Dostal jsem pěkný dotaz ohledně GDPR pohledu, tak na něho odpovím rovnou větším článečkem. Nejprve však disclaimer:
Toto není autoritativní právníkův pohled. Nejsem právník. I kdybych byl, tak by to nebylo autoritativní. Jediný, kdo je zodpovědný za implementaci GDPR je nejvyšší vedení společnosti (executive management, pokud se chceme vyjadřovat standardně). Toto vedení by si mělo přizvat svého vlastního právníka, který mu dá doporučení, jak a co. A jen ten právník může být potom zodpovědný za kvalitu svého doporučení. Tento článek je o tom, co si máte uvědomit a na co se toho svého právníka máte zeptat.
Narozdíl od technických informací, právní porady nejsou a nemohou být nikdy objektivní a absolutní. Právníci poskytují právní názory, ne zaručená fakta. Vím co chce GDPR, vím kde mám jaké údaje a vím tedy na co se mám zeptat právníka. To je vše co jsem já schopen poskytnout.
Dotaz
"... kontakty veřejně vystavené na našem webu, jak se k tomu GDPR postaví ? standardně tam máme jméno zaměstnance telefon, mail, pobočku ..."
Velmi pěkné, jednoduché a přitom se to dá parádně hnidopišsky rozpitvat :-)
Rozbor
Jméno zaměstnance je jeho osobně identifikovatelný údaj (personally identifiable information, PII), pomocí kterého je možné ve velkém procentu případů jednoznačně identifikovat konkrétní fyzickou osobu, tedy subjekt údajů (data subject). Fotografie samozřejmě.
Telefon a email bych zde přesněji vyjádřil jako firemní telefonní číslo a firemní emailovou adresu, aby se to odlišilo od trvalejšího osobního telefonního čísla a emailové adresy, kterou ti lidé používají pro svoje soukromé potřeby. Firemní telefonní číslo člověka už nebude identifikovat, až mu bude odebráno (propuštění, změna zařazení apod.). Firemní emailová adresa ho naopak identifikovat bude možná i nadále, protože je obvykle složena například jako jméno.příjmení. Minimálně však po dobu, kdy tyto údaje zaměstnanec využívá, i tyto ho tedy identifikují.
Pozdější identifikovatelnost (po tom, co člověk už zde nepracuje) nás i tak zajímá. Je možné, že údaje z webu ostraníme, jakmile zaměstnance odejde (nebo přejde na jinou pozici). Ale existují webové archivy, ve kterých stránky budou i nadále přístupné a to klidně navždy.
Rizika pro zaměstnance?
Každé zveřejnění osobních údajů s sebou přináší možná rizika pro daný subjekt údajů (fyzickou osobu). Možná to tak v tomto případě nevypadá, ale dokážu si představit, že někomu nemusí být příjemné být veřejně spojován s firmou, ve které pracuje. Sousedé závidí dobrou pozici, nebo se posmívají pozici jiné, nespokojení zákazníci si vás mohou najít a mstít se, nebo pomlouvat apod.
Jako u všech případů ochrany osobních údajů bude i zde 99.999% v pohodě a bez problémů. Ale aby se vám pak někdy nestalo, že vás nějaký naštvaný nefachčenko práskne na úřadě pro ochranu osobních údajů (UOOU). Pokud by se mu navíc stala nějaká újma, bude to ještě horší. Dokážu si představit, že vám nespokojený soused třeba posprejuje dveře. Takové věci se dějí.
Zpracování
Tím, že tyto osobní údaje zveřejníme a takto šíříme, je tedy zpracováváme (processing). Jsme tedy zpracovatelem.
My nejsme jen zpracovatelem, jsme správcem údajů, protože osoba (subjekt údajů) jedná přímo s námi a svoje údaje poskytuje přímo nám a my si zde určujeme účely zpracování. Údaje zpracováváme buď na základě souhlasu (consent) získaného od subjektu údajů, nebo třeba na základě jiného zákonného důvodu (titulu), nebo kvůli plnění smlouvy, kterou máme se subjektem údajů.
Zákonný důvod by mohl být například odesílání požadovaných osobních údajů zaměstnanců na správu sociálního zabezpečení kvůli důchodovému pojištění. To se nás zde evidentně netýká. Zákon, že musíte na webu zveřejnit kontakty zaměstnanců nejspíš nemáme.
Příklad plnění smlouvy mezi subjektem údajů a správcem údajů je třeba předání kontaktních údajů pošťákovi, pokud si u vás na e-shopu subjekt údajů něco objednal. Samozřejmě by mohlo být přímo v pracovní smlouvě, že se údaje zveřejňují na webu z důvodů, které jsou k výkonu práce přímo potřeba. Nebo by stačilo, kdyby to prostě bylo obecně známo, že k výkonu daného povolání je potřeba údaje zveřejnit. To by potom bylo plnění pracovní smlouvy. Ale to není naše situace.
Takže první otázka na právníka zní - nešlo by vymyslet nějaký takový "automatický" důvod, proč bychom mohli tyto osobní údaje tímto způsobem zakonně zpracovávat? Jinak totiž budeme potřebovat souhlas se zpracováním osobních údajů.
Souhlas
Souhlas si samozřejmě můžete vyžádat vždycky, ale je to možná větší administrativní zátěž. Navíc je problém s tím, že souhlas možná dnes nemáme, nebo nebyl ještě získán GDPR kompatibilně a s nástupem GDPR si ho budeme muset vyžádat znovu, nebo lépe. V případě vlastních zaměstnanců to snad personalisti zvládnou v pohodě, stejně tráví většinu času lelkováním na fb :-)
Souhlas musí být svobodný, daný, jednoznačný, informovaný a specifický. Informovaný znamená, že zaměstnanec bude muset přesně vědět čeho se to týká a co to pro něho znamená. Specifický znamená, že nemůžete napsat něco jako "souhlasím se zpracováním údajů". Místo toho musí souhlasit se zveřejněním údajů na webu společnosti, a to kterých konkrétně.
Protože musí být souhlas svobodný, tak je možné, aby to zaměstnanec odmítl. Nemůžeme ho za odmítnutí souhlasu, a to ani za jeho pozdější odvolání, například vyhodit z práce. Nejspíš byste ho mohli propustit jenom v případě, že bez kontaktů na internetu se jeho práce prostě vykonávat nedá. Ale to vám už zase může říct jedině váš vlastní právník.
Takže pokud ho potřebujete, s právníkem si ujasněte znění souhlasu. Právník vám také nejspíš řekne, že souhlas nemůže být přímo součástí pracovní smlouvy. Nejspíš na to budete muset mít samostatné formuláře.
Technicky se ujistěte, že jste schopni opravdu osobní údaje nezobrazovat, pokud to děláte nějak automaticky na základě dat v informačním systému společnosti. Stejně tak je musíte být schopni odstranit, když subjekt údajů svůj souhlas odvolá.
Technicky je také nutné, aby se souhlas dal odvolat stejným způsobem, jako byl udělen. To znamená, pokud člověk souhlasil na papíru, který řešil s presonalistou, měl by být personalista zase schopen nechat souhlas zrušit. Jestli máte souhlasné formuláře na nějakém interním zaměstnaneckém portále, mělo by jít souhlas stejnou cestou odebrat. Ne že jim to budete komplikovat a chtít po nich, aby se kvůli odvolání souhlasu dostavili osobně na sekretariát v cizím městě.
Zpracování v neGDPR prostředí
Máme tu ještě jeden problém. Co když máte web společnosti hostovaný u nějakého poskytovatele, který nespadá pod GDPR. Typicky USA nebo Čína například. Takový hoster je potom zpracovatelem osobních údajů, zatímco vy jste pořád jejich správci. Jako správci jste zodpovědní za bezpečnost osobních údajů.
Problém je, že osobní údaje takovému zpracovateli jen tak dát nesmíte. Samozřejmě můžete, ale musíte na to mít ještě dvakrát jasnější, pětkrát specifičtější a osmkrát informovanější souhlas, než normálně. Takže pozor!