V současné době snad každá větší soukromá společnost či orgán veřejné moci disponuje interním telefonním seznamem svých zaměstnanců.[1] Vedení takového seznamu je čistě praktická záležitost, která usnadňuje komunikaci uvnitř společnosti nebo úřadu. Ačkoli nám vedení takového telefonního seznamu s kontakty zaměstnanců přijde jako naprosto běžná věc, nesmíme zapomínat, že i ten se musí řídit určitými pravidly, a to zejména v oblasti ochrany osobních údajů. Pojďme se blíže podívat, jaké stěžejní povinnosti je třeba v souvislosti s vedením telefonního seznamu uvnitř společnosti dodržovat z pohledu GDPR.[2]
Není pochyb o tom, že informace o jednotlivých zaměstnancích zpřístupněné v interním telefonním seznamu představují jejich osobní údaje. Ač je čtenáři jistě zřejmé, jak takový adresář kontaktů vypadá a není potřeba ho blíže popisovat, přesto se jednotlivé telefonní seznamy rozchází v rozsahu osobních údajů, které obsahují. Pro rozbor z pohledu GDPR je nicméně důležité si jednotlivé údaje obsažené v interním telefonním seznamu rozebrat, neboť někdy je už „přes čáru“ regulí na ochranu osobních údajů, co všechno v nich můžeme nalézt.
Rozsah osobních údajů zpracovávaných v telefonním seznamu
Nejčastěji se setkáme s tím, že vedle identifikačních údajů, jakými je jméno a příjmení, popř. titul zaměstnance, bude telefonní seznam obsahovat klíčové položky, a to pracovní telefonní číslo (ať již číslo mobilního telefonu, číslo pevné telefonní linky, nebo obojí) a samozřejmě e-mailovou adresu zaměstnance. Pro snazší orientaci v adresáři bude řazení nejčastěji odpovídat organizační struktuře zaměstnavatele, zejména jedná-li se o větší společnost či státní úřad, například na zaměstnance určitého útvaru (tedy popisný údaj o zaměstnanci). Takové uspořádání považuji za výhodné zejména v případech, kdy se s určitým problémem potřebuji obrátit nikoli na konkrétního kolegu, ale na určité oddělení (např. při problémech s počítačem na IT oddělení). V telefonním seznamu můžeme nalézt také označení kanceláře zaměstnance, pokud práci pro zaměstnavatele nevykonává jenom externě, což je vhodné pro případy přímé komunikace mezi zaměstnanci. Spousta telefonních seznamů též disponuje informací, zda se zaměstnanec v konkrétní chvíli nalézá na pracovišti. Často je tato informace znázorňována ikonkou u jména daného zaměstnance, která například v situacích, kdy se zaměstnanec zdržuje na pracovišti zaměstnavatele, „svítí“ zeleně. Je to podobné jako při online a offline stavech na sociálních sítích. Takovou informaci považuji za dobré doplnění pro účely efektivní komunikace uvnitř organizační struktury zaměstnavatele, neboť je-li nám zřejmé, že zaměstnanec momentálně není na pracovišti, můžeme se obrátit na jeho kolegy. Takové penzum informací o zaměstnanci považujme pro účely tohoto článku za základní rozsah zpracovávaných osobních údajů a budeme s ním dále pracovat, pokud nebude stanoveno jinak.
Další doprovodné informace vztahující se k zaměstnanci
V telefonním seznamu můžeme narazit i na další doprovodné informace vztahující se k zaměstnanci. Vzhledem k variabilitě zaměstnavatelů je zřejmé, že tento článek nemůže pojmout všechny různé speciální informace, které si zaměstnavatel k zaměstnanci v telefonním seznamu může přiřadit. Jak bude uvedeno dále, vždy ale musí mít zaměstnavatel na paměti zákonnost takového zpracování osobních údajů. Za zmínku každopádně stojí zobrazování portrétní fotografie zaměstnanců, která se v telefonních seznamech vyskytuje velmi často. Pro úplnost lze uvést, že v tomto případě nebude fotografie považována za zvláštní kategorii osobních údajů podle čl. 9 odst. 1 GDPR.[3] Další informací, kterou zaměstnavatelé někdy uvádějí ve svých telefonních seznamech, bývá informace o čase příchodu zaměstnance do zaměstnání a odchodu z něj, jakož i informace o důvodu nepřítomnosti zaměstnance na pracovišti (např. nepřítomnost z důvodu dovolené zaměstnance). Na tyto specifické informace zpřístupňované prostřednictvím telefonního seznamu se dále v článku zaměříme.
Účel zpracování osobních údajů
To, že vedení interního telefonního seznamu představuje zpracování osobních údajů podle GDPR, je více než zřejmé. Bez problému lze i určit, že správcem osobních údajů zaměstnanců vedených v interním telefonním seznamu je příslušný zaměstnavatel. Proto není potřeba tyto skutečnosti dále rozebírat. Povinností každého správce, pokud se rozhodne zpracovávat osobní údaje, je v prvé řadě přesně stanovit účel a prostředky předmětného zpracování a následně též odpovídající právní titul zpracování. Lze se domnívat, že v tomto případě bude správcem jako nejčastější účel zpracování předmětných údajů vedených v telefonním seznamu uváděno zajištění efektivní komunikace (případně její usnadnění) a spolupráce mezi zaměstnanci společnosti či úřadu, a to zejména jedná-li se o větší společnost či státní úřad, ve kterém se jednotlivé osoby neznají, nejsou spolu v každodenním kontaktu. Kam jinam se totiž člověk nejprve podívá, shání-li kontakt na svého kolegu, než právě do interního telefonního seznamu. Je pak již věcí zaměstnavatele, zda vede interní telefonní seznam elektronicky a je dostupný například na intranetu zaměstnavatele či v nějaké aplikaci zaměstnavatele (v případě aplikace je nutné uvažovat o potencionálním zpracovateli osobních údajů, např. pokud by data byla nahrána na externí server, kam by se zaměstnanci připojovali), či zda zaměstnanci budou disponovat pouze papírovým seznamem, což je v současné době už spíše přežitek let minulých, domnívám se.
Právní základ zpracování
Každý správce údajů nesmí při zpracování osobních údajů opomíjet dodržování základních zásad stanovených v GDPR,[4] a to již před započetím zpracování při přípravě. Do této přípravy před samotným zpracováním osobních údajů musí správce vedle určení účelu a prostředků zpracování zahrnout i stanovení odpovídajícího právního základu zpracování. Právní základ zpracování neboli právní titul představuje jeden z hlavních projevů zásady zákonnosti zpracování, bez kterého není zpracování osobních údajů z pohledu práva možné. Pro vedení interního telefonního seznamu s kontakty zaměstnanců se při výše uvedeném účelu zpracování jeví jako nejpříhodnější právní titul pro zpracování osobních údajů oprávněný zájem správce nebo třetí strany dle čl. 6 odst. 1 písm. f) GDPR. Zákonnost daného zpracování totiž neukládá žádný právní předpis, nelze ho ani odvodit z toho, že by bylo nezbytné pro splnění smlouvy uzavřené se zaměstnancem (např. by vycházelo z uzavřené pracovní smlouvy), a rozhodně nepředstavuje zpracování nezbytné pro ochranu životně důležitých zájmů zaměstnance nebo jiné fyzické osoby. Důležité je uvést, že vycházíme z předpokladu, že správce zpracovává pouze základní penzum informací sestávající z identifikačních, kontaktních a popisných údajů zaměstnance v takovém rozsahu, jaký byl popsán výše v článku.
Otázky, které by si správce při vypracování balančního testu měl klást…
Pro právní titul oprávněného zájmu správce je typické posouzení, zda oprávněné zájmy správce nebo třetí osoby převažují nad zájmy a základními právy a svobodami subjektu údajů. To se děje prostřednictvím tzv. balančního testu. Ten musí správce vypracovat ještě před započetím samotného zpracování a musí ho být schopen doložit dozorovému orgánu po celou dobu předmětného zpracování. Zaměstnavatel v něm bude poměřovat, zda je takové zpracování vhodné pro stanovený účel a komu z něj vyplývají výhody. Dále bude nutné zvažovat, zda vedení interního telefonního seznamu s kontakty zaměstnanců je potřebné. Posledním krokem v tomto testu bude poměřování zájmů jednotlivých stran (správce, subjektů údajů, příp. třetích stran). Otázky, které by si správce při vypracování balančního testu měl klást, mohou být následující:
- Jaký je vztah správce k subjektům údajů?
- Jsou předmětem zpracování rovněž tzv. citlivé údaje subjektů údajů?
- Mohou subjekty údajů takové zpracování očekávat?
- Jaký má vliv zpracování na subjekty údajů?
- Jaká práva subjektu údajů mohou být tímto zpracováním dotčena?
- Může subjektu údajů v souvislosti s tímto zpracováním vzniknout škoda?
- Sleduje zpracování i jiné cíle?
- Mohou být tímto zpracováním dotčeny i jiné osoby?
- Byly přijaty dostatečné záruky k minimalizaci nebo vyloučení dopadů na subjekty údajů?
- Existují mechanismy pro uplatnění práv subjektu údajů?
Po vypracování této písemné analýzy by měl zaměstnavatel dospět k tomu, že zájmy, základní práva a svobody zaměstnanců nepřevažují nad jeho zájmy zpracovávat osobní údaje vedené v telefonním seznamu, jinak by nebylo zpracování na základě tohoto titulu možné.
Úkol ve veřejném zájmu
V případě, že bude správcem osobních údajů orgán veřejné moci, nabízí se otázka, zda by bylo možné vedení interního telefonního seznamu s kontakty zaměstnanců podřadit pod právní titul podle čl. 6 odst. 1 písm. e) GDPR, tedy že zpracování osobních údajů zaměstnanců v telefonním seznamu je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen. Úkol ve veřejném zájmu při vedení telefonního seznamu zde můžeme spatřovat ve zvýšení efektivity spolupráce mezi zaměstnanci daného úřadu a zajištění efektivní spolupráce mezi zaměstnanci navzájem. Je otázkou, zda takto definovaný úkol ve veřejném zájmu v tomto případě obstojí. Přestože se nejedná o právní titul spočívající ve splnění právní povinnosti dle čl. 6 odst. 1 písm. c) GDPR, mělo by dle čl. 6 odst. 3 GDPR[5] i v případě plnění úkolu ve veřejném zájmu vyplývat oprávnění zpracovávat osobní údaje z některého z právních předpisů. Zde by bylo možné vyvodit oprávnění zpracovávat osobní údaje ze základních zásad činnosti správních orgánů,[6] jako je efektivita veřejné správy a zásada dobré správy. Domnívám se však, že takové odůvodnění zpracování je již na samé hranici toho, co lze pod tento právní titul zpracování podřadit. Možná i za ní. Je totiž otázkou, zda takový výklad není příliš extenzivní, zda nedochází k „dvojímu metru“ mezi soukromým a veřejným sektorem, kdy v základním rozsahu vedený telefonní seznam by měl být patrně založen na shodném právním titulu. Recitál 47 mj. uvádí, že „jelikož právní základ pro zpracování osobních údajů orgány veřejné moci má upravit zákonodárce právním předpisem, neměl by se tento právní základ (míněno oprávněný zájem) vztahovat na zpracování prováděné orgány veřejné moci při plnění jejich úkolů.“ A contrario tedy, pokud orgán veřejné moci zpracovává osobní údaje, měl by tak činit na základě alespoň obecného požadavku na toto zpracování uvedeného v některém z právních předpisů, které zpracování osobních údajů pro jeho úspěšné naplnění alespoň předpokládá, i když nestanovuje jeho jednoznačný rozsah [což představuje rozdíl mezi právními tituly čl. 6 odst. 1 písm. c) GDPR a čl. 6 odst. 1 písm. e) GDPR]. Pokud takový právní předpis není, musí správce hledat jiný právní titul pro své zpracování. Proto se domnívám, že vedení interního telefonního seznamu v jeho základním vymezení by mělo být postaveno na shodném právním titulu pro soukromý i veřejný sektor, a tímto titulem bude oprávněný zájem.
Zásada minimalizace zpřístupňovaných osobních údajů
Další důležitou zásadu, kterou je třeba v souvislosti s tímto zpracováním zmínit, představuje zásada minimalizace údajů. Zásada minimalizace znamená, že údaje jsou „přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány“.[7] V tomto směru je důležité striktně posoudit, jaké všechny osobní údaje o zaměstnanci v rámci telefonního seznamu je nezbytné zpracovávat pro stanovený účel. Někdy se lze totiž setkat s názorem, že pro jistotu se uvede více informací, kdyby byly náhodou někdy potřeba, aniž by k tomu byl dán bližší důvod.
Přestože není možné pro všechny typy zaměstnavatelů generalizovat, jaké konkrétní osobní údaje by měl jejich telefonní seznam obsahovat, můžeme si zde uvést nadbytečné údaje, které by se v telefonním seznamu objevovat neměly. Často se lze setkat s tím, že do telefonního seznamu jsou propisovány údaje z docházkového systému, jakými jsou vedle informace, že je daná osoba přítomna na pracovišti, i časy příchodů a odchodů ze zaměstnání a též informace o důvodu nepřítomnosti zaměstnance na pracovišti, jako je dovolená, návštěva lékaře, čerpání nemocenské a podobně. Takové informace jsou většinou sbírány u zaměstnavatelů, kteří mají elektronický docházkový systém, ať už založený např. na snímání čipové karty při příchodu do zaměstnání a odchodu z něj, nebo přihlášením se do systému zaměstnavatele zaměstnancem. Je nepochybné, že tyto informace jsou důležité pro zaměstnavatele pro personální, příp. mzdové účely. Nikoli však pro účely zajištění efektivní komunikace mezi zaměstnanci. Je tedy zcela nadbytečné pro stanovený účel zpracování, aby jednotliví zaměstnanci měli přístup k takové informaci, jako např. v kolik hodin jejich kolega přišel do práce nebo kdo z kolegů je právě na dovolené či u lékaře. Navíc některé z těchto údajů mohou představovat poměrně velký zásah do soukromí dané osoby (např. informace o čerpaní nemocenského). Pro zpřístupňování takových informací prostřednictvím telefonního seznamu nelze shledat žádné opodstatnění a jejich zpracování pro předmětné zpracování je tak v rozporu se zásadou minimalizace. Za zcela dostačující informaci lze považovat zpřístupnění pouze prosté informace, že konkrétní zaměstnanec je či není přítomen v pracovní době na svém pracovišti, např. prostřednictvím barevné ikonky uvedené u jeho jména. Jak bylo uvedeno již výše, tento údaj lze odůvodnit právě efektivitou komunikace mezi zaměstnanci, neboť není-li daný zaměstnanec přítomen, mohou se obrátit na jeho kolegy, aniž by museli čekat na nepřítomného zaměstnance. Případně lze nad rámec uvedeného v souvislosti s rozšířením výkonu práce z jiného místa (homeoffice) ještě uvažovat o uvádění této informace o homeoffice v telefonním seznamu, aby bylo zřejmé, zda je zaměstnanec v daný den k zastižení na svém pracovišti nebo bude potřeba zvolit jinou formu komunikace.
Portrétní fotografie zaměstnanců v telefonním seznamu
Samostatnou kapitolou v rámci zpracování osobních údajů v telefonních seznamech představuje zpřístupňování portrétní fotografie zaměstnance. Některým zaměstnavatelům povinnost zpracovávat fotografie svých zaměstnanců například pro účely vystavení služebního průkazu zaměstnanci vyplývá z příslušných právních předpisů.[8] Je však otázkou, pro jaký účel má tento osobní údaj zaměstnance sloužit v interním telefonním seznamu. Zejména v případech větších společností a úřadů, kde se jednotliví zaměstnanci mezi sebou neznají, si lze představit, že doplnění portrétní fotografie ke kontaktům daného zaměstnance bude sloužit pro účely snazší identifikace dané osoby a následné usnadnění interní komunikace. Považuji za nešťastné, pokud osoby, které spolu předtím komunikovaly telefonicky nebo písemně, se naživo nepoznávají například během pořádání porad nebo při pracovní návštěvě některé z územních poboček zaměstnavatele. Pro takové zpracování portrétních fotografií zaměstnanců lze jako právní titul aplikovat oprávněný zájem správce.[9] V tomto případě je nezbytné vypracovat tzv. balanční test, kde dojde k řádnému posouzení ohledně oprávněných zájmů zaměstnavatele a zájmu základních práv a svobod zaměstnanců, jak bylo uvedeno výše v článku. Pro úplnost lze uvést, že postačuje vypracování jednoho balančního testu pro vedení informací o zaměstnancích v telefonním seznamu, kam bude zahrnuta jako jeden z osobních údajů i portrétní fotografie zaměstnance.
Někdy se též lze setkat s tím, že zaměstnavatelé jako právní důvod zpracování u vedení portrétních fotografií svých zaměstnanců v telefonních seznamech uvádějí souhlas subjektu údajů dle čl. 6 odst. 1 písm. a) GDPR. Považuji tento právní titul využitelný spíše u menších společností, kde se osoby navzájem znají, a účelem zpřístupnění dané fotografie je obvykle dokreslení celkového kontaktu jednotlivého zaměstnance. V každém případě, rozhodne-li se správce pro tento právní titul, je nezbytné, aby souhlas udělený zaměstnancem naplňoval požadavky, které na něj klade GDPR.[10] V této souvislosti je důležité zmínit otázku svobodnosti uděleného souhlasu vzhledem k nerovnováze sil mezi zaměstnavatel (správcem) a zaměstnancem (subjektem údajů).[11] Využití tohoto právního titulu v pracovněprávních vztazích není vyloučeno, nicméně na zaměstnavatele jsou s ohledem na jeho postavení jako silnější strany vztahu kladeny vyšší nároky na prokázání, že souhlas zaměstnance byl udělen svobodně. Odmítnutí udělení souhlasu s uveřejněním fotografie v telefonním seznamu nesmí mít pro zaměstnance žádné nepříznivé důsledky.
Pro úplnost lze uvést, že zaměstnavatel by měl též přijmout dostatečná technická opatření, aby zajistil ochranu fotografií zaměstnanců zobrazovaných v interním telefonním seznamu před jejich následným zneužíváním třetí stranou, například zamezit jejich stáhnutí a uložení, případně na ně umístit vodoznak tak, aby v případě stažení fotografií (např. za pomoci print screenu) bylo jejich šíření výrazně ztíženo.
Zpracování přesných a aktualizovaných osobních údajů
Mezi další zásady, které musí zaměstnavatel při zpracování předmětných osobních údajů dodržovat, patří zásada přesnosti stanovená v čl. 5 odst. 1 písm. d) GDPR. Otázka vedení přesných a aktualizovaných osobních údajů se do vedení telefonní seznamu bude promítat hlavně v tom, aby zaměstnavatel včas odstranil kontakty na zaměstnance, kteří u něj již nejsou zaměstnáni. Také je nezbytné dohlížet na to, aby v případě změny jména, kontaktních údajů či změny pracovního místa zaměstnance došlo k včasné aktualizaci těchto údajů i v telefonním seznamu. V případě, že dochází k propisování informace o přítomnosti nebo nepřítomnosti zaměstnance na pracoviště, např. z docházkového systému, je též důležité dohlížet na to, aby bylo zajištěno přesné a včasné zpracování osobních údajů zaměstnanců, jinak nebude naplněn stanovený účel zpracování, jímž je efektivní komunikace mezi zaměstnanci.
Informační povinnost ve vztahu k zaměstnancům
V souladu s naplněním zásady transparentnosti by měl správce o předmětném zpracování osobních údajů informovat subjekty údajů, jichž se toto zpracování týká, a to nejpozději v době získání předmětných údajů. V tomto případě se tak bude jevit jako nejvhodnější zakomponovat informaci o zpracování osobních údajů pro účely vedení osobních údajů v telefonním seznamu přímo do obecné informace o zpracování osobních údajů zaměstnanců týkajících se pracovního či služebního poměru zaměstnance u zaměstnavatele. Kromě přímého seznámení zaměstnance s informací ohledně zpracování osobních údajů je vhodné tuto informací mít též dostupnou např. na intranetovém rozhraní zaměstnavatele. Důležitou součástí informace o zpracování osobních údajů je i poučení subjektu údajů o jeho právech. Z těchto práv subjektů údajů pak lze „vypíchnout“ zejména právo vznést námitku proti zpracování osobních údajů podle č. 21 GDPR (pokud je zpracování založeno na právním titulu podle čl. 6 odst. 1 písm. e) nebo f) GDPR), na kterou má být subjekt údajů správcem výslovně upozorněn. V případě uplatnění tohoto práva pak bude na správci, aby prokázal závažné oprávněné důvody pro zpracování, které převažují nad zájmy a právy a svobodami subjektu údajů. Pokud se správce rozhodne pro zpracování na základě souhlasu subjektu údajů, musí v žádosti o udělení souhlasu (která musí být jasně odlišitelná od ostatních skutečností) subjekt údajů poučit o právu kdykoli odvolat udělený souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním.
Záznamy o činnostech zpracování
Zaměstnavatel by v souvislosti se zpracováním osobních údajů pro účely vedení telefonního seznamu neměl zapomínat ani na vypracování záznamu o činnostech zpracování, pokud mu taková povinnost vyplývá z GDPR.[12] Vzhledem k tomu, že se nejedná o (řekněme) komplikované zpracování osobních údajů, lze se domnívat, že větší úskalí pro správce může představovat samotné uvědomění si, že i na takovou běžnou věc, jako je vedení telefonního seznamu svých zaměstnanců, je nezbytné vést písemný záznam o činnostech zpracování, než samotné vyplnění záznamu o činnostech zpracování. Z informací, které písemný záznam o činnostech musí obsahovat, je v tomto případě důležité se zaměřit hlavně na správné vystižení samotného účelu a právního titulu zpracování a následné zodpovězení si otázky, jaké všechny kategorie osobních údajů a subjektů údajů obsahuje. Zda zaměstnavatel bude v telefonním seznamu evidovat pouze své zaměstnance nebo zda budou uváděny i další subjekty, jako např. externí spolupracovníci. V tomto směru je též důležité si zodpovědět otázku, kdo všechno bude mít k předmětnému telefonnímu seznamu přístup. Zda se bude jednat opravdu jen o interní telefonní seznam, kam budou nahlížet zaměstnanci správce, nebo zda bude zpřístupněn i dalším osobám, nicméně pro takovou situaci obecně neshledávám důvod (vyjma toho, že by správce měl v souvislosti s vedením telefonního seznamu informovat zpracovatele osobních údajů).
Závěrečné shrnutí
Vést ve své společnosti nebo úřadu interní telefonní seznam svých zaměstnanců představuje skvělý prostředek, jak usnadnit a zefektivnit komunikaci mezi zaměstnanci. Přestože se nejedná o žádné zpracování, které by představovalo vysoká rizika pro práva a svobody subjektů údajů a bylo by pro něj třeba vypracovávat posouzení vlivu na ochranu osobních údajů, neměl by ani přesto správce zapomínat na povinnosti, které pro něj vyplývají z GDPR. Vedle takových povinností, jako je splnění informační povinnosti ve vztahu k subjektům údajů, včetně informování o možnosti uplatnění jejich práv nebo vypracování záznamu o činnostech zpracování, bude neméně důležitým úkolem pro zaměstnavatele určení účelu zpracování a odpovídajícího právního titulu. Stěžejní otázku při vedení interního telefonního seznamu pak představuje v souladu se zásadou minimalizace zpracování vymezení nezbytného rozsahu zpracovávaných osobních údajů zaměstnanců.
Michaela Handrejchová
Autorka je právnička věnující se ochraně osobních údajů na Ministerstvu financí.
[1] Zaměstnancem se pro účely tohoto článku považuje jak zaměstnanec podle § 6 zákona č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů, tak státní zaměstnanec podle § 6 zákona č. 234/2014 Sb., o státní službě, ve znění pozdějších předpisů.
[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[3] Recitál 51 GDPR Zpracování fotografií by nemělo být systematicky považováno za zpracování zvláštních kategorií osobních údajů, neboť na fotografie se definice biometrických údajů vztahuje pouze v případech, kdy jsou zpracovávány zvláštními technickými prostředky umožňujícími jedinečnou identifikaci nebo autentizaci fyzické osoby.
[4] čl. 5 GDPR.
[5] Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:
a) právem Unie nebo
b) právem členského státu, které se na správce vztahuje.
Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Tento právní základ může obsahovat konkrétní ustanovení pro přizpůsobení uplatňování pravidel tohoto nařízení, včetně obecných podmínek, kterými se řídí zákonnost zpracování správcem, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby uložení a jednotlivých operací zpracování a postupů zpracování, jakož i dalších opatření k zajištění zákonného a spravedlivého zpracování, jako jsou opatření pro jiné zvláštní situace, při nichž dochází ke zpracování, než stanoví kapitola IX. Právo Unie nebo členského státu musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému legitimnímu cíli.
[6] § 2 až 8 zákona č. 500/2004 Sb., správní řád, ve znění pozdějších předpisů.
[7] čl. 5 odst. 1 písm. c) GDPR.
[8] Například z § 154 odst. 1 zákona č. 234/2014 Sb.
[9] srov. Kontrola zveřejňování fotografií zaměstnanců na internetových stránkách zaměstnavatele (UOOU-03225/19) https://old.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=6474&n=kontrola%2Dzverejnovani%2Dfotografii%2Dzamestnancu%2Dna%2Dinternetovych%2Dstrankach%2Dzamestnavatele%2Duoou%2D03225%2D19&p1=1099.
[10] čl. bod 11 ve spojení s čl. 7 GDPR.
[11] Pokyny č. 05/2020 EDPB k souhlasu podle nařízení 2016/679.
[12] viz čl. 30 GDPR.