice se státní občanství zpravidla nabývá narozením občanům České republiky. Státní občanství je uvedeno v občanském průkazu či v cestovním pase.
-
Oproti tomu národnost je věcí čistě subjektivní. Vyjadřuje to, čím, resp. kým se člověk cítí být. Slovy zákona: Příslušníkem národnostní menšiny je občan České republiky, který se hlásí k jiné než české národnosti a projevuje přání být považován za příslušníka národnostní menšiny spolu s dalšími, kteří se hlásí ke stejné národnosti (§ 2 odst. 2 zákona č. 273/2001 Sb., o právech národnostních menšin a o změně některých zákonů, v platném znění). Právním důvodem zpracování osobního údaje vyjadřujícího státní občanství je plnění povinnosti vyplývající ze zákona č. 582/1991 Sb., o organizaci a provádění důchodového pojištění, v platném znění.
Zpracování osobních údajů spojených se sexuální orientací zaměstnance, jeho politickým smýšlením či s plánovaným otěhotněním zaměstnankyně v blízké budoucnosti lze označit jako naprosté „tabu“. V žádném případě je nelze pomocí osobního dotazníku zjišťovat.
5. Jaké osobní údaje můžeme zpracovávat v osobním spisu jen na základě uděleného souhlasu?
Žádný právní předpis nestanoví povinnost zaměstnavatele evidovat číslo občanského průkazu zaměstnance. Zaměstnavatel by si měl být zejména vědom toho, pro jaký účel chce zpracovávat číslo občanského průkazu a zda je tento účel při vedení personální agendy důvodný. Proto může zaměstnavatel (správce) zpracovávat tento osobní údaj pouze tehdy, pokud k tomu zaměstnanec udělí
souhlas
, případně pokud je uvedené pole v osobním dotazníku označeno jako nepovinné.Dle názoru autorek lze ve většině případů zpracovávat soukromé telefonní číslo nebo soukromou e-mailovou adresu zaměstnance na základě souhlasu zaměstnance. Pouze ve výjimečných případech lze tyto osobní údaje zpracovávat pro účely pracovní komunikace za mimořádných situací na základě oprávněného zájmu správce (tj. bez udělení souhlasu zaměstnance).
6. Na jakém právním základě máme zpracovávat číslo účtu zaměstnance, na který mu zasíláme plat?
Podle § 143 odst. 1 zákoníku práce na základě dohody se zaměstnancem je zaměstnavatel povinen při výplatě mzdy nebo platu, popřípadě jiných peněžitých plnění ve prospěch zaměstnance, po provedení případných srážek ze mzdy nebo z platu podle tohoto zákona nebo zvláštního právního předpisu, zaplatit částku určenou zaměstnancem na svůj náklad a nebezpečí na jeden platební účet určený zaměstnancem, a to nejpozději v pravidelném termínu výplaty mzdy nebo platu, pokud se zaměstnancem písemně nesjedná pozdější termín.
Jestliže zaměstnavatel zpracovává osobní údaj - číslo účtu zaměstnance - pro účely zasílání platu, zpracovává tento osobní údaj, protože je to nutné pro splnění smlouvy [čl. 6 odst. 1 písm. b) GDPR].
7. Můžeme kopírovat doklad o dosaženém vzdělání, výpis z Rejstříku trestů, občanský průkaz, rodný list dítěte?
Při kopírování jakýchkoli dokumentů, které mají být následně vloženy do osobního spisu zaměstnance, je nutné dodržovat určitou obezřetnost.
Autorky jsou toho názoru, že v případě dokladu o vzdělání a výpisu z evidence Rejstříku trestů mají kopie dokumentů v osobním spisu zaměstnance své místo. Důvodem je skutečnost, že umožňují rychlou kontrolu splnění předpokladu odborné kvalifikace a předpokladu bezúhonnosti pedagogického pracovníka (dle zákona č. 563/2004 Sb., o pedagogických pracovnících a o změně některých zákonů, v platném znění) a splnění předpokladu požadovaného vzdělání při zařazení zaměstnance do platové třídy (dle nařízení vlády č. 341/2017 Sb., o platových poměrech zaměstnanců ve veřejných službách a správě).
V případě ostatních dokladů obsahujících osobní údaje bylo kopírování a uchovávání kopií bez zdůvodnění a jednoznačného souhlasu subjektů údaje v rozporu již se zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a tím spíše je v rozporu s GDPR. Je však bohužel běžnou praxí, že mzdová účetní požaduje po zaměstnancích kopii rodného listu dítěte, pokud zaměstnanec hodlá na dítě uplatňovat slevu na dani. Tento požadavek je protiprávní, jelikož pro něj neexistuje zákonný podklad2).
Pro ujasnění vhodného postupu autorky doplňují, že při uplatňování slevy na dani na vyživované dítě postačuje, pokud zaměstnanec vyplní tzv. růžové prohlášení zaměstnance. V tomto dokumentu prohlašuje správnost uvedených údajů, tzn. odpovědnost za správnost údajů nese zaměstnanec. Zaměstnanci, kteří nevyplňují tzv. růžové prohlášení, nemohou uplatňovat slevu na dani na vyživované dítě.
Pořizování kopie občanského průkazu bez souhlasu subjektu údajů odporuje nejen GDPR, ale především § 15a odst. 2 zákona č. 328/1999 Sb., o občanských průkazech, v platném znění: Je zakázáno pořizovat jakýmikoliv prostředky kopie občanského průkazu bez prokazatelného souhlasu občana, kterému byl občanský průkaz vydán, pokud zvláštní zákon nebo mezinárodní smlouva, kterou je Česká republika vázána, nestanoví jinak.
8. Jak dlouho můžeme uchovávat dokumenty o zaměstnanci?
Doba uložení dokumentu u zaměstnavatele (správce) je standardně upravena ve spisovém a skartačním řádu. Zákonná úprava se vztahuje na povinnost zaměstnavatele uchovávat mzdové listy a evidenční listy. Pro přehlednost uvádíme text zákona.
§ 35a odst. 4 písm. d) zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, v platném znění
Zaměstnavatelé jsou povinni uschovávat mzdové listy nebo účetní záznamy o údajích potřebných pro účely důchodového pojištění, včetně údajů uvedených v § 37 odst. 2 a 3, po dobu 30 kalendářních roků následujících po roce, kterého se týkají, a jde-li o mzdové listy nebo účetní záznamy o údajích potřebných pro účely důchodového pojištění vedené pro poživatele starobního důchodu, po dobu 10 kalendářních roků následujících po roce, kterého se týkají.
§ 35a odst. 4 písm. a) zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, v platném znění
Zaměstnavatelé jsou povinni uschovávat stejnopisy evidenčních listů (§ 38 odst. 5 věta první) vyhotovených v kalendářním roce, kterého se týkají, nebo v bezprostředně následujícím kalendářním roce po dobu 3 kalendářních roků po roce, kterého se týkají, a stejnopisy ostatních evidenčních listů po dobu 3 kalendářních roků po roce, ve kterém byly vyhotoveny.
Ostatní
9. Zasíláme našim zaměstnancům výplatní pásky na jejich soukromý e-mail. Můžeme to tak dělat?
Tato problematika je částečně upravena zákonem č. 262/2006 Sb., zákoník práce, v platném znění, a částečně GDPR.
Jednoznačně lze konstatovat, že zaměstnavatel má povinnost vydat zaměstnanci písemnou „výplatní pásku“. V terminologii zákoníku práce je uvedená povinnost vyjádřena v § 142 odst. 5 zákoníku práce takto: Při měsíčním vyúčtování mzdy nebo platu je zaměstnavatel povinen vydat zaměstnanci písemný doklad obsahující údaje o jednotlivých složkách mzdy nebo platu a o provedených srážkách.
Z úhlu pohledu písemné formy výplatní pásky nepředstavuje zaslání výplatní pásky e-mailem komplikaci. Z dikce § 562 odst. 1 občanského zákoníku vyplývá, že písemná forma je splněna i v případě, že je výplatní páska zaslána e-mailem.
Je však nutné ujasnit, zda k vlastnímu zaslání výplatní pásky e-mailem je nutné získat souhlas zaměstnance, případně reagovat na jeho žádost. Podle názoru autorek je nutné vycházet z § 335 odst. 1 zákoníku práce: Prostřednictvím sítě nebo služby elektronických komunikací může zaměstnavatel písemnost doručit výlučně tehdy, jestliže zaměstnanec s tímto způsobem doručování vyslovil písemný souhlas a poskytl zaměstnavateli elektronickou adresu pro doručování. Proto mají autorky za to, že zaměstnanci lze zasílat výplatní pásku e-mailem pouze tehdy, když s tímto způsobem doručení výplatní pásky zaměstnanec vysloví souhlas.
Z hlediska GDPR je nutné dále připomenout, že správce je povinen přijmout taková bezpečnostní a organizační opatření, která zajistí, aby se výplatní páska nedostala k neoprávněným osobám, typicky ostatním zaměstnancům. Proto lze za standardní postup považovat zaslání souboru, který je „zaheslován“ jedinečným heslem pro každého zaměstnance.
Shrnutí
Obecné nařízení o ochraně osobních údajů se významně dotkne též personální agendy, ke které v současnosti existuje mnohem více rozhodnutí Úřadu pro ochranu osobních údajů než k agendě poskytování vzdělávání. Školy jakožto zaměstnavatelé by měly prověřit, zda údaje, které evidují o svých zaměstnancích, jsou přesné a zda nejsou evidovány nadbytečné, či dokonce diskriminační údaje. Důraz by měly klást na výmaz osobních údajů (ovšem v kontextu zákona o archivnictví a neprovedení výmazu v případě archiválií).
1 NULÍČEK, M., DONÁT, J., NONNEMANN, F., LICHNOVSKÝ, B. a J. TOMÍŠEK. GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR, 2017, s. 148.
2 Viz zejména stanovisko 6/2004, listopad 2004, červen 2007, revize srpen 2009, Úřadu pro ochranu osobních údajů [online]. [cit. 2018-08-25]. Dostupné z: https://www.uoou.cz/files/stanovisko_2004_6.pdf. Dále viz např. rozhodnutí Úřadu pro ochranu osobních údajů čj. UOOU-07319/15-3 [online]. [cit. 2018-08-25]. Dostupné z: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=22079.