MENDELOVA ZEMĚDĚLSKÁ A LESNICKÁ UNIVERZITA V BRNĚ PROVOZNĚ EKONOMICKÁ FAKULTA ÚSTAV PRÁVA
OCHRANA OSOBNÍCH ÚDAJŮ V PODNIKOVÉ PRAXI BAKALÁŘSKÁ PRÁCE
Lenka Fikarová
Brno 2006
PROHLÁŠENÍ: Prohlašuji, že jsem bakalářskou práci „Ochrana osobních údajů v podnikové praxi“ vypracovala samostatně pod vedením vedoucí a za použití literatury, která je uvedena v seznamu literatury.
...............................
V Brně, dne 20. května 2006
1
PODĚKOVÁNÍ: Za odborné vedení a poskytnutá doporučení děkuji vedoucí mojí bakalářské práce JUDr. Daně Zapletalové. Dále bych chtěla poděkovat panu Luďkovi Kosteleckému ze společnosti Tesla Jihlava, a. s. za jeho ochotu a poskytnuté rady při zpracování této bakalářské práce.
2
Abstrakt: Fikarová Lenka. Ochrana osobních údajů v podnikové praxi. Bakalářská práce. Brno, 2006.
Tato bakalářská práce pojednává o ochraně osobních údajů. Osobní údaje jsou velice citlivým tématem, které se dotýká každého z nás. Teoretická část objasňuje některé základní pojmy nově přijatého zákona o ochraně osobních údajů, který upravuje tuto problematiku. Pozornost je taktéž věnována výkladu samotného zákona a nově vzniklé instituci Úřadu pro ochranu osobních údajů. Praktická část je zaměřena na aplikaci získaných poznatků z teorie na konkrétní podnik. Osobní údaje zpracovává zaměstnavatel od náboru zaměstnanců přes pracovní poměr až po jeho ukončení a v malé míře i po něm. Tato část se především zabývá povinnostmi zaměstnavatelů a právy zaměstnanců v oblasti ochrany osobních údajů.
Abstract: Fikarová Lenka. Personal data protection in the business practice. Bachelor thesis. Brno, 2006
This bachelor thesis deals with personal data protection. Personal data is a very susceptible topic concerning each of us. Theoretical part clarifies some basic terms of a newly accepted law concerning protection of personal data which regulates this problem. Attention is payed also to the interpretation of a law and a newly formed institution of Personal Data Protection Office. Practical part aims at application of gained theoretical knowledge on a concrete company. Personal data is compiled by an employer from staff recruitment from the beginning of employment till the end and after. This part concerns on commitment of employers and laws of employees in personal data area.
3
OBSAH:
1. ÚVOD ...........................................................................................................................6 2. CÍL PRÁCE A METODIKA ........................................................................................7 3. TEORETICKÁ ČÁST – OCHRANA OSOBNÍCH ÚDAJŮ.......................................9 3. 1. Právní zakotvení ochrany osobních údajů ............................................................9 3. 2. Osobní údaje .......................................................................................................11 3. 2. 1. Reálné a anonymní údaje............................................................................12 3. 2. 2. Identifikační údaje ......................................................................................13 3. 2. 3. Adresní údaje ..............................................................................................13 3. 2. 4. Popisné údaje ..............................................................................................14 3. 2. 5. Citlivé údaje................................................................................................14 3. 3. Zákon o ochraně osobních údajů ........................................................................15 3. 3. 1. Vymezení pojmů.........................................................................................16 3. 3. 2. Působnost zákona........................................................................................16 3. 3. 3. Zpracování osobních údajů .........................................................................17 3. 3. 4. Povinnosti při zpracování osobních údajů ..................................................18 3. 3. 5. Práva subjektu údajů...................................................................................22 3. 3. 6. Sankce.........................................................................................................24 3. 4. Úřad pro ochranu osobních údajů .......................................................................24 4. PRAKTICKÁ ČÁST – OSOBNÍ ÚDAJE V ZAMĚSTNÁNÍ ....................................28 4. 1. Personální informační systémy...........................................................................29 4. 2. Tesla Jihlava, a. s. ...............................................................................................31 4. 3. Osobní údaje při náboru a výběru zaměstnanců .................................................34 4. 3. 1. Osobní dotazník ..........................................................................................35 4. 3. 2. Životopis .....................................................................................................36 4. 3. 3. Výpis z rejstříku trestů ................................................................................37 4. 4. Osobní údaje během zaměstnání.........................................................................37 4. 4. 1. Povinnosti při zpracování ...........................................................................38 4. 5. Povinnosti při propouštění zaměstnanců ............................................................40 4. 5. 1. Potvrzení o zaměstnání ...............................................................................41 4. 5. 2. Pracovní posudek ........................................................................................41 4
5. DISKUSE A ZÁVĚR .................................................................................................42 6. LITERATURA ...........................................................................................................44 7. SEZNAM PŘÍLOH.....................................................................................................45
5
1. ÚVOD Tato bakalářská práce se zabývá, jak již vyplývá z názvu, ochranou osobních údajů a jejím promítnutím do praxe ve vybraném podniku. V teoretické části se snažím o zjednodušený výklad zákona o ochraně osobních údajů a pro jeho lepší porozumění uvádím některé praktické příklady. V praktické části věnuji pozornost ochraně osobních údajů v pracovněprávním vztahu. Přitom vycházím z osobních zkušeností s tímto tématem manažera lidských zdrojů z konkrétní společnosti. Osobní údaje doprovázejí běžný život každého člověka. Ochrana osobních údajů je součástí ochrany osobnosti. V dnešní společnosti při rozvíjení stále nových technologií je soukromí každého občana vystaveno rizikům zneužití osobních údajů. Problematika ochrany osobních údajů začala být aktuální až v druhé polovině minulého století s masivním rozšířením informačních technologií. V roce 1992 byl vydán zákon č. 256/1992 Sb. o ochraně osobních údajů v informačních systémech, který se touto problematikou zabýval. Tento zákon však neměl velký význam a hlavně byl nedostačující. Vzhledem ke sbližování právní úpravy s právem Evropských společenství bylo nutné vypracovat zákon nový. Jelikož jednou ztracené soukromí je obtížné získávat zpět, je nutné nepodceňovat znalost zákona a také plnit povinnosti stanovené tímto zákonem. Za neplnění povinností stanovených zákonem, tedy nerespektování ochrany osobních údajů, hrozí sankce, které nejsou zrovna malé. S osobními údaji přicházejí do styku také všichni účastníci pracovního poměru. Nové technologie stírají hranice mezi pracovním a soukromým životem, jelikož vytvářejí nové možnosti nárůstu přesčasové práce nebo např. umožňují pracovat doma. Zákonem o ochraně osobních údajů se musí při zpracování osobních údajů svých zaměstnanců řídit všichni zaměstnavatelé, a to zejména v personální činnosti. Zaměstnavatelé jsou zákonem označeni jako správci osobních údajů. Téma ochrany osobních údajů jsem si vybrala, jelikož si myslím, že tato problematika se dotýká každého z nás, a to s postupujícím časem a rozvíjejícími technologiemi čím dál více. Ať už v roli budoucího řadového zaměstnance, manažera či zaměstnavatele, by si každý měl být vědom svých práv a povinností a chránit jak své soukromí, tak i soukromí ostatních občanů. Toto téma mě zaujalo také z důvodu krátkodobé účinnosti zákona o ochraně osobních údajů v našem právním řádu. 6
2. CÍL PRÁCE A METODIKA Cílem této bakalářské práce je rozbor a výklad zákona o ochraně osobních údajů, jeho přínos či případné nedostatky pro dnešní společnost a dále jeho aplikace na praktickém případě v konkrétní organizaci Tesla Jihlava, a. s. Snahou je nejen obecný výklad tohoto velice rozsáhlého tématu, ale především jeho zúžení do podoby ochrany osobních údajů v podniku, tzn. ve vztahu mezi zaměstnavatelem a zaměstnancem. Vzhledem k poměrně nové právní úpravě ochrany osobních údajů se také chci zaměřit na skutečnost, jak je pro manažery těžké přizpůsobovat se novým zákonům. Při psaní této práce se budu soustředit převážně na to, jakým způsobem musí zaměstnavatel chránit soukromí svých zaměstnanců. Co může sdělovat bez souhlasu zaměstnance a co naopak nemůže. Jaké údaje může od zaměstnanců požadovat při vstupních pohovorech a vůbec při vzniku pracovněprávního vztahu mezi zaměstnancem a zaměstnavatelem. Jaké údaje může uchovávat během pracovního poměru např. v osobních spisech zaměstnanců a které dokumenty je povinen zaměstnanci vydat při skončení pracovního poměru. Jak dlouho a které dokumenty s osobními údaji může uchovávat a co dělat v opačném případě. Vzhledem k tomu, že zákon nově ustanovuje kontrolní orgán Úřad pro ochranu osobních údajů, budu se zaobírat otázkou, zda má zaměstnavatel vůči této instituci oznamovací povinnost, a pokud ano, tak v jakém rozsahu. Chci zjistit, kam se mohou obrátit zaměstnanci v případě, že zaměstnavatel nesplní povinnosti stanovené zákonem o ochraně osobních údajů a také jaké sankce za porušení tohoto zákona hrozí. Mojí snahou je také, aby každý pochopil, jaký má pro něj ochrana osobních údajů význam a smysl. Každý by si měl také ujasnit roli, kterou za daných podmínek ve spojení s tímto tématem ve společnosti hraje.
Při psaní bakalářské práce budu vycházet převážně z odborné literatury z oboru práva, ve které je ochrana osobních údajů přehledně vysvětlena. Hlavním zdrojem, ze kterého budu vycházet, je samozřejmě zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů, který je poměrně novým zákonem upravujícím problematiku ochrany osobních údajů. Jelikož praktickou část této bakalářské práce má tvořit ochrana osobních údajů na pracovišti, tedy mezi zaměstnavatelem a zaměstnancem, tak dalšími důležitými 7
zdroji budou i některé jiné zákony, především zákoník práce. Další potřebné informace budu čerpat z internetových stránek Úřadu pro ochranu osobních údajů a podniku Tesla Jihlava, a. s. Teoretickou
část
proložím
některými
konkrétními
příklady
pro
její
lepší
srozumitelnost, které získám opět v odborných knihách, a to nejen z oboru práva, ale také z managementu a personalistiky. Pro praktickou část jsem si vybrala konkrétní podnik Tesla Jihlava, a. s., na kterém budu aplikovat poznatky získané z teorie. Budu spolupracovat s manažerem lidských zdrojů, který mi vysvětlí, jak ochrana osobních údajů zaměstnanců probíhá v praxi, v tak velké organizaci, jakou Tesla Jihlava, a. s. je.
8
3. TEORETICKÁ ČÁST – OCHRANA OSOBNÍCH ÚDAJŮ Osobní údaje a jejich ochrana patří k aktuálním tématům prvních let třetího tisíciletí naší společnosti. Je absolutně novým právním a relativně novým společenským problémem. Stále častěji se slovní spojení osobní údaje objevuje např. v médiích. Lidé mají omezené možnosti ovlivňovat vytváření osobních údajů, a proto vznikají zákony, které jim poskytují jistou ochranu a záruky. Aktivně chrání ten, kdo osobní údaje zjišťuje a zpracovává a chráněným je fyzická osoba. Cílem ochrany osobních údajů, která je zakotvena v českém právním řádu, je zabránit zneužití osobních údajů, nikoliv absolutně bránit používání osobních údajů jiných lidí. K dalším cílům patří umožnění zpřístupnění osobních údajů k legálním účelům. Takovéto účely jsou obvykle ve spojení s tokem přes hranice státu. (Matoušová, Hejlík, 2003: 9) S ochranou osobních údajů se v dnešní době setkáváme doslova na každém kroku. Ať se jedná např. o zásilkovou službu, ať už přes internet nebo prostřednictvím pošty, nebo o založení e-mailové schránky, nebo si zařizujeme různé průkazky, např. do knihovny. Dalším příkladem může být např. rezervace letenek. Zkrátka na různých místech různých oblastí podepisujeme prohlášení o souhlasu se zpracováním našich osobních údajů, aniž bychom si uvědomili nějaký jeho zvláštní význam.
3. 1. Právní zakotvení ochrany osobních údajů Zvýšené nároky na právní úpravu ochrany soukromí a převážně úpravu ochrany osobních údajů vznikají v souvislosti se stálým zdokonalováním počítačových technologií a veřejných elektronických komunikačních služeb. „Právo na soukromí je chápáno jako nejuniverzálnější nebo nejrozsáhlejší ze všech tak zvaných osobnostních práv, chráněných občanským právem. Je tomu tak proto, že pokud je postiženo soukromí, dochází tím i k zásahu do všech ostatních osobnostních práv /jestliže je např. neoprávněně sdělen obsah písemnosti, pořízena podobizna, použito jméno atd., vždy je tím nějak narušeno soukromí člověka/.“ (Mates, 2002: 37). Ochrana osobních údajů, která je součástí práva na soukromí, patří do oblasti, která vyžaduje samostatnou právní úpravu.
9
Od 70. let minulého století přijímaly západní státy zákony na ochranu osobních údajů. V České republice však potřeba ochrany osobních údajů nebyla vnímána jako důležitá a téměř nikdo si nepřipouštěl nebezpečí s tím spojená. Když však Česká republika začala uskutečňovat potřebná opatření ke vstupu do Evropské Unie, jedním z předpokladů byla kompatibilita právní úpravy s právem Evropské Unie. Prvním předpisem týkajícím se ochrany osobních údajů v České republice byl zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech. Tato právní úprava ovšem byla nedostačující. Právní úprava ochrany osobních údajů musí být v souladu s Úmluvou Rady Evropy č. 108/1981, na ochranu osob se zřetelem na automatizované zpracování osobních údajů. Návrh zákona na ochranu osobních údajů vyšel ze Směrnice Evropského parlamentu a Rady Evropské unie 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a s volným pohybem těchto údajů. Tento návrh byl schválen jako zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále jen „zákon o ochraně osobních údajů“). Zákon chrání osobní údaje a stanovuje pravidla, zásady a povinnosti při nakládání s těmito údaji. (Mates, 2002: 39) Zákon o ochraně osobních údajů stejně jako občanský zákoník, o kterém má také smysl zmínit se v souvislosti s ochranou osobních údajů, vychází z Listiny základních práv a svobod. V článku 10 Listiny základních práv a svobod je obsaženo, že každý má právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno. Dále pak právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života a právo na ochranu před neoprávněným shromažďováním zveřejňováním nebo jiným zneužíváním údajů o své osobě. V občanském zákoníku je upravena ochrana osobnosti, a to v § 11 – 16. Uvádí se zde, že fyzická osoba má právo na ochranu své osobnosti. Písemnosti osobní povahy týkající se fyzické osoby smějí být pořízeny nebo použity jen s jejím svolením. Toto svolení není třeba v případě použití písemností k úředním účelům na základě zákona nebo pro vědecké a umělecké účely a pro tiskové, filmové, rozhlasové a televizní zpravodajství. Fyzická osoba má právo domáhat se, aby bylo upuštěno od neoprávněných zásahů do práva na ochranu její osobnosti, aby byly následky zásahů odstraněny a aby jí bylo dáno přiměřené zadostiučinění. Případně má právo na náhradu nemajetkové újmy v penězích. Kdo 10
zásahem do práva na ochranu osobnosti způsobí škodu, pak za tuto škodu odpovídá ustanovením občanského zákoníku o odpovědnosti za škodu.
3. 2. Osobní údaje Osobní údaje jsou informace, které vypovídají o našem soukromí a mohou často prozradit více než si přejeme, aby bylo známo. Informují o naší osobě, zálibách, zvyklostech, vlastnostech či názorech a majetkových poměrech.Vypovídají také o tom, jaké máme vztahy k jiným lidem, ale i o tom, jaký je náš zdravotní stav a styl života. Osobní údaj je tedy jakýkoliv údaj, který se týká naší osoby. Dostanou-li se osobní údaje do nepovolaných rukou, může to každému způsobit patřičné problémy. „Zvláštně nebezpečným příkladem zneužití je tzv. „krádež identity“, při níž ten, kdo se např. neoprávněně zmocní dokumentů s našimi osobními údaji a naším jménem jich neoprávněně užívá, může způsobit majetkovou újmu nebo páše jinou trestnou činnost, jejíž následky dopadají na nás. To už se dostáváme k dalšímu nebezpečí, kterým jsou nejrůznější formy narušování soukromí. Ty méně závažné ovšem mohou vadit někomu více, jinému méně. Typickým příkladem je obtěžování nevyžádanou adresnou reklamou spočívající např. v tom, že kromě kontaktních údajů je odesílateli znám ještě další náš osobní údaj vypovídající o tom, že bychom mohli mít zájem právě o určitý druh zboží nebo určitou službu. Kdo o tuto reklamu nestojí, může ji hodit do koše, může ji však vnímat i jako neoprávněné zasahování do soukromého a rodinného života.“ (Matoušová, 2004: 8) „Osobním údajem je vždy spojení jména, příjmení a rodného čísla (proto např. jestliže uchazeč o zaměstnání sdělí zaměstnavateli informace, které jsou osobními údaji, musí zaměstnavatel postupovat podle zákona č. 101/2000 Sb.; pokud by zaměstnavatel nepřijal uchazeče do pracovního poměru s poukazem na osobní údaje, jako je např. věk, rodinný stav, počet dětí atd., šlo by o pracovněprávní porušení).“ (Knap 2004: 398) V různých literaturách je uvedeno odlišné třídění osobních údajů. Podle Matese se rozlišují údaje depersonalizované a anonymizované. Údaj depersonalizovaný znamená, že by bylo třeba vyvinout nepřiměřené úsilí k identifikaci subjektu údajů. Např. při hledání učitelky Novákové ve velkém souboru by byla její identifikace téměř nemožná i při využití nadměrného úsilí. Od těchto údajů musíme odlišit údaje anonymizované, které po
11
provedeném zpracování nemůžeme vztáhnout k subjektu údajů. Příkladem může být oddělení jména a příjmení od rodného čísla a nemožnost jejich opětného spojení. „Konečně je to zveřejněný osobní údaj, jímž je údaj zpřístupněný zejména hromadnými sdělovacími prostředky /především denním tiskem, rozhlasem a televizí/, jiným veřejným sdělením /např. internetem, na veřejné schůzi, v odborném časopisu/ nebo je součástí veřejného seznamu /např. obchodního rejstříku nebo seznamu předních sportovců/.“ (Mates, 2002 : 45)
Podle Matoušové a Hejlíka rozeznáváme osobní údaje: -
reálné a anonymní,
-
identifikační,
-
adresní,
-
popisné,
-
citlivé.
3. 2. 1. Reálné a anonymní údaje
Správné pochopení pojmu osobní údaj vychází z uznání spojení mezi reálnou fyzickou osobou a hodnotou určitého údaje. Zavádějící názory, např. že číslo telefonu a e-mailová adresa nejsou osobními údaji, vznikají v případě opomenutí vazby na reálnou fyzickou osobu. Například telefonní číslo 606/ 000 0001 je považováno za osobní údaj až v případě uvedení spojení, že reálná fyzická osoba vlastní telefon s číslem 606/ 000 0001. S anonymním údajem souvisí termín „anonymizovat“, což znamená úpravu osobního údaje, aby byl po zpracování anonymní. Rozlišujeme částečnou a úplnou míru anonymizace. Plně anonymní je údaj, u něhož nikdo nemůže určit subjekt údajů. U částečně anonymního údaje je možno subjekt údajů určit za splnění daných podmínek. K anonymizování osobních údajů dochází nejčastěji v oblasti statistiky a vědeckého výzkumu. Příkladem anonymizování může být zpracování citlivých osobních údajů o zdravotním stavu v rámci lékařského výzkumu. V tomto případě je anonymizování nezbytným prvkem ochrany osobních údajů pacienta.
12
3. 2. 2. Identifikační údaje
Základním identifikačním údajem je jméno a příjmení občana. Používání jména a příjmení je nejen právem každého občana, ale i jeho povinností před orgány veřejné moci. Tyto dva údaje jsou osobními údaji pouze tehdy, když existuje vazba mezi nimi a reálnou fyzickou osobou. Máme právo na ochranu těchto údajů, pokud jsou ve spojení s dalšími osobními údaji. Toto právo však neplatí např. v zaměstnání, kde naše jméno a příjmení slouží pro vnitřní komunikaci v tomto kolektivu. Za osobní údaj nemůžeme považovat jména a příjmení literárních a filmových postav. Za další identifikační osobní údaje považujeme ty, které jsou zjišťovány a úředně zaznamenány. Jejich součástí jsou číselné hodnoty a zeměpisné názvy. Patří sem datum a místo narození. Tyto údaje se nemohou měnit a jsou zapisovány do matriční knihy narození a do rodného listu. Další skupinu tvoří identifikační čísla, která slouží ke zjištění totožnosti subjektu. Těmito čísly jsou rodné číslo, daňové identifikační číslo, číslo účtu u finanční instituce a další. Rodné číslo je subjektu přiděleno při narození jako konstantní osobní údaj, který vypovídá o datu narození a pohlaví subjektu. Stejné rodné číslo nesmí být přiděleno více obyvatelům. Oproti předchozí úpravě problematiky se v současnosti postupně snižuje požadování rodných čísel při různých příležitostech. Rodné číslo, které je uvedeno v dokladech se nepovažuje za zpracování osobních údajů podle zákona o ochraně osobních údajů. Zpracováním osobních údajů je ovšem změna rodného čísla. Zjišťování a zpracování rodného čísla je upraveno různými předpisy, ale bez ohledu na to kterými, je třeba posoudit, zda tyto údaje odpovídají stanovenému účelu. Mezi další osobní identifikační čísla patří číslo občanského nebo služebního průkazu, číslo cestovního dokladu, identifikační číslo stejnokroje a osobní číslo zaměstnance, které využívá zaměstnavatel při vedení personální a mzdové agendy.
3. 2. 3. Adresní údaje
Společně se jménem, příjmením a datem narození subjektu slouží i adresa trvalého pobytu občana při zjišťování totožnosti k základním identifikačním údajům. Bez této adresy se obejde jen minimum zpracování. Dalšími adresami jsou adresa přechodného pobytu a adresa zaměstnavatele. Všechny tři adresy řadíme mezi místní doručovací adresy. 13
Kromě nich rozlišujeme adresy účastnické. Existence těchto adres je vázána na účastnický vztah. Nejstarší účastnickou adresou je telefonní číslo. Z hlediska ochrany osobních údajů rozlišujeme číslo pevné linky a mobilního telefonu a tyto obě rozdělujeme na soukromé a služební. Nejdůležitějším prvkem ochrany soukromí je telekomunikační tajemství, jehož předmětem je obsah přepravovaných zpráv a údaje o účastnících telekomunikačního spojení. Za účastnické adresy jsou také považovány faxové číslo, volací značka v radiokomunikačním spojení, adresa telekomunikační sítě a služby a v posledních letech velmi užívaná adresa elektronické pošty. Otázkou je, zda adresa elektronické pošty je či není osobním údajem. Rozlišujeme adresy, ve kterých jsou přímo osobní identifikační údaje uvedeny, např. jméno a příjmení majitele adresy a dále adresy, které tyto údaje neobsahují. „Z praktických důvodů bude vhodné považovat za osobní údaj zpravidla takovou adresu elektronické pošty, kterou za použití jiných komunikačních forem uvedl sám adresát a adresu, jejíž součástí je např. část jeho jmenných údajů a jejímž prostřednictvím byl s adresátem opakovaně navázán oboustranně průchodný kontakt.“ (Matoušová, Hejlík, 2003: 62)
3. 2. 4. Popisné údaje
Popisnými neboli charakterizačními údaji jsou veškeré údaje, které vytvářejí celkový obraz osoby. Těmito údaji jsou například údaje o dosaženém vzdělání, zaměstnání, o majetkových poměrech, o zvycích a zájmech fyzických osob a další. U těchto údajů je obtížné určit co ještě nebo již je osobním údajem. O osobní údaj půjde tehdy, pokud existuje úmysl napříště údaje zjišťovat a používat je k předem stanovenému účelu. Mezi popisnými údaji rozlišujeme ty, které jsou běžně používány k identifikaci a ty, které jsou užívány k hodnocení subjektu údajů. Příkladem prvně uvedených může být titul před a nebo za jménem. Ke druhé uvedené skupině údajů patří označení povolání nebo aktuální vykonávané profese.
3. 2. 5. Citlivé údaje
Citlivé údaje zaujímají mezi osobními údaji zvláštní postavení, jelikož jejich nekorektní užití může mít pro subjekt údajů velice závažné důsledky. Zákon o ochraně 14
osobních údajů pro ně stanoví přísnější režim než pro ostatní osobní údaje. Tento režim spočívá především ve výslovném písemném souhlasu k jejich zpracování. Na základě zpracování citlivých údajů může dojít k porušení základních lidských práv a k diskriminaci jedince, který se liší od „majoritní“ komunity. V některých případech je snaha osobní údaj, který vykazuje charakteristiky citlivého osobního údaje, za citlivý osobní údaj nepovažovat. Bývá to motivováno snahou vyhnout se splnění přísnějších podmínek. Rozpaky panují např. kolem toho, jestli je citlivým údajem údaj o zdravotním stavu v osobním dotazníku uchazeče o zaměstnání. Ten totiž představuje podle zákona o ochraně osobních údajů citlivý osobní údaj, i když bývá argumentováno tím, že stejně každý uvede, že jeho zdravotní stav je dobrý, což o zdravotním stavu uchazeče nevypovídá. Kým mohou být citlivé osobní údaje zneužitelné je dáno tím, o jaký údaj se jedná a v jakém prostředí se pohybuje správce i subjekt údajů.
3. 3. Zákon o ochraně osobních údajů Zákon o ochraně osobních údajů nabyl účinnosti dnem 1. června 2000. Upravuje práva a povinnosti při zpracování osobních údajů a jeho účelem je zajistit ochranu osobních údajů každého člověka a tím i ochranu jeho soukromí. Každý se sám podílí na ochraně svých osobních údajů a to hlavně tím, zda udělí nebo neudělí souhlas k jejich zpracování. Zákon o ochraně osobních údajů upravuje práva fyzických osob, s jejichž osobními údaji nakládá někdo jiný a povinnosti těch, kteří osobní údaje jiných lidí zpracovávají. Zákon byl přijat z důvodu rozšíření práva na ochranu soukromí fyzických osob do právního řádu České republiky. Aktivní přihlášení se k ochraně osobních údajů bylo podmínkou zapojení České republiky do fungování Rady Evropy. Kvůli vstupu do Evropské unie bylo navíc nutné, aby zde působil nezávislý orgán s kontrolní pravomocí vůči těm, kteří zpracovávají osobní údaje jednotlivců. Smysl ochrany osobních údajů je především v preventivním působení. Účelem zákona o ochraně osobních údajů je doplnění již existujícího rámce ochrany osobnosti, soukromí a základních práv lidí o ochranu určitého druhu informací ve vztahu k jednotlivci. Přijetí zákona, i když vyvoláno děním v mezinárodním prostředí, je reakcí na skutečnost, že osobní údaj tvoří součást soukromé sféry a současně mohou působit i vznikat bez vůle a vědomí toho, o kom informují. (Matoušová, 2004: 7)
15
3. 3. 1. Vymezení pojmů
Zákon definuje v § 4 některé základní pojmy, které se v něm nacházejí. V prvé řadě je to osobní údaj. Osobním údajem se rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže jej lze přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Zvláštním osobním údajem je citlivý údaj. Citlivým údajem se rozumí údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a jakýkoliv biometrický nebo genetický údaj subjektu údajů. Dále se zde vyskytují osoby, kterých se zákon týká, a to subjekt údajů a správce nebo zpracovatel. Zákon uvádí, že subjektem údajů je fyzická osoba, k níž se osobní údaje vztahují a správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak.
3. 3. 2. Působnost zákona
Působnost zákona je obsažena v § 3, kde se uvádí, že se zákon vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby. Vztahuje se na veškeré zpracování osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky. „To znamená, že zákon se vztahuje i na „ruční“ (manuální) zpracování osobních údajů vedených např. v kartotékách, zápisnících nebo v jiných podobných evidencích.“ (Knap 2004: 396) Ve stejném paragrafu zákon výslovně stanoví, ve kterých případech se na zpracování osobních údajů nevztahuje. „Předně jde o ta, které provádějí fyzické osoby pro osobní potřebu. Jedná se o záležitosti týkající se zejména záležitostí soukromého a rodinného života a nejsou určeny ke zveřejnění ani k podnikání /příkladem může být seznam různých
16
výročí členů rodiny i širšího okruhu příbuzných/. Výjimka neplatí pro osoby právnické.“ (Mates, 2002: 42) Dále se zákon nevztahuje na nahodilé shromaždování osobních údajů, pokud tyto údaje nejsou dále zpracovávány. Podle Matese znamená nahodilé zpracování, když údaje nejsou tříděny a popud k jejich shromažďování přichází zvenčí (např. nahodilý dotaz klienta a advokáta), tyto údaje nemusí být přesné a úplné. Příkladem mohou být záznamy objednávek zákazníků v kosmetických salónech, pokud ovšem nebudou zákazníkovi zasílány další nabídky služeb.
3. 3. 3. Zpracování osobních údajů
„Zpracování osobních údajů definuje cit. zákon jako jakékoli operace nebo soustavu operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zákonodárce uvádí demonstrativní případy zpracování osobních údajů (konkrétně shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace).“ (Knap 2004: 398) Výčet zpracování osobních údajů je použit jako přehled toho nejdůležitějšího, co se s osobními údaji obvykle provádí. Jako základní způsob zpracování bývá někdy uváděno rozlišení na automatizované a manuální zpracování. Použití technického prostředku nemůže být rozhodující pro posouzení platnosti povinnosti směřující k ochraně práv lidí. Zpracování osobních údajů je vymezováno jako soubor operací prováděných s osobními údaji za určitým, předem stanoveným účelem. Druhem zpracování může být např. kartotéka zákazníků. Shromažďování osobních údajů je obvykle prvním krokem při zpracování. Než začne správce osobní údaje shromažďovat, měl by si uvědomit za jakým účelem to chce provádět. Příkladem shromáždění může být zúčtování a výplata mezd prováděná s využitím personálního informačního systému. Uchovávání osobních údajů znamená udržování údajů v takové podobě, která je umožňuje dále zpracovávat. Příkladem může být uchovávání osobních spisů v listinné podobě a souboru osobních údajů zaměstnanců v personálním informačním systému.
17
Blokování a likvidaci osobních údajů je správce nucen provádět jako opatření uložená dozorovým orgánem v případě zjištění porušení zákona. Blokování znamená vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřípustný. Likvidací se rozumí fyzické zničení nosiče osobních údajů, jejich fyzické vymazání nebo trvalé vyloučení z dalších zpracování. Je to operace, která celé zpracování ukončuje. Zveřejňování osobních údajů je uskutečňováno zejména hromadnými sdělovacími prostředky nebo např. jako součást veřejného seznamu. Je třeba si uvědomit, že jednou zveřejněné údaje je velmi obtížné chránit, v některých případech dokonce vyloučeno. Např. pro další zpracování údajů, které již byly oprávněně zveřejněny není třeba získávat souhlas subjektu údajů. Právo na ochranu soukromého a osobního života se však nemění. (Matoušová, Hejlík, 2003: 108)
3. 3. 4. Povinnosti při zpracování osobních údajů
Povinnosti při zpracování osobních údajů jsou ukládány správci, zpracovateli, zaměstnancům správce nebo zpracovatele a jiným osobám, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem. Zpracovatel má stejné povinnosti jako správce. Navíc ho musí v případě zjištění, že porušuje povinnosti, na to upozornit a ukončit zpracování osobních údajů. Pokud takto neučiní, odpovídá za vzniklou škodu společně se správcem údajů. Co se týče zaměstnanců správce nebo zpracovatele a dalších osob, jejich povinností je zpracovávat osobní údaje pouze za podmínek a v rozsahu stanoveném správcem nebo zpracovatelem. Další jejich povinností je zachovávat mlčenlivost, a to i po skončení zaměstnání. Následující výklad se týká pouze povinností správce.
Povinnosti správce při zpracování osobních údajů:
-
stanovit účel, prostředky a způsob zpracování,
-
získat souhlas subjektu údajů,
-
oznamovací povinnost,
-
příprava zpracování,
-
zpracovávat pravdivé a přesné údaje,
-
shromažďovat údaje odpovídající účelu a v nezbytném rozsahu, 18
-
uchovávat osobní údaje pouze po nezbytnou dobu,
-
zpracovávat osobní údaje v souladu s původním účelem,
-
shromažďovat osobní údaje otevřeně,
-
nesdružovat osobní údaje,
-
přijmout bezpečnostní opatření,
-
další povinnosti.
Povinnosti před zahájením zpracování
Práva a povinnosti, které doprovázejí zpracování osobních údajů, jsou stanoveny v § 5 zákona o ochraně osobních údajů. První čtyři výše uvedené povinnosti vznikají ještě před zahájením zpracování. Stanovení účelu je první věcí, kterou musí správce vykonat. Minimálně musí pojmenovat
prováděné
zpracování,
které
nezanechává
pochybnosti.
Takovým
pojmenováním je např. mzdová účtárna. Určení účelu musí předcházet všem dalším úkonům absolutně. Jednou stanovený účel není snadné změnit. Správci, kteří mají větší počet zaměstnanců a složitější organizační strukturu, používají k formulaci účelu zpracování směrnice, rozhodnutí a písemné pokyny. Někteří používají zvláštní směrnici o ochraně osobních údajů. Po určení účelu následuje povinnost stanovit prostředky a způsob zpracování, která předurčuje použitelná technická opatření a do značné míry rozhoduje o zabezpečení osobních údajů. Tato povinnost vytváří podmínky pro kontrolu jeho postupu zvenčí a má přímou vazbu na povinnost přijmout opatření, aby nedošlo k neoprávněnému přístupu k osobním údajům, ani k jejich jinému zneužití. Prostředky a způsoby zpracování
mohou být stanoveny např. směrnicí nebo dalšími dokumenty
sloužícími k určení odpovědnosti a ukládání úkolů. Ještě před započetím zpracování musí správce zjistit, jestli má povinnost získat souhlas subjektu údajů. Pokud ano, musí ho získat nebo vytvořit podmínky pro jeho získání. Bez tohoto souhlasu může údaje zpracovávat pouze za určitých okolností, které jsou uvedeny ve druhém odstavci § 5. Patří sem např. zpracování bez souhlasu subjektu údajů, jestliže provádí zpracování nezbytné pro dodržení právní povinnosti správce nebo jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem. Tím však není dotčeno právo na ochranu soukromého a osobního života. Současně s posuzováním získání souhlasu určuje správce míru informační povinnosti vůči 19
subjektu údajů. Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. „Zvláštní ochrana je poskytována citlivým údajům (§ 9 cit. zák.). Ty mohou být zpracovávány jen tehdy, jestliže subjekt údajů dal ke zpracování výslovný souhlas. Musí být přitom informován pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Správce musí být schopen prokázat existenci souhlasu subjektu údajů po celou dobu zpracování.“ (Knap, 2004: 402) Postup pro zpracovávání osobních údajů je upraven v § 16 zákona o ochraně osobních údajů. V takovém případě musí skutečnost písemně oznámit Úřadu pro ochranu osobních údajů ještě před tím, než zpracování začne. Splnění oznamovací povinnosti se nevyžaduje, týká-li se zpracování osobních údajů, které jsou součástí veřejně přístupných datových souborů nebo jejichž zpracování je správci uloženo zvláštním zákonem, popř. kterých je třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů. Správce je povinen oznámit Úřadu pro ochranu osobních údajů také ukončení své činnosti. Významem toho je snížení rizika zneužití shromážděných údajů. (Knap, 2004: 405) Poslední činností před zahájením zpracování je jeho příprava. Povinnost správce a zpracovatele dbát na to, aby subjekt údajů neutrpěl újmu na svých právech a dbát na ochranu před neoprávněným zasahováním do soukromí, vyžaduje správcovo podrobné připravení celého pracovního postupu.
Povinnosti během zpracování
Další výše uvedené povinnosti musí splnit správce při zpracování osobních údajů, a to všechny současně. Správce začíná zpracovávat osobní údaje okamžikem jejich získání od subjektu údajů. Zákonem je stanoveno, že musí pracovat pouze s pravdivými a přesnými osobními údaji. V opačném případě je blokuje a bez zbytečného odkladu opraví nebo doplní. Pokud to nelze provést, přichází na řadu jejich likvidace. Zákon povoluje i některé případy zpracování nepravdivých, nepřesných nebo neověřených osobních údajů. Ty se musí náležitě označit. Např. správce Policie může takovéto údaje
20
zpracovávat. Plnění této povinnosti lze zjistit z dokumentů nebo jej může posoudit i sám subjekt údajů. Správce je povinen shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro jeho naplnění. Rozsah je stanoven buď zákonem nebo plyne z účelu. Plnění této povinnosti je často předmětem stížností adresovaných Úřadu pro ochranu osobních údajů. Často mají lidé výhrady vůči shromažďování některého ze svých identifikačních údajů, např. rodného čísla. Následuje povinnost uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu zpracování. Po jejím uplynutí mohou být uchovávány pouze ty údaje, které jsou určeny pro účely statistické, vědecké nebo archivnictví. Správce musí předem stanovit lhůtu zpracování. V případě, že zpracování je mu uloženo zákonem, pak je i tato lhůta v zákoně stanovena. Pokud správce údaje zpracovává z vlastního rozhodnutí, je rozhodující účel deklarovaný správcem. V každém případě musí správce po uplynutí doby zpracovávané údaje zlikvidovat. Zde se rozlišuje zpracování počítačem a v listinné podobě. Prvně uvedené lze prakticky každý den vymazat nebo fyzicky zlikvidovat i s nosičem. Oproti tomu likvidace listin se provádí např. podle skartačního řádu v rámci předarchivační péče jednou do roka. Další povinností je zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny. K jinému účelu lze zpracovávat pouze osobní údaje se souhlasem subjektu údajů. Shromažďování osobních údajů pouze otevřeně nepředstavuje pro většinu správců žádné úskalí. Ve spojení s tím je vyloučeno shromažďovat údaje pod záminkou jiného účelu, což se označuje jako maskování skutečného účelu. Základním požadavkem otevřeného shromažďování je, že o shromažďování subjekt ví, např. zaměstnavatel by měl informovat uchazeče o zaměstnání, že má v úmyslu zpracovávat osobní údaje získané z grafologického posudku. Správce nesmí sdružovat osobní údaje, které byly získány k rozdílným účelům. Tato povinnost bývá v některých případech vyloučena při dodržení výše uvedené povinnosti zpracovávat osobní údaje pouze v souladu s účelem. Zakotvení této povinnosti je nadbytečné, ale může některým správcům usnadnit pochopení problematiky. Přijmout bezpečnostní opatření, tedy taková, aby nemohlo dojít k neoprávněnému přístupu, změně, zničení či ztrátě osobních údajů ani k jinému zneužití, může u správce vyvolat nemalé finanční výdaje. Tato povinnost platí i po ukončení zpracování osobních 21
údajů. K jejímu řádnému splnění je třeba určit odpovědnost za zpracování a přijmout organizační a technická opatření. Odpovědnost může být zakotvena např. ve směrnici nebo provozním řádu pracoviště a je třeba ji prokazatelně vymáhat. Úřad pro ochranu osobních údajů vypracoval formulář, který obsahuje opatření k zabezpečení objektu a místností a automatizovanému zpracování. Uvádí zde např. zámky, mříže, elektronické zabezpečení, bezpečnostní zálohy, antivirová ochrana, šifrování a další. Zaregistruje-li správce uvedená opatření, neznamená to, že splnil povinnost, ale v případě jím porušené povinnosti je to pro něj významná polehčující okolnost.
Povinnosti při ukončení zpracování
Konečně jsou to povinnosti plněné při skončení zpracování, ale i po něm. Po ukončení zpracování přetrvává za určitých podmínek povinnost přijmout bezpečnostní opatření. Pokud správce činnost ukončí, musí oznámit Úřadu pro ochranu osobních údajů, jak s údaji naložil. Stejně tak musí oznámit pominutí účelu zpracování. Jakmile tento účel pomine, musí provést likvidaci údajů.
3. 3. 5. Práva subjektu údajů
„Samostatně je dále upravena ochrana práv subjektů údajů. Na prvém místě je to právo subjektu údajů obrátit se na Úřad s žádostí o zajištění nápravy, zjistí-li, nebo se domnívá, že správce nebo zpracovatel provádí zpracovávání jeho osobních údajů v rozporu s ochranou soukromého a osobního života, nebo v rozporu se zákonem..“ (Knap 2004: 406) „Za základní právo subjektu údajů je třeba považovat právo být informován o tom, kdo a k jakému účelu bude moje osobní údaje zpracovávat a jaké údaje to budou nebo o tom, kdo mé osobní údaje již zpracovává“ (Matoušová, Hejlík, 2003: 274) Dalším právem je právo bránit se podle ustanovení občanského zákoníku a možnost obrátit se na orgán dozoru nad ochranou osobních údajů. Právo být informován se uplatňuje prostřednictvím principů informovaného souhlasu. Právo být informován o zpracování osobních údajů je zakotveno v § 11 zákona o ochraně osobních údajů. Správce je povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou údaje zpracovány. Dále kdo je bude zpracovávat a komu 22
mohou být zpřístupněny. Správce ho musí poučit o tom, zda je poskytnutí údajů povinné či dobrovolné. Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Ze souhlasu musí být patrné v jakém rozsahu, komu, k jakému účelu a na jaké období je poskytován. Správce musí souhlas prokázat po celou dobu zpracování. Jednou udělený souhlas může být kdykoli odvolán. Co se týče citlivých osobních údajů, tak na ně jsou kladeny zvláštní požadavky. Souhlas ke zpracování těchto údajů musí být výslovný, písemný, podepsaný subjektem údajů, musí z něho být zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Zákon pamatuje i na případy, kdy správce nemůže získat souhlas subjektu údajů, a to např. pokud je to nezbytné v zájmu zachování života nebo zdraví subjektu údajů. Subjekt údajů má právo na přístup k osobním údajům, které o něm správce zpracovává. Požádá-li subjekt údajů o tuto informaci, je mu ji správce povinen bez zbytečného odkladu předat. Za poskytnutí informace má správce právo požadovat přiměřenou úhradu, která nepřevyšuje náklady nezbytné na její poskytnutí. Informace obsahuje účel zpracování, osobní údaje včetně veškerých informací o jejich zdroji, povahu automatizovaného zpracování a sdělení o příjemci. Dalším právem subjektu údajů je právo domáhat se ochrany svých práv vůči správci, který jeho osobní údaje zpracovává. Toto právo vzniká, pokud je zjištěno porušení povinnosti při zpracování osobních údajů. Subjekt údajů má v tomto případě právo požadovat, aby se správce takového jednání zdržel, odstranil vzniklý stav či poskytl omluvu nebo jiné zadostiučinění. Dále může požadovat provedení opravy, doplnění údajů, blokování nebo likvidaci osobních údajů. Požadování zablokování nebo likvidace osobních údajů předpokládá určitou orientaci subjektu údajů v této problematice. Právo obrátit se na Úřad pro ochranu osobních údajů má subjekt údajů v případě, že zjistí, že správce či zpracovatel poruší povinnosti podle zákona. Subjekt údajů se na Úřad obrací s žádostí o zajištění opatření k nápravě. Na Úřad pro ochranu osobních údajů se může obrátit i v případě žádosti o poskytnutí konzultace v oblasti ochrany osobních údajů. Toto právo je jedním ze zdrojů kontrolní činnosti Úřadu. Subjekt údajů nemá pouze práva, jelikož tam, kde jsou práva, bývají i povinnosti. I když zákon o ochraně osobních údajů povinnosti neukládá, tak jsou v něm skrytě obsaženy. Správce má povinnost zpracovávat pouze pravdivé a přesné osobní údaje, což
23
v sobě zahrnuje v případě identifikačních a kontaktních osobních údajů oznamovací povinnost subjektu údajů. (Matoušová, Hejlík, 2003: 273)
3. 3. 6. Sankce
Sankce, které mohou vzejít z nedodržení zákona o ochraně osobních údajů, jsou uvedeny v § 44 zákona o ochraně osobních údajů jako přestupky a v § 45 jako jiné správní delikty. Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že poruší některou ze svých povinností, kterou jí zákon ukládá. Může jí být uložena pokuta až do výše 1 000 000 Kč v případě, že zpracovává nepřesné osobní údaje, údaje bez souhlasu subjektu nebo nestanoví účel, prostředky nebo způsob zpracování apod. Tyto přestupky jsou uvedeny v odstavci 2 § 44. Dále této osobě může být uložena pokuta až do výše 5 000 000 Kč, pokud při zpracování osobních údajů poruší povinnost pro zpracování citlivých údajů nebo ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života. V § 45 zákona o ochraně osobních údajů jsou uvedeny správní delikty, kterých se v případě nedodržení svých povinností při zpracování osobních údajů dopustí právnická nebo fyzická osoba podnikající podle zvláštních předpisů. Této osobě může být uložena pokuta až do výše 10 000 000 Kč.
3. 4. Úřad pro ochranu osobních údajů Postavení a působnost Úřadu
Úřad je nezávislý orgán. Ve své činnosti postupuje nezávisle a řídí se pouze zákony a jinými právními předpisy. Do činnosti Úřadu lze zasahovat jen na základě zákona (§ 28 zákona o ochraně osobních údajů). Jeho statut je velmi důležitý pro zajištění nezávislosti při dozoru nad zpracováním osobních údajů. „Pravomoc a působnost Úřadu je soustředěna v prvé řadě do oblasti výkonu dozoru nad dodržováním povinností stanovených cit. zák. při zpracování osobních údajů. Z této působnosti jsou vyňaty pouze zpravodajské služby, jejichž výkon činnosti je upraven
24
zvláštním zákonem a dozor nad nimi provádí k tomu ustavená komise Parlamentu České republiky.“ (Knap 2004: 407)
Organizace Úřadu
Zaměstnanci Úřadu jsou předseda, inspektoři a další zaměstnanci. Předseda a sedm inspektorů jsou jmenováni a odvoláváni prezidentem republiky. Předseda Úřadu na dobu pěti let nejvýše dvě po sobě jdoucí období. Inspektor na deset let a může být jmenován opakovaně. Inspektor vykonává a řídí kontrolu a vypracovává kontrolní protokol. Nesmí zastávat jinou placenou funkci a jsou s jeho výkonem neslučitelné funkce ve veřejném životě a členství v politických stranách a hnutích. Předseda Úřadu řídí Úřad a zastupuje Českou republiku v Poradním výboru Rady Evropy. Dále předkládá výroční zprávu Poslanecké sněmovně, Senátu a vládě České republiky a zbavuje kontrolujícího mlčenlivosti.
Činnost Úřadu
Do činnosti Úřadu lze zasahovat jen na základě zákona a je hrazena ze samostatné kapitoly státního rozpočtu České republiky.
Úkoly Úřadu:
-
provádí dozor nad dodržováním povinností,
-
vede registr zpracování,
-
přijímá podněty a stížnosti na porušení zákona,
-
zpracovává a zveřejňuje výroční zprávu,
-
projednává přestupky a uděluje pokuty,
-
poskytuje konzultace v oblasti ochrany osobních údajů,
-
spolupracuje s obdobnými úřady jiných států, s orgány Evropské unie a s orgány mezinárodních organizací působícími v oblasti ochrany osobních údajů,
-
vykonává další působnosti stanovené zákonem.
25
Kontrolní činnost
Úřad pro ochranu osobních údajů provádí kontrolní činnost jednak na základě kontrolního plánu a jednak na základě podnětů a stížností občanů. Povinností kontrolujícího je prokázat se průkazem, oznámit zahájení kontroly, ochraňovat zajištěné doklady proti ztrátě, zničení či poškození a pominou-li důvody jejich převzetí, neprodleně je předat. Při kontrole musí zjistit skutečný stav a zachovávat mlčenlivost o zjištěných skutečnostech. Kontrolující jsou oprávněni vstupovat do objektů, na pozemky a do jiných prostor každého, kdo zpracovává osobní údaje. Mohou na kontrolovaných požadovat předložení originálních dokladů, které můžou v odůvodněných případech zajistit. Dále žádají poskytnutí pravdivých a úplných informací o zjišťovaných skutečnostech a také, aby jim byla podána písemná zpráva o odstranění případných nedostatků a další oprávnění stanovené zákonem. O výsledcích kontroly pořizují kontrolní protokol, který obsahuje popis zjištěných skutečností s uvedením nedostatků, označuje, které právní předpisy byly porušeny a lhůty, do kterých musí učinit nápravu. Kontrolující je povinen seznámit kontrolované s protokolem a předat jim jeho stejnopis. V případě odmítnutí kontrolovaného seznámit se s protokolem, se to v protokolu vyznačí.
Registr zpracování
Úkolem Úřadu pro ochranu osobních údajů je vést registr povolených zpracování osobních údajů. Zapisují se do něj údaje z oznámení, které je každý správce povinen zaslat Úřadu před začátkem zpracování. Registrace je veřejnou záležitostí, z toho důvodu se jak zaregistrování, tak zrušení registrace zveřejňuje ve Věstníku Úřadu. Registr je ze zákona veřejně přístupný. Díky němu je pro účely kontroly získáván přehled o tom, kdo a jakým způsobem zpracovává údaje. Úřad je povinen sdělit oznamovateli skutečnost, že žádost o registraci byla vyřízena, pokud tak neučiní, má se za to, že oznámení bylo zaregistrováno. O zrušení registrace rozhodne Úřad v případě, když zjistí, že správce, jehož oznámení bylo do registru zapsáno, porušuje podmínky stanovené zákonem. O zrušení také rozhodne, pokud pomine účel, pro který bylo zpracování zaregistrováno. 26
Ostatní činnosti
Úřad musí dále připravovat a zveřejňovat výroční zprávu, která je předkládána Poslanecké sněmovně a Senátu Parlamentu České republiky a vládě. Výroční zprávu musí zveřejnit ve Věstníku Úřadu. Vydávání Věstníku je další povinností, jeho součástí je přehled zaregistrovaných povolených zpracování osobních údajů a přehled registrací, které byly zrušeny. Dále se zde nacházejí sdělení k aktuálním problémům ochrany osobních údajů. Úřad čtvrtletně vydává publikaci Bulletin ÚOOÚ informuje, která přináší různé informace a zajímavosti. Činnost Úřadu zahrnuje i povinnost a oprávnění ukládat sankce, viz výše. Pokuty vymáhá územní finanční orgán a vybírá Úřad. (Matoušová, Hejlík, 2003: 298)
27
4. PRAKTICKÁ ČÁST – OSOBNÍ ÚDAJE V ZAMĚSTNÁNÍ V této části bakalářské práce se zaměřím na ochranu osobních údajů ve vztahu mezi zaměstnavatelem a zaměstnancem. § 8 zákoníku práce vymezuje, kdo jsou to zaměstnavatelé. (1) Zaměstnavateli se pro účely tohoto zákoníku rozumí právnické nebo fyzické osoby, které zaměstnávají fyzické osoby v pracovněprávních vztazích a pokud to stanoví zákon, též v obdobných pracovních vztazích. (2) Zaměstnavatelé vystupují v pracovněprávních vztazích svým jménem a mají odpovědnost vyplývající z těchto vztahů. Totéž platí o organizačních jednotkách zaměstnavatelů, stanoví-li to zvláštní předpisy, popřípadě stanovy sdružení občanů podle zvláštního zákona; jeli však účastníkem pracovněprávního vztahu zaměstnavatel, nemůže jím být současně jeho organizační jednotka a naopak. (3) Zaměstnavatelé jsou povinni pečovat o vytváření a rozvíjení pracovněprávních vztahů v souladu s tímto zákoníkem, s ostatními právními předpisy a s pravidly slušnosti a občanského soužití.
§11, odstavec 1 zákoníku práce vymezuje pojem zaměstnanci. (1) Způsobilost fyzické osoby mít v pracovněprávních vztazích práva a povinnosti a způsobilost vlastními právními úkony nabývat těchto práv a brát na sebe tyto povinnosti vzniká, pokud není dále stanoveno jinak, dnem, kdy fyzická osoba dosáhne 15 let věku; zaměstnavatel však s ní nesmí sjednat jako den nástupu do práce den, který by předcházel dni, kdy tato fyzická osoba ukončí povinnou školní docházku.
Právo na ochranu osobních údajů se uplatňuje i na pracovišti. Zaměstnavatelé se s ním setkávají při plnění svých povinností podle zákoníku práce. Mezi tyto povinnost patří např. vydání posudku o pracovní činnosti, potvrzení o zaměstnání nebo evidence pracovní doby, která je také osobním údajem pomocí něhož lze zaměstnance identifikovat. Zákonem o ochraně osobních údajů se musí řídit všichni zaměstnavatelé, a to zejména v personální činnosti přičemž je jedno, jestli se osobní údaje zpracovávají manuálně nebo pomocí počítače. Měli by dodržovat všechny předpisy a zásady, které se týkají ochrany osobních údajů. Zaměstnavatelé, kteří shromažďují osobní údaje se souhlasem zaměstnance pro jejich okamžité nebo pozdější zpracování a odpovídají za ochranu těchto 28
údajů, jsou zákonem označováni jako správci osobních údajů. Zaměstnavatelé by měli hlavně určit povinnosti zaměstnanců, kteří s osobními údaji svých kolegů přicházejí do styku. Zaměstnavatelé už před přijetím zaměstnanců do pracovního poměru získávají osobní údaje o svých případných budoucích zaměstnancích. S těmito údaji pak zaměstnavatel pracuje i v průběhu pracovního poměru, a to až do jeho ukončení, v některých případech i po tomto ukončení. Každý zaměstnavatel tedy musí přesně vědět, jaké osobní údaje může od pracovníků požadovat a jakým způsobem je zpracovávat a uchovávat. Na druhé straně i uchazeč o zaměstnání by měl vědět, jaké údaje může (případně musí či nemusí) poskytnout potencionálnímu zaměstnavateli, aby nebylo porušeno jeho právo na soukromí. Osobní údaje, které zaměstnanec zaměstnavateli poskytne, může zaměstnavatel použít pouze k účelu, ke kterému byly poskytnuty, bez informovaného souhlasu zaměstnance nemůže zaměstnavatel osobní údaje poskytovat dále, rovněž je nemůže využívat za jiným účelem než je dohodnuto.
4. 1. Personální informační systémy Osobní údaje jsou v dnešní době nejčastěji zpracovávány pomocí počítačů. Lze si jen těžko představit práci v oblasti řízení lidských zdrojů bez využití informačních technologií. Souhlasím s Armstrongem, že s využitím internetové sítě mohou manažeři získávat nové pracovníky a mít tak ve své databázi více životopisů roztříděných podle specifikací pracovního místa. Z těchto důvodů se pak na liniové manažery přenáší zvýšená odpovědnost za řízení lidí, neboť mají k dispozici ucelenou a rychle dostupnou databázi informací o všech uchazečích i pracovnících. (Armstrong, 2002: 777). Personální informační systém obsahuje různé údaje o pracovnících v podniku, ale např. i o personálních činnostech. Usnadňuje a zkvalitňuje práci personalistům, snižuje náklady personální práce a zvyšuje význam personálního útvaru. Koubek uvádí ve svém díle, že každá organizace má odlišný obsah údajů, které jsou vedeny v personálních informačních systémech. Bez ohledu na to by měly tyto systémy obsahovat údaje o pracovnících, pracovních místech, personálních činnostech a vnějších podmínkách. Jsem stejného názoru a zároveň jsem se o tom v praxi přesvědčila. Vzhledem k obsahu této bakalářské práce se však zaměřím pouze na údaje o pracovnících. V personálním
29
informačním systému mohou být zahrnuty následující údaje a dokumenty, které s údaji souvisí. (Koubek, 2005, 342)
Informace o pracovnících:
-
osobní identifikační údaje,
-
údaje o pracovním poměru,
-
údaje o vzdělání,
-
údaje o odměňování,
-
údaje o pracovní době a pracovním režimu,
-
péče o pracovníky,
-
další údaje.
Dokumenty:
-
údaje o přijetí pracovníka do pracovního poměru,
-
dotazník,
-
životopis,
-
pracovní posudky,
-
pracovní smlouva,
-
dohoda o hmotné odpovědnosti,
-
výsledky zdravotních prohlídek,
-
další písemnosti.
Z výše uvedeného vyplývá, že v personálních informačních systémech je uvedeno veliké množství osobních údajů o zaměstnancích organizace. Lidé, kteří se systémy pracují, by měli znát své povinnosti při zpracování těchto údajů.
30
4. 2. Tesla Jihlava, a. s. Tesla Jihlava, a. s. je předním českým výrobcem zákaznických konektorů a obdobných elektromechanických sestav pro obory využívající elektroniku, zejména automobilový průmysl a telekomunikace. Hlavní oblastí podnikání je vývoj, konstrukce, výroba a prodej elektromechanických komponentů a podsestav pro elektroniku a autoelektroniku. Je soukromou samostatnou společností. Vedení společnosti a základní závod se nachází v centru Jihlavy. Nový závod v Hruškových Dvorech je situován do rozvíjející se průmyslové zóny Jihlavy. Svým zákazníkům poskytuje komplexní služby počínaje konstrukcí výrobku, přes vlastní konstrukci a výrobu nástrojů a montážních a kontrolních automatů, výrobu a zkoušení vzorků, až po výrobu dílců, jejich montáž a 100% elektrickou a mechanickou kontrolu před odesláním zákazníkovi.
Graf 1: Segmenty trhu
7% 5% 5%
Automobilový průmysl Elektrotechnický průmysl Spotřební elektronika Telekomunikace Ostatní
10%
73%
Zdroj: http://www.teslaji.cz//index.php?menu=23&zavreno=1&jedinecnejmeno=
31
Graf 2: Skupiny výrobků
30% 37%
10%
Zákaznické konektory Standardní konektory Formy a střižné nástroje Monáže Montážní automaty Fóliové klávesnice Ostatní Mechanické díly
3% 2%
5%
6%
7%
Zdroj: http://www.teslaji.cz/index.php?menu=23&zavreno=1&jedinecnejmeno=
Vysoká kvalita, pružnost, spolehlivost a technická kompetence jsou samozřejmostí. Certifikace systému kvality dle normy ISO 9001 a 14001 byly v roce 2005 rozšířeny o certifikaci systému kvality podle ISO/TS 16949. Tesla Jihlava, a. s. je zcela samostatnou společností, není součástí žádného holdingu. S žádnými firmami, které ve svém názvu používají obchodní značku Tesla (kromě dceřiné společnosti Tesla Jihlava Trading), nemá jakékoliv vazby. Tesla Jihlava je moderní českou akciovou společností se soukromými vlastníky a špičkovým vybavením. Její úsilí směřuje k tomu, aby se plně stala systémovým dodavatel mechatronických komponentů pro elektroniku. Jejími zákazníky jsou především přední světoví dodavatelé automobilek, působící v globálním měřítku. V současné době zaměstnává 900 zaměstnanců, a proto patří k významným zaměstnavatelům Jihlavy a okolí. Organizační strukturu společnosti přikládám v příloze č. 4. Tesla Jihlava je úspěšnou akciovou společností. Aby svoji pozici upevnila i v budoucnu, provedla výstavbu nového výrobního areálu, který ji posune mezi špičkově organizované firmy i v globálním měřítku. Dne 13. dubna 2006 byla slavnostně otevřena nová budova nástrojárny, výroby jednoúčelových strojů, lisovny plastů, technologie, konstrukce a vývojových pracovišť. Jejím cílem je rozšíření výrobních prostor v klíčových provozech a v neposlední řadě i optimalizace logistiky a dosažení štíhlé výroby. 32
Graf 3: Obrat (v milionech Kč) 800 700
700 644 600
556
500
570
566 465
452 423
400 300 200 100 0 1998
1999
2000
2001
2002
2003
2004
2005
Zdroj: http://www.teslaji.cz/index.php?menu=23&zavreno=1&jedinecnejmeno=
Historie:
Tesla Jihlava byla založena v roce 1958 jako pobočný závod státního podniku Tesla Lanškroun. Samostatným podnikem se stává až v roce 1981. Do roku 1992 byla Tesla Jihlava, a. s. součástí koncernu Tesla, který zajišťoval výrobu veškeré slaboproudé elektroniky v tehdejším Československu. V roce 1992 byl koncern Tesla zprivatizován nikoliv jako jeden celek, ale každý závod byl privatizován odděleně. Takto vznikla celá řada na sobě nezávislých podniků. Některé z nich získaly právo používat ve svém názvu obchodní značku Tesla, některé svůj název změnily. Záleželo pak už jen na schopnosti managementu, jak se nově vzniklé společnosti uplatnily v nových ekonomických podmínkách. Ač některé firmy zanikly, či se potýkaly s problémy, Tesla Jihlava se dokázala prosadit především na trzích západní Evropy především svými konektory, vyráběnými na míru dané aplikaci pro přední světové dodavatele automobilek.
33
4. 3. Osobní údaje při náboru a výběru zaměstnanců Zaměstnavatel zpracovává údaje nejčastěji shromažďováním. Získává tedy již údaje o budoucím zaměstnanci, který se o zaměstnání uchází. Tyto údaje může shromažďovat jen se zaměstnancovým souhlasem. Nemůže od uchazečů na obsazení pracovního místa požadovat stejný rozsah informací jako v okamžiku, kdy se pracovní poměr uzavírá. Požadavky na obsazení nově vzniklého nebo uvolňovaného pracovního místa předkládají
personálnímu
oddělení
s dostatečným
časovým
předstihem
vedoucí
zaměstnanci, což jsou ředitelé, manažeři, vedoucí nebo další zaměstnanci, a to po předchozím schválení odborným ředitelem. Odpovědnost za přijímání nebo propouštění lidí nemá vedoucí personálního oddělení, ale vedoucí útvaru, příp. střediska. Způsob získávání pracovníků, který v Tesle Jihlava, a. s., převažuje, je z vnitřních zdrojů, a až poté, co se ve společnosti vhodný pracovník nenajde, se využívá výběru ze zdrojů vnějších.
Vnitřní zdroje pracovních sil:
-
úspora pracovních sil vlivem technického rozvoje,
-
pracovní síly uvolňované v důsledku organizačních změn,
-
pracovníci, kteří získáním dalších znalostí a zkušeností mají předpoklady pro výkon náročnějších činností,
-
pracovníci, kteří mají zájem o uvolněné nebo nově vytvořené pracovní místo,
-
pracovníci z mimo-evidenčního stavu (návrat z mateřské dovolené, výkonu veřejných funkcí, apod.).
Vnější zdroje pracovních sil:
-
volné pracovní síly na trhu práce,
-
čerství absolventi škol,
-
zaměstnanci jiných firem, kteří jsou rozhodnuti změnit zaměstnání,
-
ženy v domácnosti,
-
důchodci, 34
-
studenti (s kratším pracovním úvazkem, na určité období),
-
pracovní zdroje ze zahraničí.
Z těchto příkladů vnitřních i vnějších zdrojů pracovních sil je patrné, o jakých osobách se shromažďování osobních údajů v rámci pracovněprávního vztahu provádí.
Metody získávání pracovníků:
-
uchazeči se nabízejí sami (např. prostřednictvím podnikových e-mailů),
-
doporučení stávajícího zaměstnance firmy,
-
vývěsky ve firmě,
-
spolupráce se vzdělávacími institucemi,
-
spolupráce s úřadem práce,
-
inzerce. V průběhu výběrového řízení předkládá budoucí zaměstnanec osobní dotazník,
životopisy, dále např. kopie vysvědčení a podle povahy zaměstnání výpis z trestního rejstříku.
4. 3. 1. Osobní dotazník
První krok, který uchazeči o zaměstnání udělají, je vyplnění dotazníku pro uchazeče o zaměstnání, který si vyzvednou buď osobně v podniku nebo ho mohou vyplnit a odeslat pomocí internetu. Osobní dotazník je materiál uchazeče o zaměstnání, který o něm shromažďuje osobní údaje. Údaje, které se zaměstnavatel z osobního dotazníku dozví, potřebuje pro plnění svých zákonných povinností. Dotazník by neměl obsahovat údaje, které zasahují do soukromí toho, kdo jej vyplňuje, ani takové, které mohou vést při výběru zaměstnance k diskriminaci, např. z důvodu pohlaví nebo rasového původu. Měl by obsahovat pouze takové údaje, na jejichž základě je zaměstnavatel schopen objektivně vybrat nejvhodnějšího uchazeče na obsazení volného pracovního místa. Uchazeč zde odpovídá na řadu otázek, které si týkají jak jeho identifikačních údajů, tak i např. jazykových a jiných dovedností, předchozích zaměstnání, ale také informací o tom, v jaké oblasti a na jaké pozici by chtěl pracovat. Jeho účelem je, že porovná jednotlivé uchazeče a
35
na základě jeho vyplnění vyloučí zaměstnavatel nevhodné kandidáty a naopak rozpozná ty, kteří by se na obsazení volného pracovního místa hodili. Na základě nich potom probíhá výběrové řízení. Obvykle podle zákona musejí pracovníci výslovně souhlasit se zpracováním osobních údajů. Dotazník pro uchazeče o zaměstnání Tesly Jihlava, a. s. připojuji v příloze č. 5. Nechybí na něm prohlášení o souhlasu se zpracováním osobních údajů. Pokud uchazeči vyplňují tento dotazník prostřednictvím internetu, tak nejen v něm je prohlášení o souhlasu se zpracováním osobních údajů, ale i předtím, než se jim vůbec otevře stránka s dotazníkem je tlačítko souhlasím. Tlačítko společně s poučením o ochraně osobních údajů opravdu nejde přehlédnout a pokud ho zájemce o jeho vyplnění nestiskne, tak se mu dotazník vyplnit nepodaří.
4. 3. 2. Životopis
Dalším dokumentem, který obdrží zaměstnavatel ještě při náboru zaměstnanců, je životopis. Životopis je tak dalším zdrojem osobních údajů, které zaměstnavatel získá. Zaměstnavatel by měl v tomto dokumentu požadovat a zaměstnanec sdělovat údaje pouze v nezbytném rozsahu. V posledních letech bývá oblíbený strukturovaný profesní životopis. Životopis obsahuje identifikační údaje uchazeče o zaměstnání, jeho vzdělání, případnou praxi nebo předchozí zaměstnání, ale také jeho dovednosti a záliby. Již na základě životopisů se vyloučí kandidáti, kteří nesplňují požadavky na dané místo. Pokud není uchazeč o zaměstnání přijat nebo dojde-li k ukončení pracovního poměru, měl by být zaměstnavatelem životopis i osobní dotazník vrácen, jelikož již skončil důvod k jeho uchovávání. V praxi tomu tak však většinou nebývá. Alespoň v Tesle Jihlava, a. s. se životopisy a dotazníky uchazeče o zaměstnání nevrací, ale jsou zařazeny do databáze uchazečů o zaměstnání. Po roce se z této databáze automaticky mažou a v listinné podobě ručně skartují. Momentálně se v evidenci společnosti Tesla Jihlava nacházejí dva tisíce uchazečů. Personální vedoucí si vybírá na volná pracovní místa z těch nejaktuálněji zařazených, protože, když je někdo v evidenci např. půl roku a doposud si nenašel žádnou jinou práci, tak není vhodným kandidátem na uvolněné nebo nově vytvořené místo.
36
4. 3. 3. Výpis z rejstříku trestů
Dalším dokumentem, který může zaměstnavatel před přijetím zaměstnance na některá pracovní místa požadovat je výpis z rejstříku trestů. Tímto výpisem dokazuje zaměstnanec svoji bezúhonnost, která je v některých případech stanovených právními předpisy předpokladem pro vznik pracovněprávního vztahu. Nastává zde otázka, zda je tento údaj údajem citlivým. V případě, že obsahuje pozitivní informaci o trestu, pak je citlivým údajem. Pokud se však jedná o tzv. „čistý trestní rejstřík“, pak citlivým osobním údajem tato informace není.
4. 4. Osobní údaje během zaměstnání Za průběh přijímacího řízení odpovídá vedoucí personálního oddělení. Pokud je vybrán vhodný kandidát, může vzniknout pracovní poměr. Ten je založen nejčastěji smlouvou mezi zaměstnavatelem a zaměstnancem. Před uzavřením pracovní smlouvy musí zaměstnavatel seznámit zaměstnance s jeho právy a povinnostmi, které mu vyplynou z uzavření pracovního poměru, a dále s pracovními podmínkami. Ještě před nástupem do zaměstnání je zaměstnanec povinen předložit doklad o skončení předchozího pracovního poměru, tzv. zápočtový list, osobní dotazník, doklad o dosaženém vzdělání, výpis z rejstříku trestů a doklad o zdravotní způsobilosti. Pracovní smlouva je uzavírána písemně. Když zaměstnanec nastoupí do práce musí být seznámen s pracovním řádem, předpisy o zajištění bezpečnosti a ochrany zdraví při práci a s předpisy o zajištění požární ochrany, ale také s interními předpisy. Takovým předpisem může být i směrnice o ochraně osobních údajů zaměstnanců. V Tesle Jihlava, a. s. takovouto směrnici nemají a řídí se přímo zákonem. Při vstupu do zaměstnání vyplňují zaměstnanci další dotazník, který je podrobnější a s více osobními údaji, než byl ten pro uchazeče o zaměstnání. Až při přijímání zaměstnance do zaměstnání může zaměstnavatel vyžadovat širší údaje. Patří sem např. údaje o dětech zaměstnance a vůbec veškeré údaje o rodinném stavu. Pokud jsou údaje o zaměstnanci shromažďovány pouze nahodile, pak nepodléhají režimu zákona o ochraně osobních údajů. Jedná se např. o některé údaje, které zaměstnanec uvede navíc v životopisu, které po něm zaměstnavatel nevyžaduje. Tyto údaje mohou být nepřesné a neúplné. 37
V průběhu pracovního poměru nastávají situace, kdy zaměstnavatel musí s osobními údaji zaměstnanců dále pracovat. Takovou situací je např. odvod pojistného nebo srážek daně ze mzdy. V těchto případech nepotřebuje souhlas zaměstnance, protože plní povinnosti stanovené zákonem
4. 4. 1. Povinnosti při zpracování
Jestliže zaměstnavatel shromažďuje a zpracovává osobní údaje v rozsahu nezbytném pro plnění povinností, které jsou mu uloženy zvláštními právními předpisy, nemusí k takovému zpracování vyžadovat zvláštní souhlas zaměstnance. Jedná se např. o zákoník práce, zákon o účetnictví apod. Zaměstnavatel nesmí od zaměstnance vyžadovat údaje a informace, které bezprostředně nesouvisí s jeho pracovněprávním vztahem. Nesmí vyžadovat např. informace o těhotenství, rodinných a majetkových poměrech, či členství v politických stranách. Údaje, které zaměstnavatel od zaměstnance získá, může použít jen k účelu, ke kterému byly poskytnuty. Nemůže je tedy využívat k jiným účelům, ani poskytovat někomu jinému. Přísnější právní úprava je v případě ochrany citlivých osobních údajů. K jejich zpracování musí dát zaměstnanec výslovný písemný souhlas, který zaměstnavatel uchovává po celou dobu trvání pracovněprávního vztahu.
Zabezpečení osobních údajů
Osobní údaje zaměstnanců musí být řádně zabezpečeny. V Tesle Jihlava, a. s. mají k těmto údajům přístup pouze personalisté, mzdová účtárna a správce sítě. Každý z nich má do systému, v němž osobní údaje zpracovávají, svoje přihlašovací jméno a heslo, které nikdo jiný nezná. Zpětně se dají dohledat informace o tom, kdo a kdy s čím pracoval, čímž se v případě úniku některých informací může dokázat odpovědnost. Personální software se nachází na zvláštní síti. V případě, že by se někomu podařilo zvenčí se nabourat do této sítě, tak se stejně nedostane přímo k informacím, jelikož vše je řádně zabezpečeno.
38
Oznamovací povinnost
Jestliže zaměstnavatel hodlá zpracovávat osobní údaje musí to oznámit Úřadu pro ochranu osobních údajů. Nejprve si však musí zjistit ze zákona o ochraně osobních údajů, zda se na něj oznamovací povinnost vůbec vztahuje. Pokud ano, tak se u Úřadu zaregistruje – vyplní registrační formulář, který se skládá z adresní a registrační části. Tyto formuláře připojuji v přílohách č. 1 a 2 této bakalářské práce. Pokyny k jejich vyplnění přikládám v příloze č. 3. V podniku je určen útvar, který má styk s Úřadem pro ochranu osobních údajů a plní za zaměstnavatele oznamovací povinnost. Oznamovací povinnost musí splnit pouze v případě, že zpracovává osobní údaje tak, že toto zpracování není nutné pro plnění zákonných povinností. Příkladem může být vedení počítačové nebo i manuální databáze. V opačném případě, tedy když je zpracování údajů nutné pro plnění povinností, které jsou zaměstnavateli uloženy zákonem, se na něho oznamovací povinnost nevztahuje. Těmito zákony může být např. zákoník práce, zákon o daních z příjmů a další zákony, které zaměstnavatel potřebuje při plnění svých povinností. Pokud zaměstnavatel shromažďuje nadbytečné údaje, porušuje tímto zákon a Úřad pro ochranu osobních údajů může nařídit jejich likvidaci.
Osobní spis Osobní spis je dokument obsahující veškeré písemnosti, které se týkají každého zaměstnance. Spis je označen jménem a příjmením zaměstnance a vede ho zaměstnavatel. V Tesle Jihlava, a. s. mají osobní spisy svých zaměstnanců na starost personalisté a některé jejich části mzdové účetní. Ve spisu jsou založeny dokumenty, které obvykle zaměstnanec předkládá ještě jako uchazeč o zaměstnání svému budoucímu zaměstnavateli. Může zde být vložen osobní dotazník a životopis. Tyto dva dokumenty by měly být při skončení pracovního poměru vráceny. Mezi další dokumenty, které jsou získány ještě před vznikem pracovního poměru, může patřit doklad o praxi, kopie vysvědčení, výpis z rejstříku trestů, údaje o zdravotním pojištění a zápočtový list z předchozího zaměstnání. Během pracovního poměru se do spisu vkládá pracovní smlouva, platový výměr, prohlášení poplatníka daně z příjmů, údaje o školení a zdravotních prohlídkách.
39
Evidence pracovní doby
Zaměstnavatel musí vést evidenci pracovní doby všech zaměstnanců, práci přesčas, ale i noční práci. Tato povinnost mu vyplývá ze zákoníku práce. Pokud o to zaměstnanec požádá, je zaměstnavatel povinen umožnit mu nahlédnutí do této evidence. Toto jsou také osobní údaje, pomocí nichž je možno zaměstnance identifikovat.
4. 5. Povinnosti při propouštění zaměstnanců Při ukončování pracovního poměru se obecně postupuje podle příslušných ustanovení zákoníku
práce.
Nejčastější
způsob
ukončení
pracovního
poměru,
který
se
ve společnosti Tesla Jihlava objevuje, je dohoda mezi zaměstnavatelem a zaměstnancem. K tomuto způsobu dochází občas i v případech, kdy by mělo dojít k okamžitému zrušení pracovního poměru. Zaměstnanci je nejdříve řečeno, že ho propustí tímto způsobem, ale nakonec dojde k dohodě mezi oběma stranami, a to z důvodů, které vyhovují oběma stranám. Zaměstnanci proto, že nepřijde o státní podporu a zaměstnavateli kvůli případným problémům u soudu, jelikož soud většinou rozhodne ve prospěch zaměstnance. Při skončení pracovního poměru je zaměstnavatel povinen všechny záznamy osobních údajů, které se zaměstnance týkají, zaměstnanci vrátit nebo zlikvidovat, jelikož pominul účel, pro který byly shromažďovány. Platí zde ovšem výjimka, a to v případě, kdy je zaměstnavatel povinen určité dokumenty archivovat. Tato výjimka je uložena zvláštním zákonem, a to zákonem o účetnictví nebo o archivní a spisové službě. Zaměstnavatel je povinen vydat zaměstnanci potvrzení o zaměstnání a na požádání pracovní posudek. Před datem výstupu si pracovník vyzvedne výstupní lístek, který současně se závodní průkazkou odevzdá personálnímu oddělení a dostane zápočtový list. Všechny písemné dokumenty, které souvisejí se vstupem a výstupem pracovníků se stávají součástí osobního spisu pracovníka, který je uložen v registratuře personálního oddělení. Osobní spisy bývalých pracovníků jsou zařazeny do archivu.
40
4. 5. 1. Potvrzení o zaměstnání
Potvrzení o zaměstnání, neboli zápočtový list vydává personální oddělení zaměstnanci nejpozději den následující po ukončení pracovního poměru. Zápočtový list musí být řádně vyplněn a obsahuje údaje o zaměstnání, druhu konané práce a dosažené kvalifikaci. Zaměstnavatel v něm dále musí uvést konkrétní dobu pracovní neschopnosti, a to pro skutečnosti rozhodné pro posouzení nároků na dávky nemocenského pojištění, dále odpracovanou dobu, případné srážky ze mzdy, výši průměrného výdělku a další skutečnosti, které se týkají osobních údajů zaměstnance. Ze zákona o ochraně osobních údajů vyplývá, že správce je povinen zpracovávat pouze pravdivé a přesné osobní údaje, z čehož plyne, že zaměstnavatel musí vydávat potvrzení o zaměstnání ve vztahu k výkonu práce, kterou pro něho zaměstnanec konal.
4. 5. 2. Pracovní posudek
Pracovní posudek je dokument, který vydává zaměstnavatel zaměstnanci na jeho žádost. Zaměstnavatel je povinen vydat jej zaměstnanci do 15 dnů. Nemusí však dříve, než 2 měsíce před ukončením pracovního poměru. Tento dokument obsahuje písemnosti, které se týkají hodnocení práce zaměstnance, jeho schopností a dalších skutečností, které mají vztah k jeho zaměstnání.
Pokud zaměstnanec zjistí, že údaje, které zaměstnavatel v potvrzení o zaměstnání nebo v pracovním posudku uvedl, nejsou pravdivé, může se obrátit na soud s žádostí opravy. Z tohoto důvodu je zaměstnancům doporučováno, aby si kopie dokladů uchovávali a mohli jimi případně později prokázat skutečnosti pravdivé.
41
5. DISKUSE A ZÁVĚR V této bakalářské práci jsem se zabývala osobními údaji a jejich ochranou. V prvních třech kapitolách jsem věnovala pozornost právnímu zakotvení osobních údajů, které se k této problematice vztahuje a také relativně novému zákonu o ochraně osobních údajů, jeho historií a pojmy, které upravuje. Dále jsem zde popisovala druhy osobních údajů a také činnosti kontrolního orgánu, kterým je Úřad pro ochranu osobních údajů. Ochrana poskytnutých informací při jejich shromažďování, ukládání i likvidaci je v zákoně konkrétně stanovena se zřetelem na povinnosti správce i zpracovatele informací. Čtvrtou kapitolu jsem věnovala uvedení ochrany osobních údajů do podnikové praxe. Vybrala jsem si společnost Tesla Jihlava a. s., na které jsem se pokusila zjistit, jak ochrana osobních údajů probíhá v reálném podniku, kde se setkáváme s osobními údaji. Zabývala jsem se problematikou vztahů, které vznikají mezi fyzickou osobou ucházející se o zaměstnání a jejím možným budoucím zaměstnavatelem. Postupovala jsem zde od náboru a výběru vhodných zaměstnanců na obsazení volného místa přes jejich zaměstnání až po ukončení pracovního poměru. Vztahy mezi zaměstnavateli a zaměstnanci jsou provázeny výměnou různých informací, mezi těmito informacemi jsou i osobní údaje a mnohdy i údaje citlivé. Zákon poskytuje ochranu fyzické osobě pouze při jejím rozhodnutí o poskytnutí údajů. Musím konstatovat, že zamítnutí poskytnutí osobních údajů si v dnešní situaci vysoké nezaměstnanosti nemůže v podstatě nikdo dovolit. To znamená, že fyzická osoba v podstatě nemá možnost volby a údaje poskytnout musí. Výhodou zákona o ochraně osobních údajů je bezpochyby v dnešním světě tolik potřebná větší ochrana osobních údajů a tím i soukromí fyzické osoby. I když si to mnozí z nás neuvědomují a myslí si, že nepotřebují chránit své osobní údaje, jistě kolikrát poznají z vlastní zkušenosti, že se mýlí. Manažeři spatřují nedostatek zákona ve složitějším zpracování osobních údajů, kdy už v mnoha situacích ani nevědí, jaké údaje mohou poskytnout či požadovat. Myslím si, že právní řád České republiky představuje kompletní právní úpravu vztahů mezi zaměstnavatelem a zaměstnancem a zároveň již od okamžiku vzniku pracovního poměru poskytuje efektivní právní ochranu osobních údajů zaměstnancům. Při vztazích
42
před vznikem pracovního poměru by měl podle mého názoru zákon blíže řešit, jaké konkrétní informace může zaměstnavatel od uchazečů požadovat. Závěrem bych chtěla říci, že přijetí zákona o ochraně osobních údajů bylo potřebné a zároveň je i chválihodné. Jednou z podmínek pro vstup České republiky do Evropské Unie bylo sbližování právní úpravy se státy Evropského Společenství, což se v oblasti ochrany osobních údajů podařilo právě tímto zákonem. Moderně tak Česká republika prostřednictvím svého právního řádu chrání osobní údaje všech občanů, kteří podléhají její právní úpravě. Současný faktický stav informovanosti naší společnosti o právech a povinnostech spojených s ochranou osobních údajů je bohužel velmi nízký i přesto, že zákon je účinný již šestým rokem. Domnívám se, že zaměstnavatelé by měli preventivně své zaměstnance mnohem více o těchto právech informovat i přes jejich vyšší pracovní zatížení, aby tím předcházeli sporům a případným nákladům s tím spojených. S ohledem na jeden ze základních principů práva, a to že neznalost zákona neomlouvá, měli by se všichni ve svém vlastním zájmu se zákonem osobních údajů seznámit.
43
6. LITERATURA 1. ARMSTRONG, M. Řízení lidských zdrojů, 1. vyd. PRAHA: Grada Publishing, a. s., 2002. 856 s. ISBN 80-247-0469-2 2. HOLUB, M. a kol. Občanský zákoník poznámkové vydání s judikaturou a novou literaturou, 9. vyd. PRAHA: Linde Praha a. s., 2002. 831 s. ISBN: 80-7201-336-X 3. KNAP, K. a kol. Ochrana osobnosti podle občanského práva. 4. vyd. PRAHA: Linde Praha a. s., 2004. 443 s. ISBN 80-7201-484-6. 4. KOUBEK, J. Řízení lidských zdrojů. 3. vyd. PRAHA: Management Press, 2005. 367 s. ISBN 80-7261-033-3. 5. MATES, P. Ochrana osobních údajů. 1. vyd. PRAHA: Univerzita Karlova v Praze, 2002, 73 s. ISBN 80-246-0469-8. 6. MATOUŠOVÁ, M. a kol. Ochrana osobních údajů v otázkách a odpovědích. 1. vyd. PRAHA: Aspi Publishing, s. r. o., 2004. 160 s. ISBN 80-7357-037-8. 7. MATOUŠOVÁ, M. – Hejlík, L. Osobní údaje a jejich ochrana. 1. vyd. Praha: ASPI, 2003. 415 s. ISBN 80-86395-50-2. 8. TOMANDLOVÁ, L. a kol. Zákoník práce a související právní předpisy s komentářem 2001. 1. vyd. OLOMOUC: ANAG, spol. s r. o., 2001. 724 s. ISBN 80-7263-044-X 9. Tesla Jihlava, a. s. – Představení Tesly Jihlava [cit. 2006-04-02]. Dostupné z:
10. ÚOOÚ – Zákon č. 101/2000 Sb., o ochraně osobních údajů (úplné znění) [cit. 2006-03-15]. Dostupné z: 11. Ústava České republiky. Listina základních práv a svobod. Ostrava: Sagit, 2004. 190 s. Úplné znění. ISBN 80-7208-424-0.
44
7. SEZNAM PŘÍLOH Příloha č. 1: Formulář oznámení o zpracování osobních údajů – adresní část. Příloha č. 2: Formulář oznámení o zpracování osobních údajů – registrační část. Příloha č. 3: Pokyny pro vyplnění Oznámení o zpracování osobních údajů. Příloha č. 4: Organizační struktura podniku Tesla Jihlava, a. s. Příloha č. 5: Osobní dotazník pro uchazeče o zaměstnání.
45
