Máte ve firemních vozech GPS lokátory? Pokud ano, mohlo by vás zajímat, zda a za jakých podmínek můžete sledovat firemní auta i po pracovní době.
V předchozím čísle jsme se zaměřili na oblast monitoringu zaměstnanců, která je relativně problematická a přirozeně přitahuje pozornost Úřadu pro ochranu osobních údajů. Možná se k vám donesla informace, že ÚOOÚ říká, že sledovat služební vozidla i po pracovní době je v souladu se zákonem, neboť je to oprávněným zájmem správce. To však není tak úplně pravda. Pojďme se podívat na to, jak je to ve skutečnosti.
Monitoring a stanovisko ÚOOÚ Na začátku je vhodné říct, že v zákoníku práce i GDPR bychom definici monitorování (respektive sledování) nacházeli jen velmi obtížně. Minimálně z předchozího článku však víme, že pokud chceme vystavit zaměstnance sledování (bez ohledu na to, jestli otevřenému, nebo skrytému), můžeme tak činit pouze na základě závažného důvodu, který spočívá ve zvláštní povaze zaměstnavatele. Mimo to však platí obecná pravidla dle GPDR – pokud chceme zpracovávat osobní údaje, musíme mít stanoven účel zpracování, maximálně nezbytný rozsah osobních údajů a vhodný právní titul. A pochopitelně se musí jednat o zpracování nezbytné. Zase tak jednoduché to ale není, a proto ÚOOÚ přispěchal s návodem a odpovědí, jak GDPR dopadá na GPS lokátory ve služebních vozech (stanovisko naleznete zde). Bohužel, problematika GPS v autech je o něco složitější, než jak ji maluje ÚOOÚ. ÚOOÚ k GPS lokátorům v autech Úřad věnoval na svých stránkách v oddíle Často kladené otázky zaměstnavatelům vlastní sekci. V obecné rovině doporučujeme tyto stránky sledovat, neboť se zde obyčejně dozvíte cenné rady – v tomto případě to však nemusí být úplně pravda. ÚOOÚ na otázku, zda lze monitorovat služební vozidla po mocí GPS, odpovídá, že ano – v tom to se s ÚOOÚ shodnou asi úplně všichni. V čem se však již neshodneme, je rozsah takového zpracování. ÚOOÚ sděluje, že „monitorování služebních vozidel při pracovních cestách pomocí GPS v rozsahu a způsobem potřebným pro ochranu a správu majetku je oprávněným zájmem zaměstnavatele, tedy zpracováním osobních údajů dle článku 6 odst. 1 písm. f) GDPR“. S tímto se v zásadě shodujeme, s odůvodněním už nikoliv. To však nechme stranou, protože důležitější je další věta: „Umožní-li zaměstnavatel využívat služební vozidlo zaměstnanci i k soukromým účelům, jde o určitý druh benefitu. Úprava vzájemných práv a povinností se bude řídit dohodou o použití vozidla. Zaměstnanec by měl být na použití GPS sledování upozorněn, a to v rozsahu informace podle čl. 13 GDPR. Využije-li zaměstnanec vozidlo i v rámci svých soukromých aktivit, je nadále oprávněným zájmem zaměstnavatele chránit svůj majetek prostřednictvím GPS. Pokud podmínku zaměstnavatele ohledně GPS zaměstnanec neakceptuje, nedojde k uzavření smlouvy o použití vozidla, a nebude tak oprávněn předmětný benefit čerpat.“ Byť následně Úřad upozorňuje, že intenzivní či stálá kontrola zaměstnanců by byla v rozporu se zákoníkem práce (jmenovitě § 316 odst. 2 a 3 zákoníků práce), nelze se ubránit pocitu, že tento text ÚOOÚ někteří fakticky chápou jako bianco šek zaměstnavatelům na nadbytečné sledování zaměstnanců. Co si o tom myslí ministerstvo? Ministerstvo průmyslu a obchodu má na tuto oblast trochu jiný, respektive přesnější pohled. V rámci své Příručky pro přípravu malých a středních firem na GDPR (dostupné zde) totiž jako příklad špatné praxe uvádí to, když jsou GPS lokátory v provoze nepřetržitě a monitorují každé použití služebního automobilu kterýmkoliv zaměstnancem firmy (včetně služebních jízd). Nadto dokonce ministerstvo zkritizovalo uchování záznamů z GPS lokátorů v případě, kdy to po zaměstnavateli vyžadoval správce daně jako důkaz v rámci evidence jízd. Jako správnou praxi ministerstvo naopak uvádí sledování prostřednictvím nahodilé kontroly, a to na základě klíče, který není zaměstnancům znám a podle kterého vše probíhá namátkově. Tyto údaje je však možno uchovávat pouze po dobu, než dojde k vyúčtování služební cesty a pracovník správy vozového parku vše ověří, a následně dojde k výmazu. Tedy trochu odlišný a opatrnější přístup, než jak by bylo možno na první přečtení chápat ze stanoviska ÚOOÚ. Co na to říká WP29? V oblasti ochrany osobních údajů se nemusíme spoléhat pouze na stanoviska ÚOOÚ. V minulosti totiž vznikla takzvaná Pracovní skupina podle čl. 29 (anglicky Working Party, proto zkráceně WP29), která byla následně s příchodem GDPR nahrazena Evropským sborem pro ochranu osobních údajů (tedy European Data Protection Board, proto EDPB). Společné pro tyto orgány je to, že jsou/byly složeny z jednotlivých kontrolních úřadů napříč členy Evropské unie, tedy i český ÚOOÚ zde měl své zástupce. WP29 vydalo stanovisko 2/2017 ke zpracování osobních údajů na pracovišti, které je s ohledem na aktualizaci platné i po účinnosti GDPR. V tomto stanovisku zástupci kontrolorů uvádí, že zaměstnavatel může mít oprávněný zájem na tom, aby mohl kdykoliv zjistit polohu vozidel. Nicméně jedním dechem dodává, že „i kdyby zaměstnavatelé měli oprávněný zájem k dosažení těchto účelů, měli by nejprve posoudit, zda je zpracování pro tyto účely nezbytné a zda zavedení těchto opatření bude v souladu se zásadami proporcionality a subsidiarity“. V případě využití GPS lokátorů a současného užití vozidla k soukromým účelům například WP29 uvádí, že zaměstnanec by měl mít naopak možnost dočasně vypnout sledování polohy v případě zvláštních okolností. Tou může být například návštěva lékaře. Co se týče soukromých účelů a užití vozidla mimo pracovní dobu, zde je situace ještě komplikovanější. WP29 přímo uvádí: „Vzhledem k citlivosti údajů o poloze je málo pravděpodobné, že by existoval právní důvod k monitorování polohy služebních aut řízených zaměstnancem mimo pracovní hodiny.“ To neznamená, že by WP29 užití GPS pro tyto účely vylučovala, nicméně uvádí, že je nutno brát v úvahu proporcionalitu a že finální řešení musí být přiměřené rizikům. Jako příklad pak WP29 uvádí, že pokud by účelem byla prevence krádeže aut, neměla by být poloha auta mimo pracovní dobu zaznamenávána, dokud vůz neopustí široce definovaný územní okruh (oblast, nebo dokonce zemi). „Kromě toho by poloha měla být zobrazována jen způsobem, kdy zaměstnavatel aktivuje ‚viditelnost‘ polohy přistoupením k systémem již uloženým datům, když vozidlo opustí předem definovanou oblast.“ Jak to tedy je? Z výše uvedeného je tedy zřejmé, že používání GPS lokátorů ve služebních autech obecně není zakázáno, a to ani v případě, kdy je vůz používán pro soukromé účely. Situace je však o něco komplikovanější, než by se po nepozorném přečtení stanoviska ÚOOÚ mohlo zdát. V případě instalace takového systému je totiž nutno zajistit, že práva zaměstnanců nepřijdou k úhoně. Článek vyšel v Elektronickém zpravodaji pro pověřence
Comments