3.4
Compliance v oblasti ochrany soukromí a osobních údajů
JUDr. Pavel Koukal
V souvislosti s přijetím jednotné evropské právní úpravy ochrany osobních údajů zásadním způsobem vzrostl po 25. květnu 2018 význam další tradiční oblasti zájmu korporátní compliance, a to compliance v oblasti ochrany soukromí a osobních údajů (Privacy & Data Protection Compliance).
Důvody významu této oblasti pro obchodní společnosti přitom spočívají v tom, že každá společnost v rámci své podnikatelské činnosti dnes zpracovává osobní údaje a dostává se do soukromé sféry čím dál většího okruhu fyzických osob, a to nejen svých vlastních zaměstnanců, ale i fyzických osob, které stojí mimo společnost, jako jsou uchazeči o zaměstnání, dočasně přidělení tzv. agenturní zaměstnanci, dodavatelé, zákazníci aj. Všechny takto dotčené fyzické osoby jsou označovány jako subjekty údajů, které mají vůči společnosti jakožto správci údajů příslušná práva vyplývající z právních předpisů na ochranu soukromí a osobních údajů.
V souvislosti s tím pak logicky musí zohledňovat a řídit i příslušná compliance rizika, která souvisí s úpravou zejména těchto právních předpisů:
-
nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů),
-
zákon č. 110/2019 Sb., o zpracování osobních údajů,
-
zákon č. 89/2012 Sb., občanský zákoník,
-
zákon č. 262/2006 Sb., zákoník práce.
Již z uvedeného přehledu dotčené právní úpravy je zřejmé, že pojem soukromí je velmi široký a komplexní, když ochrana osobních údajů tvoří pouze jeho dílčí část, byť v podnikové praxi podstatnou a rozhodující. Z hlediska compliance je přitom významná zejména povinnost zaměstnavatele zajišťovat potřebnou míru soukromí na pracovišti, když zákonné požadavky a limity jsou v tomto směru upraveny zejména v ustanovení § 316 ZP jakožto ochrana osobních práv zaměstnance.
Podle shora cit. ustanovení zaměstnavatel především nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci. Jestliže přitom je u zaměstnavatele dán závažný důvod spočívající ve zvláštní povaze činnosti zaměstnavatele, který odůvodňuje zavedení kontrolních mechanismů, je zaměstnavatel povinen přímo informovat zaměstnance o rozsahu kontroly a o způsobech jejího provádění.
Dalším právním požadavkem na ochranu osobních práv zaměstnanců je, že zaměstnavatel nesmí vyžadovat od zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a se základním pracovněprávním vztahem, přičemž zejména nesmí vyžadovat informace o těhotenství, rodinných a majetkových poměrech, sexuální orientaci, původu, členství v odborové organizaci,…