Monitoring zaměstnanců ve světle ochrany osobních údajů (September 2017)

Při nastavení procesů a technologií monitorování zaměstnanců je nutné zohlednit právo zaměstnanců na soukromí a ochranu osobních údajů

Nejnovější rozhodnutí a stanoviska

V poslední době bylo vydáno několik právních předpisů a soudních rozhodnutí, která objasňují rozsah práva zaměstnavatele monitorovat své zaměstnance. Mezi ty nejdůležitější patří Obecné nařízení o ochraně osobních („GDPR“), rozhodnutí Evropského soudu pro lidská práva ve věci Barbulescu v. Rumunsko ze dne 5. 9. 2017 ( „rozhodnutí ESLP“)[1] či Názor pracovní skupiny WP29 č. 2/2017 o zpracování osobních údajů na pracovišti (dále jen „názor WP29“)[2]. Všechny výše uvedené dokumenty mají přímý nebo nepřímý vliv na práva a povinnosti zaměstnavatelů, kteří mají v plánu monitorovat své zaměstnance v pracovní době, případně i v době osobního volna.

Ani jeden z uvedených zdrojů obecně monitorování zaměstnanců nezakazuje. Podmínkou bude nicméně provedení podrobné analýzy dopadu konkrétního monitoringu na soukromí zaměstnance. Zároveň bude muset být každý zaměstnanec prokazatelně poučen o monitorování vždy před jeho zahájením.

Dle rozhodnutí ESLP nemusí zákaz využívání pracovních prostředků (vozidel, mobilních telefonů, pracovních počítačů či přístupu k internetu) pro soukromé účely zaměstnavatele automaticky opravňovat ke sledování těchto prostředků. Podle rozhodnutí ESLP i názoru WP29 v takovém případě může převážit právo zaměstnance na soukromí nad oprávněným zájmem zaměstnavatele vědět, jak jeho zaměstnanci tráví pracovní dobu anebo využívají svěřené prostředky.

Jak postupovat při implementaci monitoringu zaměstnanců?

Názor WP29 a rozhodnutí ESLP stanoví několik pravidel pro zákonné monitorování zaměstnanců:

(i) Notifikace zaměstnanců před zahájením monitorování

Před zahájením jakéhokoliv monitorování zaměstnanců by měli být zaměstnanci dostatečně jasně informováni o tom, že zaměstnavatel jejich chování bude monitorovat a v jakém rozsahu (např. zda bude sledován obsah emailů či „jen“ metadata odeslaných a přijatých emailů). K prokázání informování všech zaměstnanců lze požadovat podpis na prohlášení, že byli o monitorování informováni a dostatečně poučeni. Případně je vhodné postupovat rozesláním vícero adresných informačních emailů před zahájením monitorovací činnosti. Zároveň je vhodné rozsah monitorování detailně popsat v interní dokumentaci a o tomto své zaměstnance či kandidáty informovat. Souhlas zaměstnance ze strany zaměstnavatele se nevyžaduje. Informace o právo zaměstnavatele monitorovat může být také uvedena v pracovní smlouvě zaměstnance (ve formě upozornění).

(ii) Rozsah sledování by neměl nepřiměřeně zasahovat do soukromí

Zásah do soukromí musí být vždy proporcionální zájmu zaměstnavatele, pro jehož ochranu zvolil formu monitorování. Proto je vhodné při implementaci interního monitoringu implementovat řešení minimalizující zásad do soukromí zaměstnanců. Relevantní též může být např. limitace monitoringu pouze těch emailů, které se zaměstnanec pokouší odeslat, ačkoliv byl při prvním pokusu systémem upozorněn na citlivost údajů v emailu obsažených. V případě ochrany majetku zaměstnance před internetovými viry lze např. plošně blokovat přístup na konkrétní weby místo monitoringu užívání internetu zaměstnanci či umožnit zaměstnancům přístup k internetu prostřednictvím nemonitorovaného přístupu na jiné WiFi síti a/nebo na jiném koncovém zařízení (počítače, tablety) než ty používané pro pracovní účely.

(iii) Důkladná analýza a zvážení jiných prostředků bez zásahu do soukromí

Před zahájením monitorování by měl zaměstnavatel provést důkladnou analýzu toho, jaká aktiva a činnosti chce monitorováním zaměstnanců chránit. V některých případech je zásah dokonce vyvolán plněním zákonné povinnosti (např. v oblasti kybernetické bezpečnosti ve vztahu k hlášení incidentů či povinnosti zajistit bezpečnost zaměstnanců) případně pak povinnosti smluvní (např. závazek zpracovatele osobních údajů vůči správci). Při analýze by měl zaměstnavatel vždy zvážit, zda nelze zájmy či majetek chránit jiným způsobem než monitorováním zaměstnanců. Názor WP29 uvádí, že zaměstnavatel by měl před zahájením monitorování provést formalizované posouzení vlivu na ochranu osobních údajů podle článku 35 GDPR. Posouzení vlivu je podle názoru WP29 nutné provést zejména před zavedením vzdáleného sledování polohy pracovních zařízení (mobilních telefonů, laptopů či monitoringu využívání internetu zaměstnanci).

(iv) Důsledky pro zaměstnance

Při nastavení jakéhokoliv monitorování zaměstnanců by měl zaměstnavatel vždy dbát na dopad do soukromí zaměstnanců a omezit jej na co nejmenší míru, případně omezit lhůtu uchovávání osobních údajů jen po nezbytně nutnou dobu. Dalším možným opatřením je omezit přístup k těmto informacím pouze na situace, kdy dojde k bezpečnostnímu incidentu nebo pouze po notifikaci zaměstnance. V případě GPS monitorování služebních vozidel, která mohou zaměstnanci používat také pro soukromé účely by měl mít zaměstnanec možnost vypnout monitorování (tzv. opt-out režim) v případech, kdy vozidlo využívá pro soukromé účely.

 

Monitorování zaměstnanců není vyloučeno, ale je možné jej ve světle vývoje právního rámce zavést pouze za relativně striktních podmínek (zejména předem informovat dostatečně zaměstnance o sledování a jeho rozsahu) a pouze na základě důkladné analýzy alternativních prostředků sloužících k zajištění oprávněného zájmu.

 

Pro více informací se, prosím, obraťte na:

Mgr. Štefan Kráľ, tel. +420 777 112 365, e-mail: stefan.kral@pierstone.com

 

[1] https://hudoc.echr.coe.int/eng#{“documentcollectionid2”:[“GRANDCHAMBER”,”CHAMBER”],”itemid”:[“001-177082”]}

[2] http://ec.europa.eu/newsroom/document.cfm?doc_id=45631