Společnost SAFE Plus s.r.o. nepracuje s žádným osobním údajem zaměstnanců svých zákazníků, proto ze zákona není správcem osobních údajů podle tzv. GDPR – Nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
Z pohledu zajištění bezpečnosti podle § 5 zákona 309/2006 Sb. není zapotřebí řešit GDPR a osobní údaje zaměstnanců mezi Objednatelem a společnosí SAFE Plus s.r.o.
I. Právní úprava
Osobní údaje byly a jsou chráněny především:
- Zákonem o ochraně osobních údajů (celým názvem zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů), který byl v letech 2000–2019 základním právním předpisem upravujícím ochranu osobních údajů a činnost Úřadu pro ochranu osobních údajů.
- S účinností od 24. dubna 2019 byl zrušen a nahrazen zákonem o zpracování osobních údajů (č. 110/2019 Sb.), který provádí nařízení EU 2016/679 (GDPR)
II. Co vyplývá ze zákonných definic GDPR?
Jakýkoliv údaj, který umožňuje identifikovat konkrétní osobu, je osobním údajem. To, co je u jedné fyzické osoby osobním údajem, protože je jasně identifikovaná, ještě nemusí být osobním údajem pro další fyzickou osobu.
Rozhodující je, zda je možné podle údajů, které jsou s informací spojeny, určit konkrétní osobu. Proto jméno samo o sobě nebo dokonce e-mail ve spojení jménem nebude osobním údajem, pokud podle něj není možné určitou osobu označit.
Například e-mailová adresa jan.novak@… na běžně používaném internetovém serveru může patřit stovkám lidí toho jména, a proto sama o sobě nepředstavuje osobní údaj.
Ovšem e-mailová adresa jan.novak@jmenofirmy.cz už osobním údajem je.
Závěr: Osobním údajem může být jeden údaj nebo i více údajů, které teprve dohromady umožňují konkrétní fyzickou osobu určit. K takovému scénáři v systému SAFE WEB nedochází.
III. Údaje nepožívající ochranu při zpracování
Primárně můžeme z ochrany osobních údajů vyloučit všechny právnické osoby, stejně tak orgány veřejné moci a jiné instituce. Naopak jejich zaměstnanců se už ochrana týká.
Závěr: V systému SAFE WEB se nachází jenom telefonní číslo SIM karty vložené v zařízení TWIG (bez jména fyzické osoby). Tato SIM karta je v majetku právnické osoby a nepodléhá tak zákonu o ochraně osobních údajů (GDPR).
IV. Propojení jména zaměstnance a tel. čísla
Pokud zaměstnavatel požaduje propojení informace o přiřazeném telefonním čísle a jména zaměstnance, provádí tak ve své vlastní režii dle interních předpisů s ohledem na GDPR nařízení a to i v případě, že se jedná o sdílené zařízení a tedy i sdílené telefonní číslo.
Závěr: Jedná se o standardní postup jako když je zaměstnanci předán sdílený služební telefon pro pracovní směnu, tj. bez dopadu na systém SAFE WEB.
V. Podléhá samotná GPS lokace k ochraně údajů GDPR?
Zaměstnavatel nepotřebuje souhlas zaměstnance se zpracováním zaznamenaných osobních údajů, jelikož se jedná o zákonný právní důvod (§ 5 zákona 309/2006 Sb), zpracování je nebytné pro účely oprávněných zájmů zaměstnavatele či třetí strany. Používání GPS však musí být omezené na nezbytný rozsah shromážděných údajů, nesmí být uloženy ve formě umožňující identifikaci zaměstnance po dobu delší, než je nezbytně nutné.
Závěr: Monitorovat lze bez souhlasu zaměstnanců. Společnost SAFE Plus nezná vazbu zařízení Twig (a tedy GPS lokace) na osobní identifikaci zaměstnance Objednatele služby. Technologie SAFE+ a detektory pádu Twig se používají jenom na pracovišti v pracovní době a zařízení jsou sdílené pro směnu a nemají tak jasnou vazbu na zaměstnance.
