Advokátní kancelář Jansa, Mokrý, Otevřel & partneři - specialisté na problematiku IT práva

Pokuta 150.000 EUR za nesprávně identifikovaný právní základ zpracování osobních údajů zaměstnanců

Autor: Mgr. et. Mgr. Petr Mališ | Vloženo: 4. 11. 2019 08:47 | Přečteno: 2609X

Kdo se alespoň trochu věnuje změnám, které v oblasti ochrany osobních údajů přineslo Obecné nařízení o ochraně osobních údajů, tzv. GDPR (dále jen „Nařízení“), setkává se zajisté s notoricky známými povinnostmi jako je jmenování pověřence pro ochranu osobních údajů (tzv. „DPO“), povinnost zpracování posouzení vlivu na ochranu osobních údajů (tzv. „DPIA“), některé otázky zabezpečení osobních údajů, v lepším případě řeší záležitosti jako přeshraniční předávání osobních údajů nebo vztahy mezi správci a zpracovateli osobních údajů. Na pozadí zájmu však často stojí naprosto zásadní povinnosti, které svou podstatou nejsou nové, zato však dopadají na všechny správce osobních údajů bez rozdílu. Takovou povinností je mj. identifikace jednotlivých činností zpracování a nalezení správného právního základu pro každou z nich. O tom, že se vyplatí věnovat identifikaci správného právního základu zpracování maximální pozornost, se přesvědčila řecká členská společnost skupiny PricewaterhouseCoopers (PWC), vůči níž řecký úřad pro ochranu osobních údajů zahájil řízení pro nesprávné vymezení právního základu zpracování zaměstnanců společnosti, které skončilo nemalou pokutou.

Co je to „právní základ zpracování“?

Základem správně pojaté ochrany osobních údajů v rámci jakéhokoli správce (tedy například v rámci společnosti vystupující jako zaměstnavatel) je vymezení jednotlivých činností, při nichž dochází ke zpracování osobních údajů. Každá z těchto činností je charakterizována svým specifickým účelem. Za účelem vymezení a evidence těchto činností se vedou tzv. záznamy o činnostech zpracování, sloužící jako jakýsi katalog činností zpracování osobních údajů v dané organizaci, přičemž ke každé činnosti se kromě účelu zpracování evidují rovněž další kategorie (jako jsou např. příjemci osobních údajů, zdroj, z něhož jsou získávány, doba uchování, aplikované technické a organizační prostředky zabezpečení a další). Tím nejdůležitějším údajem u každé činnosti zpracování je vedle samotného účelu rovněž informace o jejím právním základu. 

Právním základem zpracování lze rozumět důvod, který opravňuje správce (například zaměstnavatele) k nakládání s osobními údaji subjektu (například zaměstnance). Právní základy zpracování jsou taxativně (tedy uzavřeným výčtem) vymezeny v čl. 6 Nařízení, podle něhož lze osobní údaje zpracovávat pouze pokud:

  1. subjekt údajů udělil ke zpracování souhlas;
  2. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy se subjektem údajů;
  3. zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
  4. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
  5. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
  6. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.

Každé zpracování osobních údajů má z titulu charakteru dané činnosti nějaký důvod, který by mělo být možno podřadit pod jeden z výše uvedených právních základů. Je přitom nezbytné nalézt ten správný právní základ pro dané zpracování. Například – evidujeme-li v rámci probíhajícího výběrového řízení osobní údaje uchazečů o zaměstnání, obsažené v obdržených životopisech, případně e-mailech nebo jiných zdrojích, je takové zpracování nezbytné pro provedení opatření přijatých před uzavřením smlouvy se subjektem údajů – viz výše uvedené písm. b). Anebo – údaje o pracovních úrazech zaměstnanců musí být archivovány po dobu 30 let podle zák. č. 582/1991 Sb. o organizaci a provádění sociálního zabezpečení – v tomto rozsahu se tedy jedná o zpracování nezbytné pro splnění právní povinnosti správce údajů (viz výše uvedené písm. c). Za předchozí právní úpravy bylo běžné, že správci osobních údajů (pokud vůbec zpracování údajů řešili) spoléhali pouze na souhlas, jakožto na všezahrnující a univerzální důvod zpracování osobních údajů, a tímto souhlasem pokrývali veškeré činnosti zpracování, které byli schopni identifikovat. Byť se na nutnosti identifikace správného právního základu zpracování s nástupem Nařízení nic zásadního nezměnilo, pokračuje tento trend bohužel i nyní. Důkazem toho je i sankce, která byla v Řecku uložena společnosti tvořící součást skupiny PwC právě za nesprávně identifikovaný právní základ zpracování osobních údajů svých zaměstnanců.

 

Souvislost se zásadami zpracování osobních údajů

Na základě podnětu subjektu osobních údajů (patrně zaměstnance či bývalého zaměstnance společnosti) zahájil řecký úřad pro ochranu osobních údajů (Hellenic Data Protection Authority, tzv. HDPA) řízení proti společnosti PricewaterhouseCoopers Business Solutions SA z důvodu podezření z nezákonného zpracování osobních údajů jejích zaměstnanců, na nichž byl (dle podnětu) požadován souhlas se zpracováním osobních údajů. Po provedeném šetření HDPA konstatoval, že k tomu, aby bylo zpracování osobních údajů plně v souladu s Nařízením, musí probíhat v souladu se zásadami, stanovenými čl. 5 Nařízení. Zásady zpracování stanoví základní obecná pravidla, která musí být respektována při jakémkoli zpracování osobních údajů, bez ohledu na jeho účel nebo právní základ. Uvedené ustanovení formuluje následující zásady:

  1. zákonnosti, korektnosti a transparentnosti,
  2. účelového omezení,
  3. minimalizace údajů,
  4. přesnosti,
  5. omezení uložení,
  6. integrity a důvěrnosti.

Nad všemi výše uvedenými zásadami pak stojí zásada odpovědnosti (7), která znamená, že správce osobních údajů musí uvedené zásady dodržovat a musí být schopen kdykoli toto dodržování doložit. Určení správného právního základu zpracování úzce souvisí především se zásadou zákonnosti a transparentnosti (č. 1) a se zásadou účelového omezení (č. 2). Jak HDPA uvedl, správce osobních údajů není povinen jen zvolit pro činnost zpracování ten správný právní základ a tuto volbu náležitě zdokumentovat v souladu se zásadou odpovědnosti, ale rovněž o zvoleném právním základu náležitě informovat subjekty údajů, neboť zvolený právní základ může mít vliv na rozsah práv, které mohou subjekty vůči správci uplatňovat (například je-li právním základem zpracování souhlas subjektu, má subjekt právo tento souhlas kdykoli bezplatně a bez jakýchkoli sankcí odvolat; u jiných právních základů toto právo pochopitelně uplatňovat nelze).

 

Kdy lze použít souhlas jako právní základ zpracování

Platí přitom pravidlo, že souhlas subjektu není nijak nadřazen ostatním právním základům, právě naopak – lze jej aplikovat pouze v případě, že na danou činnost zpracování nelze aplikovat některý jiný právní základ zpracování. Se souhlasem je pak imanentně spjato právo subjektu údajů souhlas odvolat, což musí vést k naprostému ukončení zpracování, doposud krytému souhlasem. Zároveň platí pravidlo, podle něhož v naprosté většině případů nelze souhlas aplikovat na zpracování osobních údajů zaměstnanců v pracovněprávních vztazích, z důvodu nedostatku svobodné vůle zaměstnance při jeho udělení, daného přirozeně nerovným vztahem mezi zaměstnancem a zaměstnavatelem. V pracovněprávních vztazích si lze souhlas jako právní základ zpracování představit jen v naprosto výjimečných případech, kdy zpracování přináší zaměstnanci nějakou výhodu (například možnost zařadit jej při ukončení pracovního poměru do databáze potenciálních uchazečů o zaměstnání, za účelem jeho opětovného přijetí v budoucnu).

 

Čeho se společnost PwC dopustila

V rámci dané kontroly HDPA zjistil, že společnost PwC požadovala souhlas se zpracováním osobních údajů v rámci základních personálních činností zpracování, které jsou ve skutečnosti založeny na zcela odlišných právních základech – konkrétně na plnění povinností zaměstnavatele vyplývajících z pracovních smluv (viz písm. b) výše), na plnění zákonných povinností zaměstnavatele (písm. c) výše) a ve sledování oprávněného zájmu zaměstnavatele spočívajícího v efektivním a plynulém fungování vnitřních procesů (písm. f) výše). Identifikováním nesprávného právního základu zpracování uvedla společnost PwC zaměstnance v omyl, přičemž o skutečných právních základech zpracování nebyli zaměstnanci žádným způsobem informováni. Zaměstnavatel se tím ocitl v rozporu se zásadou transparentnosti (zásada č. 1 výše), a porušil povinnost informovat zaměstnance o okolnostech zpracování jejich osobních údajů ve smyslu čl. 13 Nařízení.

Dle závěrů HDPA společnost PwC uvedeným jednáním porušila zásadu odpovědnosti (zásada č. 7 výše), protože nedokázala úřadu doložit dokumentaci k určení právního základu zpracování (zpracování se nenacházelo v souladu s Nařízením a společnost pochopitelně nebyla schopna dodržení souladu doložit). Společnost se naopak pokusila odpovědnost za zpracování přesunout na své zaměstnance, na nichž požadovala podpis prohlášení, v rámci něhož brali na vědomí zpracování jejich osobních údajů pro účely pracovněprávního vztahu a organizace práce, a prohlašovali, že takové zpracování považují pro tyto účely za relevantní a přiměřené. HDPA tedy učinil tři hlavní závěry:

  1. Společnost PwC zpracovávala osobní údaje svých zaměstnanců v rozporu s Nařízením, když aplikovala nesprávný právní základ zpracování.
  2. Společnost PwC zpracovávala osobní údaje svých zaměstnanců nekorektním a netransparentním způsobem, když je uvedla v omyl ohledně právního základu zpracování, zatímco ve skutečnosti zpracování probíhalo na základě zcela odlišných právních základů, o nichž zaměstnanci informování nebyli.
  3. Společnost PwC nejednala v souladu se zásadou odpovědnosti, když nebyla schopna prokázat soulad se zásadami uvedenými v čl. 5 Nařízení, přičemž důkazní břemeno ohledně souladu s Nařízením přesunula na subjekty údajů formou požadovaného písemného prohlášení.

V návaznosti na tato zjištění HDPA společnosti PwC uložil nápravná opatření v podobě identifikace správných právních základů zpracování a přijetí konkrétních opatření v rámci dodržení zásady odpovědnosti. Nicméně vzhledem k tomu, že uložená opatření nepovažoval sama o sobě za dostatečná, přistoupil HDPA i k sankčnímu opatření v podobě pokuty, stanovené s přihlédnutím k vykázanému obratu za poslední účetní období na výši 150.000 EUR.

 

Závěr

Z uvedeného případu plyne několik důležitých ponaučení:

  • je třeba precizně identifikovat jednotlivé činnosti zpracování osobních údajů v rámci organizace a ke každé z nich přiřadit správný právní základ;
  • souhlas subjektu se zpracováním jeho osobních údajů není nadřazen ostatním právním základům zpracování, a nelze spoléhat na to, že při požadování souhlasu se zpracováním na subjektech osobních údajů nebude nutno nalézt skutečný právní základ;
  • aplikuje-li správce osobních údajů souhlas subjektu v případě, že je pro danou činnost zpracování relevantní odlišný právní základ, je tento souhlas neplatný i přesto, že jinak splňuje všechny náležitosti požadované Nařízením;
  • nesprávně určený právní základ zpracování znamená nesoulad se základními zásadami zpracování osobních údajů stanovenými Nařízením, a sám o sobě je sankcionovatelným porušením pravidel ochrany osobních údajů, a to i v případě, že jinak nedojde k žádnému úniku nebo jinému porušení zabezpečení osobních údajů.

Nalezení správného právního základu zpracování může být v některých případech poměrně složitým problémem, jehož řešení se vyplatí (ostatně jako celou implementaci GDPR) svěřit zkušeným odborníkům.

 

Mgr. et Mgr. Petr Mališ, advokát | malis@lawyer.cz

Autor je společníkem v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami, ochranou osobních údajů a internetovým právem.