Menu Zavřít

Osobním údajům neuniknete

27. 6. 2012
Autor: Euro.cz

Transfery zaměstnaneckých údajů v rámci koncernů - aneb jak nasytit vlka a zůstat přitom (téměř) celý

Jsou termíny matrix management, cloud computing nebo whistleblowing scheme vaší společnosti blízké? Pak zapomeňte na pohodlí stoprocentně právně čistého řešení. Alespoň z pohledu ochrany osobních údajů. Tyto instituty jsou totiž neznámé nejen českému jazyku, ale i českému zákonodárci. Vhodnou cestou však určitě není rezignace – ať už na využívání těchto postupů nebo na dodržování práva – ale nalezení modelu, který se požadavkům zákona přibližuje co nejvíc. Probíhající hon evropských úřadů na společnost Google kvůli jejím novým zásadám ochrany soukromí uživatelů opět zvýšil povědomí veřejnosti o tom, že nakládání s osobními údaji podléhá přísné právní regulaci. Internetové aplikace ovšem tvoří pouze zlomek případů takového nakládání. Ať už jde o údaje o zaměstnancích, klientech nebo obchodních partnerech, s osobními údaji nakládá denně každá společnost. Mnohokrát bez toho, aby si byla vědoma povinností a omezení, které ji v této souvislosti zákonodárce nadělil (a to navzdory dvanáctileté existenci zákona o ochraně osobních údajů). Osobním údajem je totiž v podstatě jakákoli informace o určitém člověku. S předáváním osobních údajů zaměstnanců zahraničním mateřským společnostem se v českém prostředí setkáváme běžně. Tento postup však podléhá zvlášť striktní a pro běžného člověka ne právě předvídatelné právní úpravě. České dceřiné společnosti tak často balancují na hranici zákona, nebo dokonce právní rozměr ignorují zcela, čímž se vystavují zbytečnému riziku. Jak tedy správně postupovat a na co určitě nezapomenout?

Za jakým účelem

V první řadě si vyjasněte, proč mateřské společnosti údaje o svých zaměstnancích dáváte. Bude pro vás vykonávat pouze dílčí operace podle vašich pokynů? Nebo s údaji naloží podle vlastních potřeb, například pro centrální řízení lidských zdrojů, a vy nad nimi zcela ztratíte kontrolu? Tak dokážete určit, zda bude mateřská společnost samostatným správcem osobních údajů nebo pouhým zpracovatelem pro vás jako správce. Toto posouzení je pro stanovení vašich povinností zásadní, neboť předání správci a předání zpracovateli podléhají značně odlišným pravidlům.

bitcoin_skoleni

Do jaké cílové země

Zatímco předání osobních údajů v rámci EU se řídí stejným režimem jako předání vnitrostátní, předání do třetích zemí je obecně složitější, jelikož jen minimum třetích zemí má stejně vysoký standard ochrany osobních údajů jako státy Evropské unie. Obecně je nejpraktičtějším řešením uzavření smlouvy o předání osobních údajů mezi českým správcem a příjemcem ze země mimo EU s použitím tzv. standardních smluvních doložek vydaných Evropskou komisí. Dejte ovšem pozor, v platnosti jsou tři sady doložek, z toho jedna pro smlouvy mezi správcem a zpracovatelem a dvě pro smlouvy mezi dvěma správci. Sídlí-li však vaše mateřská společnost v USA, tedy v nejčastějším cíli „českých“ osobních údajů, máte možnost předat jí osobní údaje za podmínek pro vnitrostátní předání, pokud je registrována v seznamu subjektů, které se zavázaly dodržovat zásady tzv. bezpečného přístavu, a tyto zásady dodržuje. Pro předání v rámci skupiny je možností také implementace tzv. závazných podnikových pravidel, avšak vzhledem k velké náročnosti procesu jejich schvalování příslušnými orgány se pro tuto možnost rozhodují pouze největší nadnárodní společnosti. Kupříkladu britský orgán pro ochranu osobních údajů schválil v listopadu 2011 závazná podniková pravidla teprve jedenácté společnosti a český úřad ještě podobnou zkušenost ani neměl.

Se souhlasem či bez

Nezapomeňte, že i předání osobních údajů je jejich zpracováním! Přitom platí, že pokud se neuplatní některá zákonná výjimka (například pro zpracování nezbytné pro plnění pracovní smlouvy nebo zákonných povinností zaměstnavatele, resp. pro ochranu jeho práv), musíte před zpracováním osobních údajů zaměstnance obdržet jeho informovaný souhlas pro tento účel zpracování. V některých případech se také vyžaduje registrace u Úřadu pro ochranu osobních údajů, která se však provádí jednoduše přes internet za použití elektronického formuláře.

Nevzdejte to

I když se stoprocentní vyhovění zákonu jeví být téměř nemožné, rozumná snaha o jeho dodržení se vyplatí. Kdyby k vám pak přišla kontrola z Úřadu pro ochranu osobních údajů, vaše snaha bude zohledněna při stanovení sankce – která může být až do výše pěti milionů korun, a v některých případech dokonce deset milionů korun! Úřad má totiž poměrně velkou diskreční pravomoc ohledně výše pokuty za porušení, přičemž je povinen přihlížet ke všem okolnostem daného případu.
  • Našli jste v článku chybu?