SlideShare a Scribd company logo

Monitorování zaměstnanců a vliv GDPR

P
PIERSTONE

Vývoj nových technologií přináší zaměstnavatelům širokou škálu nových způsobů, jak získat o zaměstnancích velké množství údajů při relativně malém úsilí i nízkých nákladech. Systematické zpracovávání osobních údajů v rámci pracovních vztahů ale podléhá řadě právních omezení vyplývajících již ze současné výkladové a rozhodovací praxe a do budoucna také z výkladových stanovisek k Obecnému nařízení o ochraně osobních údajů (GDPR).

Law
1 of 2
Download to read offline
24 COMPUTERWORLD 5 | 2018 IT V PRAXI | GDPR Monitorování zaměstnanců a vliv GDPR JANA PATTYNOVÁ, MICHAELA MILATOVÁ Vývoj nových technologií přináší zaměstnavatelům širokou škálu nových způsobů, jak získat o zaměstnancích velké množství údajů při relativně malém úsilí i nízkých nákladech. Systematické zpracovávání osobních údajů v rámci pracovních vztahů ale podléhá řadě právních omezení vyplývajících již ze současné výkladové a rozhodovací praxe a do budoucna také z výkladových stanovisek k Obecnému nařízení o ochraně osobních údajů (GDPR). N a úvod je potřeba říci, že ochrana soukromí za- městnance není žádnou novotou, jak by se mohlo zdát ve světle horlivé debaty o zavedení GDPR. Právo na soukromý život už mnoho let garantují jak Evropská úmluva o ochraně lidských práv a svobod, tak Listina základních práv a svobod. I podle zákoníku práce už dávno platí, že zaměstna- vatel nesmí bez závažného důvodu narušovat soukromí zaměstnance tím, že by jej podroboval otevřenému nebo skrytému sledování, odposlechu či kontrole elek- tronické nebo papírové pošty určené pracovníkovi. Ochrana osobních údajů (nejen zaměstnanců) však v souvislosti s novou úpravou nabývá konkrétnějších obrysů. Kromě povinností podle GDPR je také vhodné vzít na vědomí, že v nedávné době bylo vydáno několik stanovisek a soudních rozhodnutí, která se ochrany soukromí zaměstnanců přímo dotýkají. Mezi nejdůležitější patří rozhodnutí Evropského soudu pro lidská práva ve věci Barbulescu vs. Rumun- Účelemmonito- ringubynemělabýt kontrolazaměstnan- ce,aleochrana majetkuzaměstna- vatelea zajištění bezpečnostiosob, případnědat,přede- všímpakosobních. sko ze dne 5. 9. 2017 či Názor pracovní skupiny WP29 č. 2/2017 o zpracování osobních údajů na pracovišti („Stanovisko WP29“). Uvedené dokumenty mají významný vliv na práva a povinnosti zaměstnavatelů při nasazování technolo- gií, jejichž primárním účelem či vedlejším efektem je shromažďování informací o chování zaměstnanců v pracovní době, případně i v době osobního volna. Mezi nejčastější technologické nástroje, na které se uplatní právní omezení, patří monitorování času strá- veného na aplikacích, monitorování komunikace s ur- čitým obsahem (DLP nebo TLS technologie), monito- rování tisku, GPS ve služebních vozidlech nebo např. lokalizace mobilních zařízení či jiného hardwaru po- užívaného zaměstnanci. 1Proporční zásahy a zásada minimalizace Monitorování využití IT prostředků zaměstnanci není přímo nezákonné, avšak podléhá právním omezením podle účelu takového monitoringu a míry zásahu do soukromí zaměstnance. Primárním účelem monitoringu by ale neměla být kontrola plnění pracov- ních povinností zaměstnance či jeho výkonnosti. Jako legitimní účel sledování využití IT prostředků se připouští zejména ochrana majetku zaměstnavatele a zajištění bezpečnosti osob, případně bezpečnosti dat, především pak osobních údajů (např. údajů zákazníků). V některých případech bude zavedení daného opat- ření také nutné z důvodu plnění zákonné povinnosti (např. v oblasti kybernetické bezpečnosti ve vztahu ke hlášení incidentů či povinnosti zajistit bezpečnost za- městnanců), případně povinnosti smluvní (např. záva- zek zpracovatele osobních údajů vůči správci, že pří- stupy zaměstnanců k určitým datovým souborům bu- dou logované). Zároveň využití nástrojů monitorujících koncová zařízení zaměstnanců podléhá přísnému testu propor- cionality (přiměřenosti) – tedy zhodnocení přínosů a nezbytnosti opatření pro zaměstnavatele v porovnání se zásahem do soukromí zaměstnance. Je třeba vždy zvážit taková řešení, která umožňují minimální zásah do soukromí zaměstnanců. Jakkoli se tyto zásady mohou zdát obecné a v praxi neuplatnitelné, dozorové orgány a soudní rozhodnutí z nich dovozují konkrétní pravidla pro jednotlivé typy technologií. Některá z těchto pravidel uvádíme níže. 2Monitoring e-mailu a webu Z výše uvedené zásady minimalizace v praxi Sta- novisko WP29 dovozuje ve vztahu k monitoringu elektronické pošty zaměstnanců (který je jinak plošně zakázán), že by zaměstnavatel měl zavést takové ře- šení, které umožní monitoring limitovat pouze na e-maily, které se zaměstnanec pokusí odeslat, ačkoliv CW5-24-25.indd 24CW5-24-25.indd 24 4/20/18 14:36 PM4/20/18 14:36 PM
COMPUTERWORLD.CZ 25 GDPR | IT V PRAXI byl při prvním pokusu systémem upozorněn na citli- vost údajů v e-mailu obsažených. U monitorování komunikace zaměstnanců WP29 obecně doporučuje využívat technologie DLP (Data Loss Prevention) spíše než TLS (Protokol Transport Layer Security), přičemž zaměstnanci by měli být do- předu transparentně seznámeni s klíčovými slovy či typy údajů, které tyto technologie vyhledávají (např. čísla kreditních karet, rodná čísla apod.). V případě ochrany majetku zaměstnavatele před in- ternetovými viry se považuje za legitimní např. plošně blokovat přístup na konkrétní weby namísto plošného sledování přístupu zaměstnancům k veškerým interne- tovým stránkám. Obecně by se nástroje prevence (blokování určitých stránek či automatické upozorňování zaměstnanců, že odesílají citlivý obsah) měly preferovat před soustav- ným monitorováním činnosti pracovníků (tedy kon- trole, jaké stránky navštěvují či jaký obsah odesílají). 3Monitoring elektronických zařízení Vzhledem k technologickým možnostem sledo- vání využívání technologií se doporučuje, aby za- městnanci měli možnost mít v elektronických zaříze- ních svou soukromou sféru, do které zaměstnavatel nemá přístup. Jako příklad WP29 uvádí kalendář, ve kterém by schůzky označené jako „soukromé“ neměli zaměstnavatel ani kolegové vidět. Pokud zaměstnavatel umožňuje užití soukromých zařízení zaměstnancem (tzv. BYOD), měl by tuto sou- kromou sféru ještě více posílit a chránit. V testu pro- porcionality aplikovaném v případě BYOD představuje soukromí zaměstnance silnější zájem oproti zájmům zaměstnavatele vzhledem k tomu, že se zařízení vy- užívá i pro soukromé účely. Doporučují se v tomto ohledu tzv. sandboxing ná- stroje, které uchovávají data v určité aplikaci odděleně. Problematické je ve vztahu k BYOD také zejména jaké- koli monitorování polohy zařízení (zejm. MAC adresy). Prostřednictvím správy mobilních zařízení (MDM) je také technicky možné sledovat na dálku polohu zaří- zení (tedy i zaměstnance), dělat specifické konfigurace či instalovat aplikace. Při využití MDM vždy musí za- městnavatel zvažovat, zda nelze dosáhnout oprávně- ného zájmu zaměstnavatele (zpravidla ochrany majet- ku) jinou, méně invazivní cestou. Jako příklad takového opatření lze uvést nastavení sledování polohy, které umožní, aby údaje o poloze nebyly dostupné zaměstnavateli nepřetržitě, ale např. jen v případě ztráty zařízení nahlášené zaměstnancem. 4Proces zavádění monitorovacích opatření a jeho transparentnost Zaměstnavatelé často mylně předpokládají, že pro zavedení určitého monitorovacího opatření postačí souhlas pracovníka. Zde je nutné upozornit, že zaměst- nanci v pracovněprávních vztazích vystupují jako slabší strana, které právo poskytuje zvláštní ochranu. Je tomu tak zejména s ohledem na finanční a existenční závis- lost zaměstnanců na zaměstnavateli. Pracovníci mohou udělit svobodný souhlas jen za výjimečných okolností, kdy odmítnutí souhlasu nebude mít pro ně žádné negativní následky. V důsledku toho je zpravidla nutné monitorovací opatření nezakládat na souhlasu zaměstnanců, ale na jiných právních titu- lech (nejčastěji na oprávněném zájmu). Je také nutné zmínit, že proces sledování zaměst- nanců musí být co nejvíce transparentní. Pracovníci by měli být vždy jasně a plně informovaní o zavedených monitorovacích opatřeních, jakož i o možnostech, jak mohou uplatňovat svá práva a povinnosti související s těmito opatřeními, například prostřednictvím vnitř- ního předpisu (často zvaného také „Privacy Policy“). To potvrdil i Evropský soud pro lidská práva v již zmiňovaném rozhodnutí Barbulescu vs. Rumunsko. Jako jedno z hodnoticích hledisek oprávněnosti moni- toringu elektronické korespondence uvedl to, zda byl zaměstnanec jasně dopředu upozorněn na možnost svého sledování a na rozsah a charakter přijatých opatření. 5Posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů (DPIA) Podle GDPR platí, že pokud je pravděpodobné, že ur- čitý druh zpracování, zejména při využití nových tech- nologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, bude mít za následek vysoké ri- ziko pro práva a svobody subjektů údajů, je společnost povinna před zpracováním vykonat DPIA. Podle výše zmiňovaného stanoviska je v případě mo- nitoringu využívání IT prostředků zaměstnanci vždy nutné před rozhodnutím, že se takové zpracování bude realizovat, DPIA vykonat. Obezřetnost především K využití opatření pro monitoring zaměstnanců je tedy potřeba přistupovat opatrně, důkladně zvážit veškeré možnosti, které se pro dosažení daného účelu nabízejí, a vybrat tu možnost, jež představuje nejmenší zásah do soukromí zaměstnance. Pokud je zásah do soukromí za některých okolností skutečně nezbytný, je nutné, aby zaměstnanci byli o možnostech, okolnostech a případných následcích takového zásahu předem jasně informovaní. ■ Autorky pracují v advokátní kanceláři Pierstone Zaměstnavatelé častomylněpřed- pokládají,žepro zavedeníurčitého monitorovacího opatřenípostačísou- hlaspracovníka. Základní pravidla při monitoringu využití IT zaměstnanci 1. Plošný monitoring elektronické pošty zaměstnanců je zakázaný. Doporučuje se např. takové řešení, které umožní monitoring pouze těch e-mailů, které se zaměstnanec pokusí odeslat, ačkoliv byl při prv- ním pokusu systémem upozorněn na citlivost údajů v e-mailu obsažených. 2. DLP technologie mají přednost před TLS řešeními. Zaměstnanci by měli být dopředu transparentně se- známeni s klíčovými slovy či typy údajů, které tyto technologie vyhledávají. 3. Nástroje prevence (blokování určitých stránek, automatické upozorňování na odesílání citlivého obsahu) se preferují před soustavným monitorováním činnosti zaměstnanců (kontrolou navštěvovaných stránek či odesílaného obsahu). 4.Je vhodné umožnit zaměstnancům mít v elektronických zařízeních soukromou sféru, do které zaměstna- vatel nemá přístup (např. soukromý kalendář). 5. Údaje o poloze by neměly být dostupné zaměstnavateli nepřetržitě, ale např. jen v případě ztráty zaří- zení nahlášené zaměstnancem. 6. Monitorovací opatření nelze zakládat na souhlasu zaměstnanců se zpracováním osobních údajů, ale na jiných právních titulech (nejčastěji na oprávněném zájmu). 7. Před rozhodnutím zaměstnavatele, že bude uskutečňovat monitoring, je vždy nutné vykonat DPIA (po- souzení vlivu zamýšlených operací zpracování na ochranu osobních údajů). Zaujal vás tento příspěvek? Čtěte související články s příbuznou tematikou on line. CW5-24-25.indd 25CW5-24-25.indd 25 4/20/18 14:36 PM4/20/18 14:36 PM

Recommended

GDPRlive 13.6.2017
GDPRlive 13.6.2017 GDPRlive 13.6.2017
GDPRlive 13.6.2017 Targito
 
Ochrana osobních údajů a bezpečnost dat - novinky v GDPR
Ochrana osobních údajů a bezpečnost dat - novinky v GDPROchrana osobních údajů a bezpečnost dat - novinky v GDPR
Ochrana osobních údajů a bezpečnost dat - novinky v GDPRPIERSTONE
 
GDPR newsletter
GDPR newsletterGDPR newsletter
GDPR newsletterPIERSTONE
 
Co znamená GDPR pro digitální marketing v EU
Co znamená GDPR pro digitální marketing v EUCo znamená GDPR pro digitální marketing v EU
Co znamená GDPR pro digitální marketing v EUGauss Algorithmic
 
Prezentace: Data retention v ČR v praxi
Prezentace: Data retention v ČR v praxiPrezentace: Data retention v ČR v praxi
Prezentace: Data retention v ČR v praxiIuridicum Remedium
 
Informační bezpečnost
Informační bezpečnostInformační bezpečnost
Informační bezpečnostCEINVE
 
Bezpečnst ICT pro zdravotnická zařízení
Bezpečnst ICT pro zdravotnická zařízeníBezpečnst ICT pro zdravotnická zařízení
Bezpečnst ICT pro zdravotnická zařízeníTomáš Hamr
 
Data Governance a datová kvalita v roce 2017. Příprava na GDPR.
Data Governance a datová kvalita v roce 2017. Příprava na GDPR.Data Governance a datová kvalita v roce 2017. Příprava na GDPR.
Data Governance a datová kvalita v roce 2017. Příprava na GDPR.Profinit
 

Recommended

GDPRlive 13.6.2017
GDPRlive 13.6.2017 GDPRlive 13.6.2017
GDPRlive 13.6.2017 Targito
 
Ochrana osobních údajů a bezpečnost dat - novinky v GDPR
Ochrana osobních údajů a bezpečnost dat - novinky v GDPROchrana osobních údajů a bezpečnost dat - novinky v GDPR
Ochrana osobních údajů a bezpečnost dat - novinky v GDPRPIERSTONE
 
GDPR newsletter
GDPR newsletterGDPR newsletter
GDPR newsletterPIERSTONE
 
Co znamená GDPR pro digitální marketing v EU
Co znamená GDPR pro digitální marketing v EUCo znamená GDPR pro digitální marketing v EU
Co znamená GDPR pro digitální marketing v EUGauss Algorithmic
 
Prezentace: Data retention v ČR v praxi
Prezentace: Data retention v ČR v praxiPrezentace: Data retention v ČR v praxi
Prezentace: Data retention v ČR v praxiIuridicum Remedium
 
Informační bezpečnost
Informační bezpečnostInformační bezpečnost
Informační bezpečnostCEINVE
 
Bezpečnst ICT pro zdravotnická zařízení
Bezpečnst ICT pro zdravotnická zařízeníBezpečnst ICT pro zdravotnická zařízení
Bezpečnst ICT pro zdravotnická zařízeníTomáš Hamr
 
Data Governance a datová kvalita v roce 2017. Příprava na GDPR.
Data Governance a datová kvalita v roce 2017. Příprava na GDPR.Data Governance a datová kvalita v roce 2017. Příprava na GDPR.
Data Governance a datová kvalita v roce 2017. Příprava na GDPR.Profinit
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data ScienceChristy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

More Related Content

Featured

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Featured (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

Monitorování zaměstnanců a vliv GDPR

  • 1. 24 COMPUTERWORLD 5 | 2018 IT V PRAXI | GDPR Monitorování zaměstnanců a vliv GDPR JANA PATTYNOVÁ, MICHAELA MILATOVÁ Vývoj nových technologií přináší zaměstnavatelům širokou škálu nových způsobů, jak získat o zaměstnancích velké množství údajů při relativně malém úsilí i nízkých nákladech. Systematické zpracovávání osobních údajů v rámci pracovních vztahů ale podléhá řadě právních omezení vyplývajících již ze současné výkladové a rozhodovací praxe a do budoucna také z výkladových stanovisek k Obecnému nařízení o ochraně osobních údajů (GDPR). N a úvod je potřeba říci, že ochrana soukromí za- městnance není žádnou novotou, jak by se mohlo zdát ve světle horlivé debaty o zavedení GDPR. Právo na soukromý život už mnoho let garantují jak Evropská úmluva o ochraně lidských práv a svobod, tak Listina základních práv a svobod. I podle zákoníku práce už dávno platí, že zaměstna- vatel nesmí bez závažného důvodu narušovat soukromí zaměstnance tím, že by jej podroboval otevřenému nebo skrytému sledování, odposlechu či kontrole elek- tronické nebo papírové pošty určené pracovníkovi. Ochrana osobních údajů (nejen zaměstnanců) však v souvislosti s novou úpravou nabývá konkrétnějších obrysů. Kromě povinností podle GDPR je také vhodné vzít na vědomí, že v nedávné době bylo vydáno několik stanovisek a soudních rozhodnutí, která se ochrany soukromí zaměstnanců přímo dotýkají. Mezi nejdůležitější patří rozhodnutí Evropského soudu pro lidská práva ve věci Barbulescu vs. Rumun- Účelemmonito- ringubynemělabýt kontrolazaměstnan- ce,aleochrana majetkuzaměstna- vatelea zajištění bezpečnostiosob, případnědat,přede- všímpakosobních. sko ze dne 5. 9. 2017 či Názor pracovní skupiny WP29 č. 2/2017 o zpracování osobních údajů na pracovišti („Stanovisko WP29“). Uvedené dokumenty mají významný vliv na práva a povinnosti zaměstnavatelů při nasazování technolo- gií, jejichž primárním účelem či vedlejším efektem je shromažďování informací o chování zaměstnanců v pracovní době, případně i v době osobního volna. Mezi nejčastější technologické nástroje, na které se uplatní právní omezení, patří monitorování času strá- veného na aplikacích, monitorování komunikace s ur- čitým obsahem (DLP nebo TLS technologie), monito- rování tisku, GPS ve služebních vozidlech nebo např. lokalizace mobilních zařízení či jiného hardwaru po- užívaného zaměstnanci. 1Proporční zásahy a zásada minimalizace Monitorování využití IT prostředků zaměstnanci není přímo nezákonné, avšak podléhá právním omezením podle účelu takového monitoringu a míry zásahu do soukromí zaměstnance. Primárním účelem monitoringu by ale neměla být kontrola plnění pracov- ních povinností zaměstnance či jeho výkonnosti. Jako legitimní účel sledování využití IT prostředků se připouští zejména ochrana majetku zaměstnavatele a zajištění bezpečnosti osob, případně bezpečnosti dat, především pak osobních údajů (např. údajů zákazníků). V některých případech bude zavedení daného opat- ření také nutné z důvodu plnění zákonné povinnosti (např. v oblasti kybernetické bezpečnosti ve vztahu ke hlášení incidentů či povinnosti zajistit bezpečnost za- městnanců), případně povinnosti smluvní (např. záva- zek zpracovatele osobních údajů vůči správci, že pří- stupy zaměstnanců k určitým datovým souborům bu- dou logované). Zároveň využití nástrojů monitorujících koncová zařízení zaměstnanců podléhá přísnému testu propor- cionality (přiměřenosti) – tedy zhodnocení přínosů a nezbytnosti opatření pro zaměstnavatele v porovnání se zásahem do soukromí zaměstnance. Je třeba vždy zvážit taková řešení, která umožňují minimální zásah do soukromí zaměstnanců. Jakkoli se tyto zásady mohou zdát obecné a v praxi neuplatnitelné, dozorové orgány a soudní rozhodnutí z nich dovozují konkrétní pravidla pro jednotlivé typy technologií. Některá z těchto pravidel uvádíme níže. 2Monitoring e-mailu a webu Z výše uvedené zásady minimalizace v praxi Sta- novisko WP29 dovozuje ve vztahu k monitoringu elektronické pošty zaměstnanců (který je jinak plošně zakázán), že by zaměstnavatel měl zavést takové ře- šení, které umožní monitoring limitovat pouze na e-maily, které se zaměstnanec pokusí odeslat, ačkoliv CW5-24-25.indd 24CW5-24-25.indd 24 4/20/18 14:36 PM4/20/18 14:36 PM
  • 2. COMPUTERWORLD.CZ 25 GDPR | IT V PRAXI byl při prvním pokusu systémem upozorněn na citli- vost údajů v e-mailu obsažených. U monitorování komunikace zaměstnanců WP29 obecně doporučuje využívat technologie DLP (Data Loss Prevention) spíše než TLS (Protokol Transport Layer Security), přičemž zaměstnanci by měli být do- předu transparentně seznámeni s klíčovými slovy či typy údajů, které tyto technologie vyhledávají (např. čísla kreditních karet, rodná čísla apod.). V případě ochrany majetku zaměstnavatele před in- ternetovými viry se považuje za legitimní např. plošně blokovat přístup na konkrétní weby namísto plošného sledování přístupu zaměstnancům k veškerým interne- tovým stránkám. Obecně by se nástroje prevence (blokování určitých stránek či automatické upozorňování zaměstnanců, že odesílají citlivý obsah) měly preferovat před soustav- ným monitorováním činnosti pracovníků (tedy kon- trole, jaké stránky navštěvují či jaký obsah odesílají). 3Monitoring elektronických zařízení Vzhledem k technologickým možnostem sledo- vání využívání technologií se doporučuje, aby za- městnanci měli možnost mít v elektronických zaříze- ních svou soukromou sféru, do které zaměstnavatel nemá přístup. Jako příklad WP29 uvádí kalendář, ve kterém by schůzky označené jako „soukromé“ neměli zaměstnavatel ani kolegové vidět. Pokud zaměstnavatel umožňuje užití soukromých zařízení zaměstnancem (tzv. BYOD), měl by tuto sou- kromou sféru ještě více posílit a chránit. V testu pro- porcionality aplikovaném v případě BYOD představuje soukromí zaměstnance silnější zájem oproti zájmům zaměstnavatele vzhledem k tomu, že se zařízení vy- užívá i pro soukromé účely. Doporučují se v tomto ohledu tzv. sandboxing ná- stroje, které uchovávají data v určité aplikaci odděleně. Problematické je ve vztahu k BYOD také zejména jaké- koli monitorování polohy zařízení (zejm. MAC adresy). Prostřednictvím správy mobilních zařízení (MDM) je také technicky možné sledovat na dálku polohu zaří- zení (tedy i zaměstnance), dělat specifické konfigurace či instalovat aplikace. Při využití MDM vždy musí za- městnavatel zvažovat, zda nelze dosáhnout oprávně- ného zájmu zaměstnavatele (zpravidla ochrany majet- ku) jinou, méně invazivní cestou. Jako příklad takového opatření lze uvést nastavení sledování polohy, které umožní, aby údaje o poloze nebyly dostupné zaměstnavateli nepřetržitě, ale např. jen v případě ztráty zařízení nahlášené zaměstnancem. 4Proces zavádění monitorovacích opatření a jeho transparentnost Zaměstnavatelé často mylně předpokládají, že pro zavedení určitého monitorovacího opatření postačí souhlas pracovníka. Zde je nutné upozornit, že zaměst- nanci v pracovněprávních vztazích vystupují jako slabší strana, které právo poskytuje zvláštní ochranu. Je tomu tak zejména s ohledem na finanční a existenční závis- lost zaměstnanců na zaměstnavateli. Pracovníci mohou udělit svobodný souhlas jen za výjimečných okolností, kdy odmítnutí souhlasu nebude mít pro ně žádné negativní následky. V důsledku toho je zpravidla nutné monitorovací opatření nezakládat na souhlasu zaměstnanců, ale na jiných právních titu- lech (nejčastěji na oprávněném zájmu). Je také nutné zmínit, že proces sledování zaměst- nanců musí být co nejvíce transparentní. Pracovníci by měli být vždy jasně a plně informovaní o zavedených monitorovacích opatřeních, jakož i o možnostech, jak mohou uplatňovat svá práva a povinnosti související s těmito opatřeními, například prostřednictvím vnitř- ního předpisu (často zvaného také „Privacy Policy“). To potvrdil i Evropský soud pro lidská práva v již zmiňovaném rozhodnutí Barbulescu vs. Rumunsko. Jako jedno z hodnoticích hledisek oprávněnosti moni- toringu elektronické korespondence uvedl to, zda byl zaměstnanec jasně dopředu upozorněn na možnost svého sledování a na rozsah a charakter přijatých opatření. 5Posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů (DPIA) Podle GDPR platí, že pokud je pravděpodobné, že ur- čitý druh zpracování, zejména při využití nových tech- nologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, bude mít za následek vysoké ri- ziko pro práva a svobody subjektů údajů, je společnost povinna před zpracováním vykonat DPIA. Podle výše zmiňovaného stanoviska je v případě mo- nitoringu využívání IT prostředků zaměstnanci vždy nutné před rozhodnutím, že se takové zpracování bude realizovat, DPIA vykonat. Obezřetnost především K využití opatření pro monitoring zaměstnanců je tedy potřeba přistupovat opatrně, důkladně zvážit veškeré možnosti, které se pro dosažení daného účelu nabízejí, a vybrat tu možnost, jež představuje nejmenší zásah do soukromí zaměstnance. Pokud je zásah do soukromí za některých okolností skutečně nezbytný, je nutné, aby zaměstnanci byli o možnostech, okolnostech a případných následcích takového zásahu předem jasně informovaní. ■ Autorky pracují v advokátní kanceláři Pierstone Zaměstnavatelé častomylněpřed- pokládají,žepro zavedeníurčitého monitorovacího opatřenípostačísou- hlaspracovníka. Základní pravidla při monitoringu využití IT zaměstnanci 1. Plošný monitoring elektronické pošty zaměstnanců je zakázaný. Doporučuje se např. takové řešení, které umožní monitoring pouze těch e-mailů, které se zaměstnanec pokusí odeslat, ačkoliv byl při prv- ním pokusu systémem upozorněn na citlivost údajů v e-mailu obsažených. 2. DLP technologie mají přednost před TLS řešeními. Zaměstnanci by měli být dopředu transparentně se- známeni s klíčovými slovy či typy údajů, které tyto technologie vyhledávají. 3. Nástroje prevence (blokování určitých stránek, automatické upozorňování na odesílání citlivého obsahu) se preferují před soustavným monitorováním činnosti zaměstnanců (kontrolou navštěvovaných stránek či odesílaného obsahu). 4.Je vhodné umožnit zaměstnancům mít v elektronických zařízeních soukromou sféru, do které zaměstna- vatel nemá přístup (např. soukromý kalendář). 5. Údaje o poloze by neměly být dostupné zaměstnavateli nepřetržitě, ale např. jen v případě ztráty zaří- zení nahlášené zaměstnancem. 6. Monitorovací opatření nelze zakládat na souhlasu zaměstnanců se zpracováním osobních údajů, ale na jiných právních titulech (nejčastěji na oprávněném zájmu). 7. Před rozhodnutím zaměstnavatele, že bude uskutečňovat monitoring, je vždy nutné vykonat DPIA (po- souzení vlivu zamýšlených operací zpracování na ochranu osobních údajů). Zaujal vás tento příspěvek? Čtěte související články s příbuznou tematikou on line. CW5-24-25.indd 25CW5-24-25.indd 25 4/20/18 14:36 PM4/20/18 14:36 PM