Společnosti, které chtějí mít přehled o pohybu svých citlivých dat i využívání firemní techniky k tomu mohou využít speciální software. Aby byla tato kontrola za využití moderních technologií v souladu s pravidly GDPR, musí ale dodržet několik pravidel. Protože při ochraně dokumentů a firemních dat totiž pracují firmy také s osobními údaji svých zaměstnanců.

Jak data chránit zákonně, korektně a transparentně

Zpracování osobních údajů musí mít především právní důvod a musí s nimi být nakládáno transparentně a korektně.“Zaměstnavatelé mají oprávněný zájem na sledování využívání firemních počítačů. Při tom ale zpracovávají osobní údaje svých zaměstnanců. V souladu se zákoníkem práce a GDPR jim tak, vedle dalších povinností, musí poskytnout informace o tomto úkonu. Mohou sledovat například to, jak zaměstnanci pracují s citlivými daty, zda nevyužívají počítače většinu pracovní doby pro osobní účely nebo to, kudy odchází z firmy důležité dokumenty, a to aniž by ohrožovali soukromí svých zaměstnanců,” vysvětluje JUDr. Jan Diblík z advokátní kanceláře HAVEL & PARTNERS.

Aby mohla firma osobní údaje zaměstnanců shromažďovat, musí pro to mít konkrétní a výslovně vyjádřený účel, který uvede například ve své směrnici a informuje o něm zaměstnance. Nikdo by ale zároveň neměl pracovat s více údaji, než je nezbytně nutné, proto ani při využití softwaru pro monitoring a analýzu pohybu dat nepracuje firma s údaji svých zaměstnanců zbytečně. Sbírá jen ty údaje, které jsou v dané situaci relevantní a potřebné. Omezen je samozřejmě i přístup k těmto konkrétním údajům.

Data o zaměstnancích lze uchovávat jen po určitou dobu

Zpracovávat a ukládat osobní údaje svých zaměstnanců by také firmy měly jen po nezbytně nutnou dobu. To znamená, že po vyhodnocení analýzy se musí data anonymizovat nebo smazat úplně. Výjimkou pak může být situace, kdy analýza dat vede nakonec například k případnému soudnímu sporu.

Zaměstnavatel má také povinnost své zaměstnance o využití monitorovacích a analytických systémů informovat. I oni tak mají přehled o tom, jak se s údaji o jejich činnosti pracuje. Podle zákoníku práce zaměstnanci nesmějí bez souhlasu využívat například počítače k soukromým účelům, a tak je mají majitelé za určitých okolností právo kontrolovat. Protože tak ale manipulují s osobními údaji osob, musí je o rozsahu kontroly informovat. Zároveň musí zajistit, aby zpracovávané osobní údaje byly v bezpečí před ztrátou a neoprávněným poskytnutím těchto údajů.

“ Ochrana firemních dat musí být v rovnováze s ochranou zaměstnanců. Stejně jako zaměstnanec má právo na soukromí, tak i zaměstnavatel má právo na ochranu svého majetku a know-how,” dodává Jan Vobruba, CEO společnosti SODAT.

Jak moc zaměstnance kontrolovat?

Kontrola probíhá proto, že firma má za úkol předejít ztrátě dat i úniku know-how, jako jsou například výkresy nebo cenové nabídky. V takové situaci může kontrolovat také využití aplikací a sledovat záznamy o nečinnosti uživatele. Nesmí jít ale o intenzivní a systematickou kontrolu.

Zásadní otázkou bezpečnosti je také užití internetu. Ideálně by zaměstnavatelé měli už předem jasně vymezit pravidla pro práci s internetem. Zaměstnavatel může například některé stránky blokovat, podle toho jakou politiku užití internetu zvolí. Nejde jen o kontrolu efektivity využití času, ale také o bezpečnost sítě.

Sledovat tak může zaměstnavatel jak stahování, tak nahrávání jednotlivých souborů, a to v případě podezření na nehospodárné využívání prostředků některým ze zaměstnanců. I zde platí, že by kontrola měla probíhat v minimální nutné míře. Pokud však pojme vážné podezření, má právo i na to sledovat, k jakým účelům využívají zaměstnanci svoje telefony, elektronickou poštu i další platformy komunikace. “I zde je ale nutné dbát na právo na soukromí zaměstnanců, a pokud jde o soukromou poštu, byť doručenou na pracovní e-mail, nemá zaměstnavatel oprávnění k její kontrole,” dodává JUDr. Jan Diblík z advokátní kanceláře HAVEL & PARTNERS.

Firmy musí chránit sebe i své zaměstnance

Firmy mají právo na ochranu svých dokumentů i know-how, a to je opravňuje v případě závažných důvodů také ke kontrole chování zaměstnanců na počítačích. Při této kontrole však musí dbát na právo svých zaměstnanců na ochranu osobních údajů a soukromí.