2.13.312
§ 312 ZP Osobní spis
Mgr. Lenka Pavelková
Úplné znění
Ustanovení související
-
Zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů
-
§ 16 – rovné zacházení a zákaz diskriminace
-
§ 30 – postup před vznikem pracovního poměru
-
§ 33–39 – vznik pracovního poměru
-
§ 48–73a – skončení pracovního poměru
-
§ 74–77 – dohody o pracích konaných mimo pracovní poměr
-
§ 316 odst. 4 – ochrana osobních údajů zaměstnanců
-
Zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů
-
§ 4–9 – vymezení pojmů a rozlišování citlivých a ostatních osobních údajů
-
§ 11 – povinnosti správce – informování subjektu o shromažďování osobních údajů
-
§ 12 – přístup subjektu k informacím
-
§ 13–15 – povinnosti osob při zabezpečení osobních údajů
-
§ 16–18 – oznamovací povinnost
-
Zákon č. 133/2000 Sb., o evidenci obyvatel a rodných čísel a o změně některých zákonů (zákon o evidenci obyvatel), ve znění pozdějších předpisů
-
Zákon č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů
-
Zákon č. 499/2004 Sb., o archivní a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů
-
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
-
Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV
-
Úmluva Rady Evropy o ochraně osob se zřetelem na automatické zpracování osobních dat, vyhlášená pod č. 115/2001 Sb. m. s., jakož i její Dodatkový protokol, vyhlášený pod č. 29/2005 Sb. m. s.
NahoruZákon o ochraně osobních údajů
Právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě obecně zakotvené v čl. 10 Listiny základních práv a svobod a občanského zákoníku je podrobně konkretizováno v zákoně o ochraně osobních údajů. Tento právní předpis zabezpečuje fyzickým osobám ochranu před zneužitím jejich osobních údajů bez rozdílu (tedy i informací osobního charakteru o zaměstnancích) a upravuje práva a povinnosti subjektů, které tyto informace zpracovávají. Na zaměstnavatele se uvedený zákon vztahuje, neboť i shromažďování těchto údajů je podle § 4 písm. e) zákona č. 101/2000 Sb. určitou formou zpracování.
NahoruOsobní údaj
Zákon o ochraně osobních údajů definuje osobní údaj v § 4 zákona č. 101/2000 Sb. jako jakoukoliv informaci, která se týká určeného nebo určitého subjektu údajů. Subjekt údajů, čili při vedení osobních agend zaměstnanec nebo uchazeč o zaměstnání u zaměstnavatele, se považuje za určený nebo určitelný, jestliže jej lze identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, které jsou specifické pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Přitom je jedno, zda identifikaci lze provést přímo nebo nepřímo. Z hlediska ochrany osobních údajů není rozhodující, zda se jedná o občana České republiky nebo o cizince, důležitý není ani věk či skutečnost, zda zaměstnanec má zachovanou plnou způsobilost k právním úkonům či nikoliv. Zaměstnance lze tedy v praxi identifikovat například pomocí jména a rodného čísla, jména a osobního čísla přiděleného zaměstnavatelem, ale též nepřímo "starší vysoký muž z osobního oddělení, s šedými vlasy a plnovousem" apod. Vypovídá-li osobní údaj o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filosofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuální orientaci zaměstnance, nebo jedná-li se o biometrický nebo genetický údaj zaměstnance, označuje se tento údaj za citlivý údaj a podléhá přísnější ochraně (§ 4 a 9 zákona č. 101/2000 Sb.).
NahoruShromažďování osobních údajů
Shromažďováním osobních údajů pro pracovněprávní účely se rozumí záměrná systematická činnost zaměstnavatele směřující k získání potřebných údajů a informací za účelem jejich dalšího uložení na nosič informací, kterým může být papír či disk počítače. Z hlediska ochrany není rozhodující, zda zaměstnavatelé shromažďují osobní údaje jednorázově (např. při výběrovém řízení) nebo soustavně (např. pro účely daně z příjmů).
NahoruZpracování osobních údajů
Zpracováním osobních údajů se pak rozumí jakákoliv systematická činnost a manipulace s údaji – jejich shromažďování, ukládání, archivace, třídění a kombinování, jakož i jejich znepřístupnění a likvidace. Zaměstnavatel, který osobní údaje se souhlasem zaměstnanců shromažďuje pro jejich okamžité či pozdější zpracování, určuje účel a prostředky tohoto zpracování a samozřejmě odpovídá za jejich ochranu, je označován jako správce osobních údajů. Zpracování osobních údajů o zaměstnancích provádí zaměstnavatel buď sám, nebo k tomu využívá jinou právnickou či fyzickou osobu. Například celá řada menších firem si najímá jiné firmy nebo osoby samostatně výdělečně činné na zpracování mzdové a personální agendy, jako zpracovatele osobních údajů. Zpracovatel osobních údajů neurčuje účel, k němuž mají být osobní údaje zpracovány, ani nestanoví prostředky a způsob zpracování osobních údajů a postupuje při zpracování těchto údajů pro pracovněprávní účely podle pokynů zaměstnavatele – správce osobních údajů. Při vlastním zpracování má zpracovatel osobních údajů obdobné povinnosti jako zaměstnavatel – správce. Zpracovateli osobních údajů je v zákoně o ochraně osobních údajů uložena povinnost, že pokud zjistí, že správce porušuje povinnosti stanovené zákonem o ochraně osobních údajů, je povinen ho neprodleně na tuto skutečnost upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se zaměstnavatelem – správcem osobních údajů.
NahoruOznámení o zpracování osobních údajů
Každý zaměstnavatel, který hodlá zpracovávat osobní údaje zaměstnanců, je povinen tuto skutečnost oznámit Úřadu pro ochranu osobních údajů před započetím zpracování osobních údajů (podle § 16 zákona č. 101/2000 Sb.). Oznámení musí být učiněno písemně a musí obsahovat:
- identifikační údaje správce, u fyzické osoby, která není podnikatelem, jméno, popřípadě jména, příjmení, datum narození a adresu místa trvalého pobytu, u jiných subjektů obchodní firmu nebo název, sídlo a identifikační číslo, pokud bylo přiděleno, a jméno, popřípadě jména, a příjmení osob, které jsou jejich statutárními zástupci,
- účel nebo účely zpracování,
- kategorie subjektů a osobních údajů, které se těchto subjektů týkají,
- zdroje osobních údajů,
- místo nebo místa zpracování osobních údajů,
- příjemce nebo kategorie příjemců,
- předpokládané přenosy osobních údajů do jiných států,
- popis opatření k zajištění požadované ochrany osobních údajů, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, jakož i k jinému jejich zneužití.
Zaměstnavatelé mohou využít k registraci tzv. registrační formuláře, které vydává Úřad pro ochranu osobních údajů a jsou k dispozici na finančních úřadech ve všech okresních městech a na všech finančních úřadech v Praze, Brně, Ostravě a Plzni. Tyto formuláře sestávají ze dvou částí – z adresní a registrační. Vzory těchto formulářů jsou dostupné i na internetových stránkách Úřadu pro ochranu osobních údajů.
Pokud oznámení zaměstnavatele obsahuje všechny náležitosti a nezahájí-li Úřad pro ochranu osobních údajů z vlastního podnětu řízení (§ 17 zákona č. 101/2000 Sb.), může zaměstnavatel po uplynutí 30denní lhůty ode dne doručení oznámení zahájit zpracování osobních údajů. Na žádost zaměstnavatele mu Úřad pro ochranu osobních údajů vydá osvědčení.
NahoruOsobní údaje nutné ze zákona
Oznamovací povinnost zaměstnavatele se nevztahuje na zpracování osobních údajů, které jsou součástí evidencí veřejně přístupných, nebo na osobní údaje, jejichž zpracování je zaměstnavateli uloženo zákonem nebo kterých je třeba k uplatnění práv vyplývajících ze zvláštních zákonů (§ 18 zákona č. 101/2000 Sb.). Proto zaměstnavatel, který shromažďuje a zpracovává osobní údaje svých zaměstnanců pouze v rozsahu, který mu určuje zákon, nemusí tuto skutečnost oznamovat Úřadu pro ochranu osobních údajů. K tomuto shromažďování osobních údajů a jejich zpracování nepotřebuje žádný zvláštní souhlas zaměstnance.
NahoruInformování zaměstnance
Zaměstnavatel, který pro účely pracovněprávní neshromažďuje výhradně osobní údaje, jejichž zpracování mu ukládá zákon, nebo nezpracovává výlučně zveřejněné osobní údaje (§ 11 zákona č. 101/2000 Sb.), je povinen před zahájením jejich zpracování zaměstnance řádně a včas písemně informovat o tom, v jakém rozsahu a pro jaký účel budou jeho osobní údaje zpracovávány (tuto povinnost zaměstnavatel nemá, získal-li tyto osobní údaje od zaměstnance), kdo a jakým způsobem je bude zpracovávat a komu mohou být osobní údaje zpřístupněny či komu jsou údaje určeny, nejsou-li zaměstnanci tyto informace již známy. Zaměstnavatel je povinen zaměstnance informovat i o jeho právu k přístupu k osobním údajům, o jeho právu obrátit se na Úřad pro ochranu osobních údajů se žádostí o zajištění opatření k nápravě, zjistí-li se, že zaměstnavatel nebo zpracovatel porušují povinnosti při zpracovávání jeho osobních údajů, a poučit ho i o tom, zda je povinen své osobní údaje poskytnout a jaké důsledky budou vyvozeny, pokud své osobní údaje neposkytne (zaměstnanec je povinen zaměstnavateli poskytnout všechny údaje, jejichž znalost zaměstnavateli ukládá kterýkoliv zákon).
Každý zaměstnanec má právo (§ 12 zákona č. 101/2000 Sb.) na to, aby mu zaměstnavatel na základě jeho žádosti bez zbytečných průtahů poskytl informaci o osobních údajích, které jsou o něm zaměstnavatelem zpracovávány. Tuto informaci je zaměstnavatel povinen zaměstnanci poskytnout za přiměřenou úhradu kdykoliv. Výše úhrady za poskytnutí této informace však nesmí převyšovat náklady nezbytné na její poskytnutí, tzn. nesmí být zisková. Půjde o náklady na vyhledání podkladů, na písemné zpracování informací, náklady na doručení.
NahoruSouhlas zaměstnance
Pokud však zaměstnavatel shromažďuje jakékoli údaje nad rámec daný mu zákonem (například pokud si vytváří databázi zájemců a uchazečů o zaměstnání), musí již oznamovací povinnost splnit. Pro zaměstnavatele je důležité, že tyto údaje může shromažďovat a zpracovávat pro pracovněprávní účely jen se souhlasem zaměstnance. Z tohoto souhlasu musí podle § 5 odst. 4 zákona č. 101/2000 Sb. být patrné:
Souhlas zaměstnance může být kdykoli odvolán. Po celou dobu, kdy zaměstnavatel osobní údaje, k jejichž zpracování dal zaměstnanec souhlas, zpracovává, musí být schopen prokázat, že tento souhlas byl skutečně zaměstnancem dán. Proto je vhodné souhlas archivovat spolu s ostatními údaji, jichž se týká (nejlépe v osobním spisu).
NahoruCitlivé údaje
Přísnější režim je zaměstnavatel povinen dodržovat při zpracování citlivých údajů (§ 9 zákona č. 101/2000 Sb.) svých zaměstnanců. Tyto údaje může zaměstnavatel zpracovávat jen tehdy, jestliže:
-
zaměstnavatel dal ke zpracování citlivých osobních údajů výslovný souhlas. Souhlas musí být dán písemně, podepsán zaměstnancem a musí z něho být zřejmé, k jakému účelu, na jaké období a kdo jej poskytuje a musí být uschován po dobu zpracování osobních údajů, k jejichž zpracování byl dán. Zaměstnanec může svůj souhlas se zpracováním osobních údajů kdykoli odvolat,
-
je to nezbytné v zájmu zachování života nebo zdraví zaměstnance nebo jiné osoby (například při pracovním úrazu). Zaměstnavatel musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje musí zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování…