Správně právně pro zaměstnavatele: máte uchovávat informace o zdravotním stavu zaměstnanců?
Zkratka GDPR, za níž se skrývá evropské nařízení o ochraně osobních údajů, v posledních téměř čtyřech letech potrápila nejednu z firem. HR je přitom právě tím oddělením, v němž se v praxi setkáváme s největším množství údajů. Co dělat, když se vám zaměstnanec svěří se zdravotní diagnózou nebo problémem? Patří tato informace do firemních systémů nebo osobních poznámek náboráře? Měli byste se zaměřit na její zabezpečení? Přečtěte si další z článků z právní oblasti.
Začněme popořadě: GDPR zná kategorii „běžných“ osobních údajů, k nimž se řadí data typu jména, příjmení, kontaktní údaje, finanční údaje nebo identifikační údaje jako třeba rodné číslo či číslo občanského průkazu. Oproti ní rozlišuje tzv. zvláštní kategorie osobních údajů (dříve citlivé), které v sobě zahrnují informace o náboženském a filozofickém přesvědčení, údaje o rase, genetická a biometrická data (otisky prstů, sítnice), včetně údajů o zdravotním stavu. Uvedené rozdělení osobních údajů není náhodné a napovídá, že se na zvláštní kategorii vztahuje přísnější režim.
Diagnóza epilepsie spadá právě mezi informace o zdravotním stavu, zacházení s ní proto ve vztahu zaměstnance a zaměstnavatele vyžaduje mnohem větší obezřetnost.
Podíváme-li se navíc pozorněji do textu GDPR, zjistíme, že zpracování zvláštní kategorie osobních údajů je zakázáno, pokud se neuplatní jedna ze stanovených výjimek (tj. stanovený právní titul). Za ty se považuje udělený souhlas se zpracováním, zákonná povinnost v oblasti pracovního práva nebo sociálního zabezpečení, zpracování nadací či neziskovým subjektem, zpracování údajů zjevně zveřejněných subjektem údajů a další (blíže viz tabulka).
V čem se informace o epilepsii od ostatních liší?
Osobní údaje zaměstnanců jsou v pracovním vztahu přirozeně nezbytné. Bez čísla bankovního účtu nelze odeslat pravidelnou měsíční mzdu, bez rodného čísla zase jednoznačně identifikovat zaměstnance u České správy sociálního zabezpečení.
Existují zároveň situace, v nichž se bez zpracování údajů o zdravotním stavu neobejdete. Jako typický příklad uveďme zaměstnávání osob se zdravotním postižením. Zpracování údaje zaměstnance se zdravotním postižením, kterému byl například přiznán invalidní důchod, se děje na základě příslušného zákona. GDPR s touto možností vysloveně počítá, a proto ve chvíli, kdy na zaměstnavatele dopadá zákonná povinnost, se obecný zákaz zpracování neuplatní.
V případě diagnózy epilepsie uvedeným způsobem postupovat nelze. Český právní řád neobsahuje právní normu, podle níž by uvedená informace měla být zaměstnavateli sdělována. Jakýkoli jiný právní titul stanovený v GDPR bude rovněž jen obtížně použitelný. Připomeňme zároveň, že v průběhu vstupní lékařské prohlídky získává zaměstnavatel od poskytovatele pracovnělékařské péče pouze stanovisko o způsobilosti nového zaměstnance k výkonu konkrétního pracovního zařazení. Nikoli tedy samotnou diagnózu. Z uvedeného proto plyne, že zaměstnavatel má pouze omezené možnosti, jak danou informaci zjistit a odvozeně také zpracovávat v rámci HR agendy. Jinými slovy, rozhodnutí, zda o epilepsii zaměstnanec zaměstnavatele informuje, závisí pouze na jeho svobodné vůli.
Jak se zachovat v případě dobrovolného zpřístupnění zdravotních údajů?
Častou chybou v HR odděleních bývá domněnka, že zaměstnanecké údaje mají být zpracovávány na základě souhlasu. Zaměstnanci jsou pak nuceni k podepisování obecných prohlášení a paušálních souhlasů se zpracováním, které mnohdy nesplňují požadavky GDPR a jsou z tohoto důvodu neplatné (k náležitostem souhlasu blíže viz tabulka níže).
Výsledkem takového postupu se nadto může stát ukládání údajů, které nejsou nezbytné, čímž se společnost vystavuje možné pokutě. Většinová část HR procesů přitom probíhá buď na základě zákonné povinnosti, nebo z důvodu plnění pracovní smlouvy.
V rámci zaměstnání je souhlas o zpracování informace o zdravotním handicapu víceméně vyloučen z důvodu nerovného postavení mezi zaměstnancem a zaměstnavatelem a výkladu Evropského sboru pro ochranu osobních údajů. Jednoduše, tím, že vám někdo sdělí diagnózu, neuděluje výslovný souhlas se zpracováním zdravotních údajů.
V pracovněprávním vztahu proto souhlas zaměstnance není pro zpracování osobních údajů vhodným právním titulem, tím spíše pokud se jedná o zdravotní údaje. Měl by být používán pouze ve výjimečných případech a v situaci, kdy zůstává skutečně dobrovolný. Vzhledem k tomu, že zaměstnání se vyznačuje nadřízeností a podřízeností, je dobrovolné udělení, vyžadované GDPR, pro tento vztah problematické.
Případy, v nichž se potenciální zaměstnanec svěřuje se svou diagnózou přímo na pohovoru nebo v průběhu pracovního poměru, nicméně nelze vyloučit. Přístup náboráře či HR specialisty je poté klíčový, neboť určuje, jakým způsobem bude s informací dále zacházeno, ale také, zda nebude zpřístupněna neoprávněným třetím osobám.
Zaměřte se na zabezpečení údajů
Zpracování osobních údajů neznamená pouze rozhodnutí, jestli uchovám ten či onen osobní údaj. Máte-li k dispozici informaci o zdravotním stavu zaměstnance, která není ze zákona vyžadována, hraje zásadní roli forma zabezpečení dat. V praxi to mimo jiné znamená nevytváření zbytečných kopií dokumentů, ať už elektronických nebo papírových, nebo třeba omezení sdílení nepotřebných dat napříč odděleními a mezi zaměstnanci s odlišným pracovním zařazením. Vhodné proškolení pracovníků o způsobech zacházení s daty na pracovišti a zdokumentování v rámci interních směrnic lze samozřejmě jen doporučit.
Dozvíte-li se o diagnóze kandidáta na pozici v průběhu výběrového řízení, mějte na paměti, že taková informace nepatří do poznámek náboráře, do firemní databáze ani jiného softwaru či aplikace. Tímto způsobem chráníte nejen zaměstnance, pokud jde o neplánované zpřístupnění, ale též sebe z pozice zaměstnavatele před nezákonným zpracováním osobních údajů.
Líbí se vám Epizóna, nový projekt Společnosti E? Podpořte nás jednorázovým nebo pravidelným příspěvkem. Máte dotaz nebo konkrétní podnět? Napište nám na epizona@spolecnost-e.cz.
