V září minulého roku vydal generální advokát Soudního dvora EU (dále jen „SDEU“) stanovisko k článku 88 obecného nařízení o ochraně osobních údajů (dále jen „GDPR“).  Dle výše odkazovaného článku mohou členské státy prostřednictvím národní legislativy nebo kolektivních smluv stanovit konkrétnější pravidla pro zajištění ochrany práv a svobod při zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním.

Článek 88 GDPR patří k tzv. otevřeným ustanovením, která umožňují členským státům stanovit další konkrétnější (ať už přísnější či odchylná) vnitrostátní pravidla. Díky tomu mají členské státy prostor pro odchýlení se od jednotné evropské právní úpravy.

Generální advokát SDEU se ve svém stanovisku zabýval především souladem německé legislativy, která byla přijata právě na základě článku 88 GDPR, s evropským právem. Dle generálního advokáta totiž existuje propojení mezi odstavci 1 a 2 odkazovaného článku GDPR, kdy první odstavec dává členskému státu možnost stanovit konkrétnější pravidla pro zajištění ochrany práv a svobod při zpracování osobních údajů zaměstnanců v souvislosti se zaměstnáním, zatímco druhý odstavec závazným způsobem upřesňuje obsah takovýchto konkrétních pravidel.

Zmiňovaná konkrétnější pravidla by tak měla dle druhého odstavce článku 88 GDPR zahrnovat zvláštní a vhodná opatření zajišťující ochranu lidské důstojnosti, oprávněných zájmů a základních práv subjektů údajů, především pokud jde o transparentnost zpracování, předávání osobních údajů v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost a systémy monitorování na pracovišti.

Aby tedy mohl členský stát stanovit konkrétnější pravidlo dle prvního odstavce článku 88 GDPR, musí být naplněny záruky upravené právě v druhém odstavci článku 88 GDPR (viz výše).

Zkoumaná německá legislativa dle generálního advokáta nesplňovala ani požadavky upravené v odstavci prvním článku 88 GDPR, protože ve svých ustanoveních v podstatě pouze zopakovala zásadu omezení a minimalizace údajů dle článku 5 GDPR a nepřinesla tak žádné konkrétnější pravidlo. Navíc nebyl splněn ani požadavek stanovený v druhém odstavci článku 88 GDPR, a to zejména proto, že v popisované německé legislativě zcela chybělo jakékoli zakotvení pravidel sloužících k zajištění ochrany práv a svobod ve vztahu ke zpracování osobních údajů zaměstnanců.

Dle logiky generálního advokáta by se pak výše popsané požadavky plynoucí z článku 88 GDPR mohly aplikovat i na další otevřená ustanovení GDPR, jako například na článek 9 odst. 2, písm. b) GDPR, který umožňuje zpracování zvláštních kategorií osobních údajů (včetně údajů o zdravotním stavu), a to za předpokladu, že je takové zpracování povoleno dle práva Evropské unie či dle práva členského státu, v němž jsou stanoveny vhodné záruky týkající se základních práv a zájmů subjektu údajů. Jinými slovy řečeno, i dle zmiňovaného článku 9 GDPR jsou vyžadovány záruky pro zpracování osobních údajů, stejně jako v druhém odstavci článku 88 GDPR.

Právě údaje o zdravotním stavu zaměstnanců, spadající pod článek 9 GDPR, byly ve velké míře zpracovávány v uplynulých letech kvůli pandemii Covidu-19 i v České republice. Často bylo v těchto případech odkazováno na obecné ustanovení § 102 zákoníku práce, dle kterého je zaměstnavatel povinen vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky tím, že vhodně organizuje bezpečnost a ochranu zdraví při práci.

Ve světle výše popisovaného stanoviska generálního advokáta se však jeví § 102 zákoníku práce jako nedostatečně konkrétní ohledně způsobu a rozsahu zpracování osobních údajů, přičemž neobsahuje ani žádné konkrétnější záruky k zajištění ochrany práv a svobod subjektů zpracovávaných údajů.

Zpracování zvláštních kategorií osobních údajů (včetně údajů o zdravotním stavu) dle článku 9 GDPR tak zjevně není v českém právním řádu dostatečně upraveno, neboť není využito možností otevřeného ustanovení GDPR.

Nad českými zákonodárci tak visí otázka, zda není třeba přijmout vhodná novelizační opatření, která by v návaznosti na otevřená ustanovení GDPR poskytla platný právní základ pro zpracování (zvláštních kategorií) osobních údajů zaměstnanců a vymezila dostatečně konkrétní pravidla pro zpracování takových údajů. To je nicméně spíše hudba budoucnosti, neboť není jisté, zda SDEU stanovisko generálního advokáta aplikuje.

Vzhledem k tomu, že komplexní úpravy se tedy zřejmě jen tak nedočkáme, je na místě, aby zaměstnavatelé hledali vždy jednotlivá řešení ad hoc dle konkrétní situace. A to nejlépe formou dodržování transparentně nastavených vnitřních předpisů, které budou poskytovat, alespoň dostatečně konkrétní pravidla a záruky pro zpracování takových údajů, když už ne dostatečný právní základ.

Autor: Veronika Odrobinová, Jessica Vaculíková