Ochrana soukromí zaměstnanců: Jaké údaje nemá zaměstnavatel právo získat?

V našem digitálním věku jsou informace nejvyšší hodnotou. Neviditelné propracované algoritmy sledují každé naše kliknutí na internetu a vytvářejí náš detailní portrét pro cílenou reklamu. Sociální média o nás vědí a mohou o nás říct víc, než je nám příjemné přiznat. Dokonce i naši zaměstnavatelé mohou sledovat vše, co děláme mezi zdmi kanceláře - a někdy i mimo ni.

V roce 2022 přišel americký účetní o práci poté, co se zúčastnil Světové jízdy nahých cyklistů. Jeho koníček nesouvisel s jeho kariérou; během jízdy byl mimo pracovní dobu a nezveřejňoval své fotografie na internetu. Přesto se ho jeho šéf rozhodl vyhodit poté, co na snímku zveřejněném jiným účastníkem uviděl známou tvář.

Tento případ není ojedinělý. Zaměstnavatelé mohou shromažďovat rozsáhlé údaje o svých zaměstnancích, od základních kontaktních údajů a minulých pracovních zkušeností až po informace o zdravotním stavu a politických názorech. Shromažďování základních údajů je nezbytné pro mzdovou agendu, řízení výkonnosti nebo jiné legitimní obchodní účely. Shromažďování dalších osobních informací a přijímání manažerských rozhodnutí na jejich základě je nezákonné a neetické, ale kde je hranice?

Tento článek se pokouší tuto hranici vymezit a zabývá se zásadní otázkou, jaké údaje zaměstnavatelé nemají právo získávat. Naším cílem je nakonec poskytnout výchozí bod pro pochopení hranic, které musí zaměstnavatelé při shromažďování údajů o zaměstnancích respektovat.

Hranice údajů, které může zaměstnavatel shromažďovat, jsou dány právními předpisy o ochraně osobních údajů a pracovněprávními předpisy. Tyto zákony se však mohou ve světě výrazně lišit. V tomto článku se budeme stručně zabývat pouze několika klíčovými jurisdikcemi. Chcete-li se dozvědět o právních zvláštnostech ve vaší oblasti, doporučujeme poradit se s právníkem.

Stojí za zmínku, že většina zákonů o ochraně osobních údajů se výslovně nevztahuje na shromažďování údajů na pracovišti. Místo toho stanoví obecné požadavky na nakládání s osobními údaji, které by měly být později interpretovány pro vztahy mezi zaměstnavatelem a zaměstnancem. Pro účely tohoto článku budeme tyto zákony popisovat pomocí pojmů "zaměstnavatel" a "zaměstnanec".

• Zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA) je klíčovým zákonem na ochranu zdravotních informací zaměstnanců. Omezuje přístup zaměstnavatelů ke zdravotním záznamům zaměstnanců a stanoví, že mohou být použity a zveřejněny pouze pro konkrétní účely a se souhlasem pacienta.

• Zákon o zdravotně postižených (ADA) chrání osoby se zdravotním postižením před diskriminací. Tento zákon také omezuje přístup zaměstnavatele ke zdravotním informacím o zaměstnancích. Zaměstnavatel může zejména získat lékařské informace pouze v případě, že souvisejí s prací, nebo pokud zaměstnanec potřebuje specifické úpravy pro své postižení.

• Zákon o spravedlivém úvěrovém zpravodajství (FCRA) upravuje způsob, jakým zaměstnavatelé shromažďují, používají a zveřejňují informace o bonitě zaměstnanců. Zaměstnavatelé obecně potřebují před získáním informací o bonitě zaměstnance přípustný účel (např. prověrku) a písemný souhlas zaměstnance.

• Národní zákon o pracovních vztazích (NLRA) chrání zejména práva zaměstnanců na vzájemnou diskusi o pracovních podmínkách, a to i prostřednictvím sociálních médií. Nezaručuje však úplné soukromí na sociálních sítích a zaměstnavatelé mohou mít určitý prostor pro potrestání zaměstnanců za příspěvky považované za rušivé nebo ohrožující pracoviště.

• Zákon o ochraně soukromí z roku 1974: Tento zákon se vztahuje především na to, jak federální úřady nakládají s osobními údaji, ale nabízí i některé poznatky. Zavádí zásady jako "spravedlivé informační postupy", které vyžadují, aby agentury transparentně informovaly o shromažďování údajů a omezily jejich použití na legitimní účely.

To je jen několik klíčových předpisů týkajících se ochrany údajů. Kromě toho existuje několik státních zákonů, například kalifornský zákon o ochraně soukromí spotřebitelů (CCPA), které zaměstnancům přiznávají určitá práva týkající se shromažďování jejich osobních údajů zaměstnavateli.

Obecné nařízení o ochraně osobních údajů (GDPR) je hlavním předpisem upravujícím ochranu osobních údajů a soukromí v EU. Nastavuje vysokou laťku pro práva na ochranu soukromí, omezuje rozsah údajů, které mohou zaměstnavatelé shromažďovat, a dává zaměstnancům významnou kontrolu nad jejich údaji shromažďovanými zaměstnavateli.

Ačkoli GDPR jasně nestanoví, jaké osobní údaje lze a nelze shromažďovat, ukládá zaměstnavatelům povinnost dodržovat zásady transparentnosti a nezbytnosti. Jinými slovy, pro shromažďování jednotlivých typů informací musí mít platný právní základ, například smluvní nezbytnost, bezpečnost na pracovišti nebo hodnocení výkonnosti. Kromě toho musí zaměstnavatelé zaměstnancům otevřeně sdělit, jaké údaje shromažďují, jak je používají a jak dlouho je uchovávají.

GDPR vyžaduje, aby zaměstnavatelé zavedli vhodná technická a organizační opatření na ochranu údajů zaměstnanců před neoprávněným přístupem, zveřejněním, změnou nebo zničením.

V případě porušení ochrany osobních údajů, které představuje vysoké riziko pro práva a svobody zaměstnanců, musí zaměstnavatelé informovat příslušný úřad pro ochranu osobních údajů a potenciálně dotčené osoby.

Brazilský zákon Lei Geral de Proteção de Dados (LGPD) je nedávný komplexní zákon o ochraně osobních údajů, který byl vytvořen podle vzoru GDPR a vstoupí v platnost v roce 2020.

Stejně jako GDPR ani LGPD neuvádí údaje o zaměstnancích, které zaměstnavatelé nemohou shromažďovat. Stanovuje však rámec pro to, jak by zaměstnavatelé měli shromažďovat, používat a uchovávat osobní údaje zaměstnanců. Zaměstnavatelé jsou povinni získat souhlas zaměstnanců se shromažďováním jejich údajů. Mohou shromažďovat pouze údaje nezbytně nutné pro plnění pracovní smlouvy, zajištění bezpečnosti na pracovišti, vyšetřování přestupků nebo jiné oprávněné obchodní účely. Musí zajistit, aby shromážděné údaje byly bezpečně uloženy a chráněny před neoprávněným přístupem, zveřejněním, změnou nebo zničením. A konečně, v případě porušení ochrany údajů, které představuje vysoké riziko pro práva a svobody zaměstnanců, musí zaměstnavatelé informovat brazilský národní úřad pro ochranu údajů (ANPD) a potenciálně dotčené osoby.

Osobní údaje jsou v Číně chráněny zákonem o ochraně osobních údajů (PIPL). PIPL definuje "osobní údaje" široce jako jakékoli údaje, které mohou identifikovat osobu, a to buď samostatně, nebo v kombinaci s jinými informacemi. Tyto informace zahrnují údaje o zaměstnancích, jako je jméno, kontaktní údaje, historie zaměstnání, hodnocení výkonu a zdravotní záznamy (s dalšími omezeními).

Podle PIPL mohou zaměstnavatelé shromažďovat a zpracovávat údaje zaměstnanců pouze po obdržení jejich souhlasu. Zákon připouští i další právní důvody, včetně smluvní nezbytnosti, plnění právních povinností (případy, kdy je shromažďování údajů vyžadováno čínským právem) a oprávněných zájmů.

Podobně jako GDPR a LGPD ukládá PIPL zaměstnavatelům povinnost transparentně informovat o postupech při shromažďování údajů, a to zejména poskytnutím jasných a přístupných zásad ochrany osobních údajů a zavedením přiměřených bezpečnostních opatření na ochranu údajů zaměstnanců před neoprávněným přístupem, zveřejněním, pozměněním nebo zničením.

Popsaná nařízení zdánlivě dávají zaměstnavatelům svobodu shromažďovat téměř jakékoli osobní údaje, pokud je mohou vysvětlit obchodními účely. V praxi to však není pravda.

Zaměstnavatelé nemají právo shromažďovat určité údaje bez legitimního odůvodnění a souhlasu zaměstnance. Tyto údaje obecně spadají do následujících kategorií:

Citlivé údaje se týkají osobních informací, které mohou být použity k diskriminaci jednotlivce nebo k odhalení soukromých aspektů jeho života. Mezi tyto údaje patří mimo jiné rasa a etnický původ, náboženství, filozofické přesvědčení, sexuální orientace, genderová identita a politické názory.

Shromažďování a používání těchto údajů může vést k diskriminaci při přijímání zaměstnanců, povyšování nebo jiných manažerských rozhodnutích. Může také vytvářet nepříjemné nebo nepřátelské pracovní prostředí pro zaměstnance.

Mnoho jurisdikcí omezuje přístup zaměstnavatelů ke zdravotním informacím o zaměstnancích. Existuje však několik výjimek:

• Zaměstnanec poskytne písemný souhlas.

• Informace jsou nezbytné pro správu zdravotního plánu nebo z důvodů bezpečnosti na pracovišti (např. hodnocení způsobilosti k výkonu služby nebo zajištění zvláštních úprav pro postižení).

• Zpřístupnění je vyžadováno zákonem (např. žádosti o odškodnění pracovníků nebo žádosti o dovolenou).

Zaměstnavatelé nemají žádný legitimní důvod shromažďovat o zaměstnancích rozsáhlé finanční údaje nad rámec základních informací pro mzdové a daňové účely. Mezi údaje, které jsou v tomto případě zakázány, patří údaje o bankovních účtech, úvěrové hodnocení a investiční majetek.

Zaměstnavatelé sice mohou mít oprávněný zájem na sledování chování zaměstnanců, ale nemohou své sledování rozšířit na osobní účty na sociálních sítích. Zaměstnavatelé například nemohou po zaměstnancích požadovat, aby si je přidávali do přátel na sociálních sítích nebo aby měli přístup k soukromým účtům, protože zaměstnanci mají právo na soukromí při používání sociálních médií.

Právo zaměstnance na soukromí jej chrání před sledováním ze strany zaměstnavatele v době jeho volna. Monitorování ze strany zaměstnavatele se obecně vztahuje pouze na pracovní dobu a činnosti související s prací. Shromažďování údajů o činnostech zaměstnanců mimo pracovní dobu je ve většině jurisdikcí omezeno, pokud neexistuje legitimní obchodní odůvodnění a pokud neporušuje právo na soukromí.

Podle Harvard Business Review, 67,6 % severoamerických společností s více než 500 zaměstnanci sleduje pracovní aktivity zaměstnanců pomocí speciálního softwaru. Další výzkum shrnul WifiTalents uvádí, že téměř 96 % dotázaných organizací používá nějakou formu technologie monitorování zaměstnanců.

Software pro monitorování zaměstnanců může ze své podstaty shromažďovat rozsáhlé údaje o zaměstnancích. Mezi jeho nejběžnější funkce patří sledování e-mailů, monitorování internetové aktivity, nahrávání obrazovky, sledování používání aplikací a dokonce i sledování obrazu a zvuku. Monitorování zaměstnanců sleduje ušlechtilé cíle, jako je zajištění správné obchodní komunikace, prevence bezpečnostních hrozeb a zvýšení produktivity. Příležitostně však může shromažďovat nepřípustné osobní údaje, pokud není implementováno s ohledem na právní a etické aspekty.

Zákonnost postupů sledování zaměstnanců se může lišit v závislosti na místě. Některé předpisy, například GDPR, nařizují přísnější práva na ochranu soukromí zaměstnanců a omezují povolený rozsah monitorování. Proto by si zaměstnavatelé měli před zavedením jakéhokoli druhu monitorování zaměstnanců prostudovat platné zákony ve své oblasti a porozumět jim.

Z etického hlediska by se používání softwaru pro sledování zaměstnanců mělo řídit zásadami transparentnosti, přiměřenosti a oprávněnosti. Zaměstnavatelé musí omezit shromažďování údajů na nezbytně nutné aspekty a vyvážit shromažďování údajů s právem na soukromí zaměstnanců. Nejlepším způsobem, jak toho dosáhnout, je zvolit přizpůsobitelná řešení pro monitorování zaměstnanců, která lze snadno přizpůsobit tak, aby se zabránilo shromažďování nadměrného množství údajů.

V takovém případě můžete zakázat nepotřebné funkce sledování, abyste se vyhnuli shromažďování nadměrného množství údajů a dodržovali platné předpisy.

Zvažte také monitorovací programy, které umožňují zaměstnancům spustit a zastavit monitorování ručně. Tato možnost umožňuje zaměstnancům chránit data, která nechtějí, aby byla zaznamenávána. Bude užitečná zejména pro zaměstnance na dálku nebo pro ty, kteří k práci používají osobní zařízení.

Pochopení práv na ochranu osobních údajů je zásadní nejen pro zaměstnavatele, ale i pro zaměstnance. Umožňuje jim převzít kontrolu nad svými osobními údaji ve všech sférách jejich života, včetně pracoviště. Konkrétní práva přiznaná zaměstnancům a příslušné zákony se liší v závislosti na jejich místě. Například GDPR, LGPD a PIPL poskytují zaměstnancům několik důležitých práv týkajících se jejich údajů:

Právo na přístup: Zaměstnanci mohou požádat o přístup ke svým osobním údajům, které má zaměstnavatel k dispozici.

Právo na opravu: Zaměstnanci mohou požádat o opravu nepřesných nebo neúplných údajů.

Právo na výmaz (známé také jako "právo být zapomenut"): Za určitých okolností mohou zaměstnanci požádat o vymazání svých osobních údajů.

Právo na omezení zpracování: Zaměstnanci mohou omezit použití svých údajů.

Právo na přenositelnost údajů: Zaměstnanci mohou požádat o zaslání svých osobních údajů ve strukturovaném, běžně používaném formátu a o jejich předání jinému zaměstnavateli (je-li to technicky proveditelné).

Je důležité si uvědomit, že se jedná pouze o obecné příklady. Doporučujeme zaměstnancům, aby se poradili s právními zdroji nebo odborníky na ochranu osobních údajů, aby porozuměli svým konkrétním právům týkajícím se ochrany osobních údajů na pracovišti.

Digitální věk smazal hranice mezi pracovním a osobním životem. Zaměstnavatelé mohou shromažďovat a zpřístupňovat rozsáhlá data zaměstnanců, což vyvolává kritické otázky týkající se soukromí a etických hranic. Oprávněné obchodní zájmy zaměstnavatelů, jako je bezpečnost, produktivita a dodržování právních předpisů, by neměly překračovat hranici mezi nutností a soukromým životem zaměstnanců. Společnosti by měly rozumět právním hranicím a vyvažovat své zájmy s respektem k právům zaměstnanců.

Podnikům doporučujeme poradit se s právním poradcem, abyste se ujistili, že vaše postupy shromažďování údajů jsou v souladu s příslušnými zákony. Zvažte zavedení jasných a přístupných zásad ochrany osobních údajů, které popisují typy údajů, které shromažďujete, způsob jejich použití a práva zaměstnanců týkající se jejich údajů.

Zaměstnancům doporučujeme seznámit se s právy na ochranu osobních údajů na pracovišti. Mnoho jurisdikcí přiznává zaměstnancům práva na přístup k osobním údajům, jejich opravu nebo dokonce vymazání. Neváhejte vyhledat právní poradenství nebo se poradit s odborníky na ochranu osobních údajů, pokud máte obavy z toho, že vaše údaje shromažďuje váš zaměstnavatel.