Jak zacházet s osobními údaji zaměstnance při zpracování mezd?
Zpracování mezd a platů zaměstnanců je nedílnou součástí každého pracovněprávního vztahu a s tímto procesem je vždy spojena nutnost pracovat s citlivými osobními údaji zaměstnanců. Zaměstnavatelé jsou proto povinni dodržovat přísná pravidla stanovená evropským nařízením o ochraně osobních údajů, známým pod zkratkou GDPR, a to v každém kroku mzdového procesu, od samotného výpočtu mzdy až po její vyplacení a archivaci příslušných dokladů.
Zákonný základ pro zpracování osobních údajů v mzdové agendě
Zpracování osobních údajů zaměstnanců v rámci vedení mzdové agendy, tedy při výpočtu, zpracování a vyplácení mezd, představuje z hlediska nařízení GDPR zákonnou povinnost zaměstnavatele, nikoli pouhou možnost nebo volitelnou aktivitu. Tento závěr přímo vyplývá z článku 6 nařízení GDPR, který stanovuje podmínky zákonnosti zpracování osobních údajů a který jednoznačně uvádí, že zpracování osobních údajů je zákonné tehdy, pokud je prováděno v rozsahu nezbytném pro splnění právních povinností, jež se vztahují na správce údajů. V praxi to znamená, že zaměstnavatel jako plátce daně ze závislé činnosti je plně oprávněn zpracovávat osobní údaje svých zaměstnanců pro účely zdanění jejich příjmů, a to v rozsahu, který výslovně vyžaduje zákon o daních z příjmů, přičemž k takovému zpracování nepotřebuje souhlas samotného zaměstnance jakožto subjektu osobních údajů. Účel zpracování je přitom naprosto jasně vymezen a nezpochybnitelný – jde o vedení mzdové agendy a plnění zákonných povinností, které zákon ukládá daňovému subjektu v postavení plátce daně ze závislé činnosti, a tento účel sám o sobě představuje dostatečný a legitimní právní základ pro veškeré zpracování osobních údajů v tomto kontextu.
Mzdové listy a rozsah zpracovávaných osobních údajů
S povinností zpracovávat mzdy je z titulu zákona o daních z příjmů přímo a neodlučitelně svázána další klíčová povinnost zaměstnavatele, a sice povinnost vést mzdové listy všech svých zaměstnanců, které musí obsahovat přesně stanovené osobní údaje zaměstnance nezbytné pro účely správného zdanění jeho příjmů ze závislé činnosti. Konkrétní výčet osobních údajů, které musí mzdový list povinně obsahovat, jednoznačně a taxativně vymezuje ustanovení § 38j odst. 2 zákona o daních z příjmů, přičemž zaměstnavatel nesmí bez právního základu zpracovávat údaje nad rámec tohoto zákonem stanoveného rozsahu, neboť by tím porušoval zásadu minimalizace údajů, která je jedním ze základních principů nařízení GDPR. Kromě samotného vedení mzdových listů jsou zaměstnavatelé rovněž oprávněni pořizovat si kopie dokladů, které zaměstnanci předkládají za účelem uplatnění daňových slev a dalších daňových výhod, přičemž tyto kopie slouží výhradně k tomu, aby zaměstnavatel mohl v případě potřeby doložit správnost svého postupu při srážení daně nebo zálohy na daň z příjmů ze závislé činnosti, a jejich uchování je proto plně odůvodněno zákonnou povinností zaměstnavatele.
Povinnosti zaměstnavatele jako správce osobních údajů a ochrana před jejich zneužitím
Zaměstnavatel, který je v kontextu mzdové agendy současně plátcem daně ze závislé činnosti a správcem osobních údajů ve smyslu nařízení GDPR, je povinen se všemi osobními údaji zaměstnanců nakládat takovým způsobem, aby byla vždy a za všech okolností zajištěna jejich důsledná ochrana před jakýmkoli neoprávněným přístupem, zneužitím, ztrátou, zničením nebo jiným nežádoucím nakládáním, a to prostřednictvím vhodných technických i organizačních opatření odpovídajících povaze a rozsahu zpracovávaných údajů. Zaměstnavatel musí zejména dbát na to, aby přístup k mzdovým a osobním údajům zaměstnanců byl umožněn pouze těm pracovníkům, kteří jej skutečně potřebují k výkonu své pracovní náplně, aby veškeré zpracování probíhalo v zabezpečeném prostředí a aby byly dodrženy zákonné lhůty pro uchovávání příslušné dokumentace, po jejichž uplynutí musí být osobní údaje řádně a bezpečně zlikvidovány, a tím byl celý cyklus správy osobních údajů v rámci mzdové agendy uzavřen v souladu s platnou právní úpravou.
