Co znamená plnění právních povinností plátce daně z hlediska osobních údajů?
Zaměstnavatel, který vystupuje v pozici plátce daně z příjmů fyzických osob, je ze zákona povinen shromažďovat, uchovávat a zpracovávat osobní údaje svých zaměstnanců v rámci mzdové agendy, přičemž tato povinnost vyplývá přímo ze zákona o daních z příjmů a zakládá mu automatický právní titul ke zpracování těchto údajů bez nutnosti získávat od zaměstnanců jakýkoliv výslovný souhlas, ba dokonce by si takový souhlas v dané situaci ani vyžadovat neměl.
Informační povinnost zaměstnavatele vůči zaměstnancům
Přestože zaměstnavatel v souvislosti se zpracováním mzdových a daňových záležitostí svých zaměstnanců nepotřebuje jejich výslovný souhlas se zpracováním osobních údajů, neznamená to v žádném případě, že by byl zcela zproštěn veškerých informačních povinností, které mu v této oblasti ukládají příslušné právní předpisy, neboť zaměstnavatel je naopak ze zákona povinen každého svého zaměstnance řádně a srozumitelně informovat, a to zpravidla přímo v pracovní smlouvě nebo ve mzdovém výměru, o tom, že jeho osobní údaje jsou zpracovávány, za jakým konkrétním účelem k tomuto zpracování dochází, tedy zejména pro potřeby výpočtu a výplaty mzdy a pro účely zákonného odvodu daně z příjmů fyzických osob příslušnému finančnímu úřadu, a tato informační povinnost musí být splněna jasně, transparentně a v souladu se všemi požadavky, které na zaměstnavatele klade platná legislativa na ochranu osobních údajů.
Povinnosti zaměstnavatele vyplývající z nařízení GDPR
Skutečnost, že zaměstnavatel zpracovává osobní údaje zaměstnanců na základě zákonné povinnosti a nikoliv na základě jejich souhlasu, jej nijak nezbavuje odpovědnosti za řádné zabezpečení těchto údajů a za dodržování všech povinností, které mu v oblasti ochrany osobních údajů ukládá evropské nařízení GDPR, na jehož základě je zaměstnavatel povinen zajistit, aby veškeré osobní údaje zaměstnanců, které v rámci mzdové a daňové agendy zpracovává, byly za všech okolností přísně a účinně chráněny před jakýmkoliv neoprávněným přístupem třetích osob, před jejich případnou ztrátou, zničením, poškozením nebo jakoukoliv jinou formou zneužití, a to prostřednictvím odpovídajících technických i organizačních bezpečnostních opatření, která musí být průběžně aktualizována a přizpůsobována aktuálním rizikům spojeným s ochranou zpracovávaných dat.
Zákaz použití osobních údajů k jiným účelům
Zásadní a naprosto nezpochybnitelnou součástí povinností, které zaměstnavatel jako správce osobních údajů musí v každém případě bezpodmínečně dodržovat, je rovněž striktní zákaz použití jakýchkoliv osobních údajů zaměstnanců získaných a zpracovávaných v rámci mzdové a daňové agendy k jakémukoliv jinému účelu, než pro který byly tyto údaje původně shromážděny, což znamená, že zaměstnavatel je oprávněn využívat dané osobní údaje výhradně pro potřeby výpočtu, zpracování a výplaty mezd a pro účely zákonného odvodu daně z příjmů fyzických osob, přičemž jakékoliv jiné využití těchto údajů, ať již by se jednalo o jejich předání třetím stranám bez zákonného důvodu, jejich využití pro marketingové nebo obchodní účely, nebo jakoukoliv jinou formu nakládání s nimi překračující stanovený účel zpracování, by představovalo závažné porušení jak příslušných ustanovení nařízení GDPR, tak i dalších platných právních předpisů upravujících ochranu osobních údajů, a mohlo by mít pro zaměstnavatele velmi závažné právní i finanční důsledky.
