Plnění právních povinností plátce daně z hlediska osobních údajů

1. Základní princip zpracování osobních údajů v rámci mzdové agendy

• Zaměstnavatel, který vystupuje v právním postavení plátce daně z příjmů fyzických osob, je ze zákona povinen shromažďovat, evidovat, uchovávat a zpracovávat osobní údaje svých zaměstnanců, a to výhradně za účelem řádného plnění povinností vyplývajících ze zákona o daních z příjmů a dalších souvisejících právních předpisů upravujících oblast mzdové agendy.
• Tato zákonná povinnost představuje samostatný a zcela legitimní právní titul pro zpracování osobních údajů zaměstnanců, který je plně uznáván a zakotven v evropském nařízení GDPR i v českém právním řádu.
• Zaměstnavatel tedy při zpracování osobních údajů pro účely mzdové a daňové agendy nevystupuje jako subjekt, který by potřeboval jakékoli dobrovolné svolení zaměstnance, neboť jeho oprávnění ke zpracování těchto údajů vyplývá přímo a závazně ze zákona.

2. Souhlas zaměstnance se zpracováním osobních údajů – není potřeba, ba dokonce je zakázán

• Zaměstnavatel v případě zpracování osobních údajů pro mzdové a daňové účely nejen že nepotřebuje souhlas zaměstnance se zpracováním jeho osobních údajů, ale dokonce by bylo právně nesprávné a zavádějící, kdyby takový souhlas po zaměstnanci požadoval.
• Důvodem tohoto zákazu je skutečnost, že souhlas se zpracováním osobních údajů musí být podle nařízení GDPR vždy svobodný, informovaný a dobrovolný, přičemž zaměstnanec musí mít reálnou možnost souhlas odmítnout bez jakýchkoli negativních důsledků pro svůj pracovní poměr.
• Pokud by zaměstnavatel souhlas požadoval i přesto, že zpracování osobních údajů provádí na základě zákonné povinnosti, vytvářel by tím falešný dojem, že zaměstnanec má možnost zpracování odmítnout, což by bylo v přímém rozporu s principy ochrany osobních údajů stanovenými nařízením GDPR.
• Zákonná povinnost jako právní titul pro zpracování osobních údajů tedy v tomto případě zcela nahrazuje a vylučuje potřebu souhlasu zaměstnance, přičemž zaměstnavatel je oprávněn zpracovávat příslušné osobní údaje bez ohledu na případné námitky nebo nesouhlas zaměstnance.

3. Informační povinnost zaměstnavatele vůči zaměstnancům

• Přestože zaměstnavatel nepotřebuje souhlas zaměstnanců se zpracováním jejich osobních údajů pro mzdové a daňové účely, je povinen zaměstnance o tomto zpracování řádně a transparentně informovat, a to v souladu s požadavky nařízení GDPR.
• Tato informační povinnost se zpravidla plní prostřednictvím příslušného ujednání přímo v pracovní smlouvě nebo prostřednictvím samostatného dokumentu připojeného k pracovní smlouvě či mzdovému výměru, který zaměstnanci obdrží při nástupu do zaměstnání.
• Zaměstnanec musí být srozumitelně a jasně informován o tom, že jeho osobní údaje jsou zpracovávány, jaké konkrétní kategorie osobních údajů jsou předmětem zpracování, z jakého právního důvodu a za jakým konkrétním účelem ke zpracování dochází, jak dlouho budou jeho osobní údaje uchovávány a jaká jsou jeho práva jakožto subjektu údajů.
• V rámci informování o zpracování osobních údajů pro mzdové a daňové účely musí zaměstnavatel zaměstnanci sdělit zejména skutečnost, že zpracování probíhá na základě zákonné povinnosti plátce daně z příjmů fyzických osob vyplývající ze zákona o daních z příjmů a dalších relevantních právních předpisů.

4. Povinnosti zaměstnavatele v oblasti zabezpečení zpracovávaných osobních údajů

• Zaměstnavatel je povinen zajistit, aby veškeré osobní údaje zaměstnanců zpracovávané v rámci mzdové a daňové agendy byly vždy řádně a přísně zabezpečeny před jakýmkoli neoprávněným přístupem, zneužitím, ztrátou, zničením nebo jiným nežádoucím nakládáním s těmito údaji.
• Zabezpečení osobních údajů musí odpovídat aktuálním technickým a organizačním standardům vyžadovaným nařízením GDPR, přičemž zaměstnavatel je povinen pravidelně přezkoumávat a aktualizovat přijatá bezpečnostní opatření s ohledem na vývoj technologií a identifikovaná rizika.
• K osobním údajům zaměstnanců zpracovávaným pro mzdové a daňové účely smí mít přístup pouze oprávněné osoby, tedy zejména pracovníci mzdové účtárny, personálního oddělení nebo pověřený externí zpracovatel mezd, a to vždy pouze v rozsahu nezbytném pro plnění jejich pracovních povinností.
• Zaměstnavatel musí rovněž zajistit, aby veškerá technická infrastruktura využívaná ke zpracování mzdových a daňových údajů zaměstnanců byla chráněna odpovídajícími bezpečnostními mechanismy, jako jsou například šifrování dat, přístupová hesla, antivirová ochrana a pravidelné zálohy dat.

5. Zákaz použití osobních údajů k jiným účelům

• Zaměstnavatel je povinen striktně dodržovat zásadu účelového omezení zpracování osobních údajů, která je jednou ze základních zásad ochrany osobních údajů zakotvených v nařízení GDPR, a která zaměstnavateli zakazuje použít zpracovávané osobní údaje zaměstnanců k jakýmkoli jiným účelům, než ke kterým byly původně shromážděny.
• Osobní údaje zaměstnanců shromážděné a zpracovávané výhradně pro účely plnění mzdové a daňové agendy tedy nesmí být bez dalšího použity například pro marketingové účely, pro budování interních zaměstnaneckých profilů nesouvisejících s mzdovou agendou, pro sdílení s třetími stranami bez zákonného titulu ani pro jakékoli jiné účely nesouvisející s plněním zákonné povinnosti plátce daně.
• Pokud by zaměstnavatel chtěl použít osobní údaje zaměstnanců k jinému účelu, než pro který byly původně shromážděny, musel by pro takové další zpracování disponovat samostatným a zcela nezávislým právním titulem, jako je například souhlas zaměstnance, jiná zákonná povinnost nebo oprávněný zájem zaměstnavatele, přičemž tento nový účel zpracování by musel být slučitelný s původním účelem.
• Porušení zásady účelového omezení zpracování osobních údajů by mohlo mít pro zaměstnavatele závažné právní důsledky v podobě pokut a sankcí ukládaných Úřadem pro ochranu osobních údajů, které mohou v případě závažných porušení nařízení GDPR dosahovat velmi vysokých částek.

Mohlo by vás také zajímat: Co je evidence mezd? Jaký mzdový software pořídit na jednotné měsíční hlášení zaměstnavatele?