ÚOOÚ udělil pokutu za nadbytečné uchovávání kopií dokladů
Úřad pro ochranu osobních údajů se v loňském roce zabýval případem zaměstnavatele, který nadbytečně uchovával kopie dokladů předložených jeho zaměstnanci. Jde o častou praxi zaměstnavatelů, kteří si pro jistotu pořizují kopie všech dokladů. Takový postup je však v rozporu se zákonem, což Úřad potvrdil i v uvedeném případě. Za zjištěná porušení uložil kontrolované osobě pokutu ve výši 180 000 Kč.
Zaměstnavatel je povinen vést personální spis pro každého zaměstnance. Spis může obsahovat pouze písemnosti, které jsou nezbytné pro výkon práce. Jejich konkrétní výčet však stanoven není. Zaměstnavatel je přitom povinen dodržovat právní předpisy týkající se ochrany osobních údajů – zejména může uchovávat pouze kopie dokladů, které mu ukládá zákon – a řídit se zásadou minimalizace dat a přiměřenosti.
Provedenou kontrolou Úřad zjistil, že zaměstnavatel v personálních spisech evidoval mj. kopie průkazů zdravotního pojištění, výpisů z evidence rejstříku trestů nebo karty s číslem bankovního účtu. Dále zjistil, že zaměstnavatel uchovává kopie rodných listů dětí některých zaměstnanců a skenované fotografie zaměstnanců. Úřad shrnul, že zaměstnavatel obecně není pro účely vedení personální agendy oprávněn uchovávat kopie předložených dokladů. Je povinen pouze do personálního spisu zaznamenat, že požadované údaje byly zaměstnancem doloženy, a potvrdit, kdo, kdy a na základě jakých dokladů toto ověřil.
Kontrola zároveň zjistila, že zaměstnavatel nadbytečně uchovává kopie občanských průkazů zaměstnanců. Takový postup je možný pouze na základě souhlasu zaměstnanců v souladu se zákonem o občanských průkazech. I kdyby zaměstnavatel tento souhlas doložil, je pořízení kopie možné pouze za podmínky, že všechny osobní údaje budou zpracovávány pouze v souladu s účelem, který si zaměstnavatel stanovil. Pokud zaměstnavatel nemá určené účely pro zpracovávání osobních údajů uvedených na občanském průkazu, např. v rozsahu fotografie zaměstnance nebo jména a příjmení manžela/manželky zaměstnance, není oprávněn tyto osobní údaje zpracovávat.
V neposlední řadě Úřad vytkl, že automatizované systémy, které zaměstnavatel využíval za účelem zpracování osobních údajů, nemají možnost logování. Nešlo tedy ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány. Povinnost pořizovat tyto elektronické záznamy přitom zákon výslovně ukládá.
Úřad prováděl kontrolu dle předchozí právní úpravy, její závěry lze však aplikovat i v současnosti s ohledem na nařízení GDPR. Co se týče obsahu personálního spisu, lze shrnout, že „méně je více“.