Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR telefonní linka

Základní odkazy


Cesta: Titulní stránka > Hlavní menu > Archiv

 

Stanovisko č. 2/2009 - Ochrana soukromí zaměstnanců se zvláštním zřetelem k monitoringu pracoviště

 

Odkazy


 
 

únor 2009, aktualizace únor 2014[1]

Úvod

Ochrana soukromí zaměstnanců je zvláště důležitou oblastí zpracování osobních údajů, a proto se jí opakovaně zabýval i Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“) ve svých vyjádřeních a stanoviscích.

Předmětem tohoto textu není pojednat o ochraně veškerých osobních údajů zaměstnanců, například těch, které jsou součástí osobního spisu, nýbrž pouze těch, které vznikají pomocí technických prostředků, jako jsou telefonní ústředny a internet. Text vychází ze stanoviska Ministerstva práce a sociálních věcí ČR (dále jen „MPSV“) ze dne 14. září 2007, čj. 2007/55722–52.

Biometrické údaje v docházkových systémech, monitorování telefonních rozhovorů a kamerové systémy na pracovišti nejsou předmětem tohoto stanoviska.

Shrnutí právních předpisů, které se problematiky dotýkají

Předpisem, který reguluje osobnostní práva obecně, je zákon č. 89/2012  Sb., občanský zákoník, přesněji řečeno jeho § 81 a následující. K této právní normě je speciální zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, který je ve vztahu k ochraně soukromí na pracovišti obecným předpisem.[2]

Zvláštním předpisem je zákon č. 262/2006 Sb., zákoník práce, (dále jen „nový zákoník práce“ nebo „NZP“), který nabyl účinnosti od 1. 1. 2007. S novým zákoníkem práce se musí vyrovnat při své činnosti i ÚOOÚ. V § 316 odst. 2 a 3 NZP zavádí zcela novou právní úpravu v této oblasti, která je podle stanoviska MPSV čj. 2007/55722–52, p. 2, a rovněž na základě interpretace § 193 sq. nálezu Ústavního soudu sp. zn. Pl. ÚS 83/06, který byl vyhlášen pod č. 116/2008 Sb.,[3] kogentní. To znamená, že se od nich nelze smluvně ani jinak odchýlit a případný souhlas zaměstnanců je právně bezvýznamný a neúčinný, jelikož by se jednalo o právní jednání in fraudem legis, tedy směřující k obcházení zákona:

„(2) Zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci.

(3) Jestliže je u zaměstnavatele dán závažný důvod spočívající ve zvláštní povaze činnosti zaměstnavatele, který odůvodňuje zavedení kontrolních mechanismů podle odstavce 2, je zaměstnavatel povinen přímo informovat zaměstnance o rozsahu kontroly a o způsobech jejího provádění.“

Druhou linií je regulace elektronických komunikací. Čl. 5 směrnice Evropského parlamentu a Rady 2002/58/ES, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích), regulující důvěrný charakter sdělení, byl implementován § 89 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích),. Toto ustanovení zakazuje odposlech, ukládání zpráv apod. bez souhlasu dotčených uživatelů. Dále je znovu stanovena informační povinnost.


Obecně k problematice

Rozhodnutí Evropského soudu pro lidská práva ve věci Niemietz v. Německo ze dne 16. prosince 1992, stížnost č. 13710/88, se v § 29 vyjádřilo k obsahu pojmu soukromí: „Respektování soukromého života musí do určité míry zahrnovat právo na vytváření a rozvíjení vztahů s dalšími lidskými bytostmi.“[4] V rámci svých pracovních aktivit má totiž většina lidí největší příležitost navazovat a rozvíjet vztahy s vnějším okolím, a proto právo na respektování soukromého života zahrnuje i právo na respektování soukromí v zaměstnání, neboť z tohoto rozhodnutí vyplývá, že v rámci pracoviště existuje ve vztahu k zaměstnanci značná míra soukromí, se kterou je nutné počítat a kterou je třeba chránit.

Týž soud se v rozsudku ve věci Coplandová v. Spojené království ze dne 3. dubna 2007, stížnost č. 62617/00, v §§ 41 a 44 vyslovil k otázce soukromí na pracovišti: „Na telefonní hovory z firemních prostor se podle předchozí judikatury soudu zcela jasně vztahují pojmy „soukromý život“ a „korespondence“ uvedené v čl. 8 odst. 1 [evropské Úmluvy o ochraně lidských práv a základních svobod, CETS 005, vyhlášené pod č. 209/1992 Sb.]… Z toho logicky vyplývá, že obdobně e-maily odesílané z práce by měly spadat pod ochranu podle čl. 8 stejně jako informace pocházející ze sledování osobního užívání internetu… Soud se domnívá, že shromažďování a uchovávání osobních informací bez vědomí stěžovatelky souvisejících s jejím telefonováním a používáním e-mailu a internetu, znamenalo narušení jejího práva na respektování soukromého života a korespondence podle čl. 8.“[5]

Na základě čl. 29 směrnice 95/46/ES Evropského parlamentu a Rady, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, byla zřízena v rámci Evropské komise Pracovní skupina 29 („WP29“). WP29 má poradní a nezávislý status a vydává stanoviska s výkladem směrnice 95/46/ES, aby byla zajištěna jednotná aplikace národních předpisů o ochraně osobních údajů. Takovým stanoviskem k dané věci bylo WP 48 – stanovisko č. 8/2001, o zpracování osobních údajů v kontextu zaměstnání, ze dne 13. září 2001.

Pracovní poměr má vyživovací (alimentační) charakter, zaměstnanec je na něj zpravidla odkázán svým živobytím, a proto ho právo zvýšenou měrou reguluje, zhusta ve prospěch zaměstnance. Pravidlem je úzký osobní vztah mezi zaměstnancem a jeho nadřízeným, byť ten může být v některých specifických případech oslaben, např. u zaměstnanců pracujících doma nebo podomních prodejců. I ti sice vykonávají pro zaměstnavatele nesamostatnou práci, avšak nemusejí a nebývají se zaměstnavatelem v bližším kontaktu, vyjma e-mailu nebo telefonu, a vzájemně se s ním téměř neznají. Je-li důvěra mimoprávně poškozena, právo obvykle není schopno tento nežádoucí stav zhojit. Snaha míru nedůvěry zaměstnavatele k zaměstnanci objektivizovat prostřednictvím monitoringu nemůže vést k úspěchu.

První vůdčí zásadou proto je zásada proporcionality, tedy, že na základě principu poměrnosti/úměrnosti (proporcionality) musejí být oprávnění zaměstnance v rovnováze s legitimními oprávněními a zájmy zaměstnavatele, což vychází z rozložení oprávnění a povinností zaměstnance a zaměstnavatele v rámci pracovněprávního vztahu. Zaměstnanec očekává, že také v pracovním právu bude přiměřeně zachováno jeho právo na soukromí, jehož součástí je i právo na ochranu jeho osobních údajů, a že tato práva bude zaměstnavatel respektovat. Oprávněním zaměstnavatele je vyžadovat efektivní práci zaměstnance a chránit své aktivity před nebezpečími jako je trestná činnost či škoda způsobená zaměstnancem. Zaměstnavatel je oprávněn požadovat, aby zaměstnanec své soukromé záležitosti v pracovní době a na pracovišti vyřizoval pouze v přiměřené a nezbytné míře.

Při zkoumání oprávnění zaměstnavatele je třeba vycházet z § 316 odst. 1 NZP, který zaměstnancům zakazuje používat výrobní a pracovní prostředky zaměstnavatele pro svou osobní potřebu bez jeho souhlasu, včetně implicitního. Dodržování tohoto zákazu je zaměstnavatel oprávněn přiměřeným způsobem dozorovat. Dozorem se však nerozumí monitoring, zejména obsahu zasílaných zpráv či hovorů, který je přípustný pouze výjimečně, za níže stanovených podmínek.

Druhou vůdčí zásadou při hledání souladu práv a povinností zaměstnanců a zaměstnavatelů je zásada přiměřenosti (adekvátnosti), již je třeba aplikovat jako co nejmenší počet shromažďovaných osobních údajů výlučně kategorií odpovídajících účelu, ke kterému zaměstnavatel osobní údaje zpracovává.

Třetím principem je zásada analogie. Nové informační technologie je vhodné připodobnit starým technologiím (např. poště) a právní normy je regulující používat obdobně. Zaměstnavatelé jsou povinni respektovat lidská práva zaměstnanců, včetně ochrany jejich listovního tajemství a důvěrnosti nebo tajemství dopravovaných zpráv.

Čtvrtým principem je informační povinnost zaměstnavatele podle § 11 zákona o ochraně osobních údajů a §§ 30 a 31 NZP. Informační povinnost správce v rámci pracoviště má dvě roviny. První představují zaměstnanci a ty subjekty, které jsou správci předem známy, že budou pravidelně do monitorovaných prostor docházet. Vůči těmto je třeba splnit informační povinnost v plném rozsahu a předem.

Podle § 31 vůči zaměstnancům je třeba informační povinnost splnit ještě před vznikem pracovněprávního poměru. Vhodným prostředkem pro informaci o všech opatřeních, která zasahují do soukromí zaměstnance, je pracovní řád. Podle § 37 odst. 5 NZP ve spojení s § 11 zákona o ochraně osobních údajů vyplývá, že zaměstnavatel má povinnost seznámit zaměstnance s tímto vnitřním předpisem a splnit tak svou informační povinnost, jestliže ji hodlá plnit jeho prostřednictvím, opět nejpozději při nástupu do práce, jestliže nebylo ze strany zaměstnavatele spojeno informování podle § 31 NZP a § 5 NZP v jedno.

Pro vymezení působnosti stanoviska je klíčový institut pracoviště. Pojem „pracoviště“ není v právním řádu definován. Je používán v různých významech - v širokém a úzkém. V širokém pojetí, které vychází z § 2 odst. 3 zákona 119/1992 Sb., o cestovních náhradách, ve znění pozdějších předpisů, který byl převzat do § 34 odst. 2 nového zákoníku práce, je pracovištěm místo výkonu práce, případně celá obec.[6] Přitom je však zřejmé, že zaměstnavatel může mít více pracovišť. V úzkém pojetí, které vychází z § 134 zákoníku práce z roku 1965 ve znění I. euronovely č. 155/2000 Sb. a které bylo převzato do § 103 nového zákoníku práce, je pracovištěm pracovní místo. Nejedná se však o funkční zařízení, nýbrž např. o židli a pracovní stůl s bezprostředním pracovním okolím.

a) Listovní tajemství

Listovní tajemství platí pro soukromé zásilky bezvýjimečně i na pracovišti. V prvotním třídění se soukromá zásilka od úřední rozezná podle obálky. Soukromá je primárně adresována zaměstnanci jako soukromé osobě (jméno a příjmení je uvedeno na prvním místě) a název zaměstnavatele slouží toliko jako adresní údaj (je uveden až na dalších místech). Naproti tomu úřední zásilka je primárně adresována instituci (její název je uveden na prvním místě) a na dalších místech je případně uvedeno k urychlení poštovního styku jméno zaměstnance jako úřední osoby.[7]

Je-li uvedena doložka „do rukou X. Y.“ nebo „k rukám X. Y.“, je sporné, jak s takovou zásilkou zacházet. Podle převažujícího názoru se jedná o úřední zásilku, podle menšinového o soukromou. S ohledem na přílohu č. 2 poštovních podmínek základní poštovní služby[8] se má postupovat podle prvního názoru s tím, že pokud adresát nebo podatelna zjistí, že se ve skutečnosti jedná o soukromou poštu, nechá dokument ze spisové služby vyřadit, resp. ho do ní vůbec nezařazuje.


b) Elektronická pošta

Elektronické dokumenty (např. soubory typu docx, xlsx, pdf či jpeg) jsou podle § 562 občanského zákoníku písemnostmi, byť nejsou listinami. Proto pro ně platí stejná pravidla jako pro ostatní písemnosti.

Ačkoliv e-mailová adresa patří zaměstnavateli, je-li složena z jména a příjmení zaměstnance např. Jan.Svoboda@doména.cz, je e-mail na ni doručený soukromou elektronickou poštou a taková e-mailová adresa je sama o sobě vždy osobním údajem, avšak takovým osobním údajem, k jehož zpracování je zaměstnavatel oprávněn; včetně jeho zveřejnění, komunikuje-li takový zaměstnanec se třetími osobami. Naproti tomu věcně konstruovaná e-mailová adresa, např. info@doména.cz, je úřední elektronickou adresou, a to i v případě, že ji spravuje pouze jeden zaměstnanec.

Zaměstnavatel není oprávněn sledovat, monitorovat a zpracovávat obsah korespondence svých zaměstnanců. Zaměstnavatel případně smí u svých zaměstnanců pouze sledovat počet došlých a odeslaných e-mailů, případně (tj. zejména vznikne-li podezření ze zneužití pracovních prostředků, resp. využití k jiným než pracovním účelům) včetně hlavičky, tj. komu píší a od koho je dostávají. Tato činnost je zpracováním osobních údajů zaměstnance, byť za uvedených podmínek oprávněným zpracováním, a je tedy nezbytné dodržovat všechny zákonem o ochraně osobních údajů stanovené povinnosti.

Soukromý e-mail zaměstnance smí zaměstnavatel na základě oprávnění daných mu novým zákoníkem práce otevřít a přečíst pouze výjimečně, v zájmu ochrany svých práv, především jestliže je zřejmé, že se jedná o pracovní e-mail, tj. lze-li tento závěr učinit na základě údajů uvedených v hlavičce, a jestliže je pravděpodobné, že z objektivních důvodů, jako je dlouhodobá nemoc zaměstnance, by k jejímu vyřízení zaměstnancem mohlo dojít natolik pozdě, že by zaměstnavatel mohl utrpět újmu na svých právech. Zaměstnavatel tak fakticky využívá svého práva chránit majetek podle nového zákoníku práce. Při nařizování dovolené by měl zaměstnavatel předem přijmout taková opatření k zastupování, aby k poškození soukromí zaměstnance nedošlo.


c) Webové stránky

Při ochraně soukromí zaměstnance při pohybu na webových stránkách je nutno analogicky vycházet z odstavce 26 preambule směrnice o soukromí a elektronických komunikacích: „údaje o účastnících, které jsou zpracovávány v rámci sítí elektronických komunikací pro navázání spojení a přenos informací, obsahují informace o soukromém životě fyzických osob a dotýkají se práva na ochranu jejich korespondence nebo se dotýkají oprávněných zájmů právnických osob. Takové údaje je možno uchovávat pouze v rozsahu, který je nezbytný pro poskytování služby pro účely účtování a platby za propojení, a to po omezenou dobu. Poskytovatelé služeb by měli účastníky vždy informovat o druhu zpracovávaných údajů, účelech a délce trvání takového zpracování“. Jak již bylo řečeno, v zásadě by měl být uživatel o všech monitorovacích nástrojích předem informován.

Sledovat používání webových stránek zaměstnanci pro účely zaměstnavatele tedy možné není, pokud nejsou splněny zákonem stanovené podmínky, tj. závažný důvod spočívající ve zvláštní povaze činnosti zaměstnavatele. Pod tím si lze představit například mezinárodní bankovní převody nebo dozor nad prací vězňů.

Ani statistické sledování využívání přístupu k internetu, například doby strávené „surfováním“ po internetu, není v souladu s novým zákoníkem práce, nejsou-li splněny podmínky stanovené výše. Avšak ničím zde uvedeným nejsou dotčena práva zaměstnavatele postihnout zaměstnance v souladu s pracovněprávními předpisy, jestliže nevyužívá řádně pracovní doby a prostředků, které mu byly zaměstnavatelem svěřeny.


Procesní ustanovení

Ustanovení § 316 odst. 2 a 3 nového zákoníku práce stanoví povinnosti zaměstnavatele, tedy komplementárně též oprávnění zaměstnance. Na základě § 3 odst. 1 písm. a) zákona o inspekci práce jsou ke správnímu dozoru nad ním kompetentní Státní úřad inspekce práce a oblastní inspektoráty práce, přičemž ale není stanoven správní delikt za porušení těchto ustanovení.

Porušením § 316 odst. 2 a 3 nového zákoníku práce může kromě porušení soukromí zaměstnanců dojít též k porušení ochrany osobních údajů zaměstnanců nebo i třetích osob, např. klientů. V tomto případě je kompetentním ke správnímu dozoru též ÚOOÚ.[9]


Závěr

V zásadě platí, že monitorování zaměstnanců je zakázáno, pokud nejsou splněny zvláštní, zákonem stanovené, podmínky. Pokud se zaměstnavatel rozhodne monitorovat zaměstnance, pak musí:

a)     informovat zaměstnance podle § 11 zákona o ochraně osobních údajů a §§ 30 a 31 nového zákoníku práce. V případě monitorování zaměstnanců při používání internetu je součástí informace vysvětlení principů monitorování, jako je například soubor logů apod.;

b)    se všemi zaměstnanci zacházet rovně a

c)     vycházet ze skutečného stavu. Byť zákon umožňuje, aby zaměstnancům byly některé činnosti zaměstnavatelem zakázány, zaměstnavatelem stanovená pravidla by měla odrážet realitu, tj. nezakazovat něco, co je u zaměstnavatele běžnou tolerovanou praxí.

Zároveň by bylo vhodné, aby zaměstnavatelé vydali vnitřní předpis, kde by stanovili jasná pravidla, přičemž platí, že čím má zaměstnavatel více zaměstnanců, tím by pravidla měla být detailnější, protože vztahy na pracovišti jsou pak anonymnější. Nejlepším řešením je, aby tato pravidla byla součástí pracovního řádu.

Při tom by zaměstnavatelé měli zvážit, zda povolí svým zaměstnancům používání internetu pro soukromé účely, např. během přestávek na jídlo a oddech. Lze doporučit zákaz pouze vytipovaných služeb, např. download souborů s mediálním obsahem, chatu a přeposílání řetězových e-mailů.


[1] Právní stav k 1. lednu 2014.

[2] Cf. rozhodnutí ÚOOÚ ze dne 9. února 2007, zn. SPR-0225/07-9.

[3] http://nalus.usoud.cz/Search/ResultDetail.aspx?id=58004

[4] http://cmiskp.echr.coe.int////tkp197/viewhbkm.asp?action=open&table=F69A27FD8FB86142BF01C1166DEA398649&key=468&sessionId=13929620&skin=hudoc-en&attachment=true (DOC), český překlad: http://spcp.prf.cuni.cz/judikat/es27-96.htm

[5] http://cmiskp.echr.coe.int////tkp197/viewhbkm.asp?action=open&table=F69A27FD8FB86142BF01C1166DEA398649&key=61533&sessionId=17144564&skin=hudoc-en&attachment=true (DOC)

[6] Eva Dandová: Výklad ustanovení § 134 zák. č. 65/1965 Sb. (zákoníku práce). ASPI: 18818.

[7] Podle čl. 4 odst. 7 rozhodnutí Českého telekomunikačního úřadu čj. 40106/05-608, ve znění rozhodnutí čj. 43575/05-608, čj. 10 610/2006-608, čj. 26 701/2006-608, čj. 31 482/2006-608, čj. 32 763/2006-608, čj. 42 856/2006-608, čj. 56 854/2006-608, čj. 56 855/2006-608, čj. 61 853/2006-608, čj. 2 923/2007-608, čj. 17 088/2007-608, čj. 19 617/2007-608, čj. 33 117/2007-608, čj. 40 328/2007-608, čj. 57 147/2007-608, čj. 63 088/2007-608, čj. 75 263/2007-608 a čj. 82 545/2007-608: „Je-li v poštovní adrese uvedena na prvém místě právnická osoba a na druhém místě fyzická osoba, za adresáta se považuje právnická osoba. Je-li v poštovní adrese uvedeno na prvém místě jméno a příjmení fyzické osoby a na druhém místě označení právnické osoby, za adresáta se považuje fyzická osoba s tím, že poštovní zásilka má být dodána prostřednictvím této právnické osoby. Je-li v poštovní adrese namísto jména a příjmení určité fyzické osoby uvedena pouze její funkce v právnické osobě, za adresáta se považuje právnická osoba.“

[8] http://www.cpost.cz/data/psc/zps.zip

[9] Rozhodnutí ÚOOÚ zn. REG-3554/07-8.

 

Odkazy


 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 21.3.2013 / 21.3.2013

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém