Jak správně nakládat s kontaktními údaji zaměstnanců a respektovat jejich soukromí

Když se řekne „krizová situace“, většina zaměstnavatelů si představí události, jako jsou přírodní katastrofy, hackerské útoky nebo zdravotní potíže zaměstnanců na pracovišti. V těchto momentech je nezbytné jednat rychle a efektivně, ale také s ohledem na práva zaměstnanců a ochranu jejich soukromí. Jednou z klíčových otázek, kterou si zaměstnavatel musí položit, je, jak nakládat s osobními údaji zaměstnanců, zejména s informacemi o tzv. kontaktních osobách pro případ nouze. Tento článek se zaměřuje na konkrétní situace, kdy je třeba tyto údaje využít, jak postupovat a zároveň respektovat právní rámec ochrany osobních údajů.

Každý zaměstnavatel by měl být připraven čelit různým typům krizových situací. Některé z nich zasahují přímo do činnosti firmy, jiné se dotýkají osobního života zaměstnanců. Mezi typické případy patří například zdravotní kolaps zaměstnance na pracovišti, kdy je třeba rychle kontaktovat rodinné příslušníky, aby byli informováni a mohli případně podniknout další kroky. Dalším příkladem může být mimořádná událost, jako je evakuace z důvodu přírodní katastrofy, kdy je nezbytné rychle a efektivně jednat a informovat osoby blízké zaměstnanci o jeho bezpečnosti.

Informace o kontaktních osobách pro případ nouze, které zaměstnavatel od zaměstnanců získává, však musí být zpracovány a použity s maximální opatrností. Tyto údaje lze využít pouze v zájmu zaměstnance a za jasně definovaných podmínek. Jedním z klíčových aspektů je, že zaměstnavatel smí tyto údaje použít pouze v případě, kdy jde o situaci, která se bezprostředně týká života, zdraví nebo bezpečnosti zaměstnance. Příkladem může být pracovní úraz nebo zdravotní problém na služební cestě. Naopak v situacích, kdy by zaměstnavatel chtěl kontaktovat zaměstnance mimo jeho pracovní dobu, například v souvislosti s firemní krizí, kterou by zaměstnanec mohl řešit, nelze tyto kontaktní údaje zneužít pro zajištění komunikace. Právní rámec na ochranu osobních údajů, konkrétně nařízení GDPR, jasně definuje, že zpracování těchto dat musí být v souladu s účelem, pro který byly shromážděny.

V praxi to znamená, že pokud dojde k nečekané události, která vyžaduje okamžitý kontakt s určenou osobou, musí zaměstnavatel postupovat přesně a systematicky. Prvním krokem je spojit se s kontaktní osobou, kterou zaměstnanec uvedl. Informace, které jsou této osobě sdělovány, musí být relevantní a musí se týkat pouze aktuální situace, například informování o zdravotním stavu zaměstnance a o tom, jaká opatření byla přijata k jeho ochraně. V žádném případě nesmí zaměstnavatel sdílet s kontaktní osobou informace, které nejsou přímo součástí krizové situace.

Pokud se kontaktní osobu nedaří zastihnout, je nutné zapojit příslušné záchranné složky, jako je policie nebo zdravotnická záchranná služba. V takových případech je na nich, aby převzaly další komunikaci s rodinou zaměstnance. Je důležité si uvědomit, že zaměstnavatel nemá právo aktivně vyhledávat další rodinné příslušníky nebo přátele zaměstnance online či jinými neformálními prostředky. Veškeré zpracování osobních údajů se musí řídit striktně pravidly GDPR, a to nejen z hlediska soukromí zaměstnance, ale i z hlediska ochrany jeho blízkých.

Jedním z hlavních právních důvodů, proč zaměstnavatel může zpracovávat informace o kontaktních osobách, je tzv. oprávněný zájem. Tento koncept vychází z článku 6 odst. 1 písm. f) GDPR a spočívá v tom, že zaměstnavatel jedná v zájmu zaměstnance i jeho rodiny, aby bylo zajištěno, že v krizové situaci bude poskytnuta rychlá a adekvátní pomoc. Tento přístup však není všeobecně přijímaný a existují i jiné právní názory, které upřednostňují souhlas zaměstnance jako právní základ pro zpracování těchto údajů.

Podle některých odborníků by měl zaměstnavatel žádat souhlas zaměstnance s tím, že bude zpracovávat kontaktní údaje jeho blízkých pro případ nouze. Tento souhlas by měl být udělen dobrovolně a zaměstnanec by měl mít možnost kdykoliv svůj souhlas odvolat. Další právní variantou je smlouva mezi zaměstnavatelem a zaměstnancem, která by specifikovala, jak budou kontaktní osoby informovány v případě nouze. I tato možnost však představuje značnou administrativní zátěž pro zaměstnavatele.

Důležité je také zajistit, aby kontaktní osoby byly informovány o tom, že jejich údaje jsou zpracovávány. Zaměstnavatel by měl tyto osoby informovat buď ihned po získání jejich kontaktu, nebo nejpozději v okamžiku, kdy je potřeba jejich údaje využít. V praxi se tento postup často řeší zasláním e-mailu nebo SMS s odkazem na podrobnosti o zpracování osobních údajů, což umožňuje zaměstnavateli splnit svou informační povinnost rychle a efektivně. Někteří zaměstnavatelé se mohou domnívat, že není nutné kontaktní osoby informovat, dokud nenastane konkrétní krizová situace, ale tento přístup je sporný. GDPR totiž vyžaduje, aby subjekty údajů byly informovány o zpracování jejich dat co nejdříve, a to včetně situací, kdy se údaje zpracovávají pro krizové účely.

Pokud jde o dobu, po kterou mohou být tyto údaje uchovávány, je třeba, aby zaměstnavatel respektoval zásady minimalizace. Údaje o kontaktních osobách by měly být uchovávány pouze po dobu trvání pracovního poměru zaměstnance. Jakmile zaměstnanec opustí firmu, musí být tyto údaje vymazány nebo anonymizovány. Důvodem je, že po skončení pracovního poměru již neexistuje žádný oprávněný důvod pro další zpracování těchto údajů. Zaměstnavatel by měl rovněž být připraven odstranit tyto údaje i dříve, pokud zaměstnanec nebo kontaktní osoba vznesou námitku proti jejich zpracování.

Na závěr je třeba zmínit, že v krizových situacích není možné automaticky kontaktovat jiné osoby, jako jsou rodinní příslušníci zaměstnance, pro které zaměstnavatel může zpracovávat údaje z jiných důvodů, například daňových. Pokud zaměstnavatel nemá výslovný souhlas zaměstnance, nemůže bez jeho vědomí informovat například jeho rodiče nebo partnera o krizové situaci. Tento postup by mohl porušit právo zaměstnance na soukromí a v důsledku by mohl způsobit více škody než užitku.

Zaměstnavatelé by měli být při zpracování osobních údajů kontaktních osob pro případ nouze obezřetní a měli by postupovat v souladu s GDPR, aby chránili nejen své zaměstnance, ale i jejich rodiny a blízké.