Nové výzvy pro firmy: Monitoring a nahrávky zaměstnanců v kontextu GDPR

Bezpečnostní screeningy: Kdy je zaměstnavatel povinen prověřovat zaměstnance?

S příchodem připravovaného zákona o kybernetické bezpečnosti, vycházejícího z evropské směrnice NIS2, se pro tisíce českých firem otevře nová kapitola v oblasti personální politiky. Předpis aktuálně míří ke schválení do Senátu a jeho účinnost se očekává ve druhé polovině roku 2025. Nová legislativa zavádí řadu povinností – včetně zajištění bezpečnosti lidských zdrojů.

Uvedená povinnost se bude týkat organizací, které poskytují tzv. regulované služby v oblastech jako je energetika, zdravotnictví, doprava či digitální infrastruktura. Nezáleží přitom jen na odvětví, ale i na konkrétní službě a velikosti podniku. Zajištění bezpečnosti lidských zdrojů se tak stane ve firmách splňujících podmínky zákona povinnou součástí interních bezpečnostních opatření. Týká se to zejména zaměstnanců, kteří mají přístup k citlivým systémům nebo informacím.

Zákon přitom necílí na samotné zaměstnance – firmy budou muset celkově posílit svou obranu vůči kybernetickým hrozbám. To zahrnuje mimo jiné kontrolu dodavatelů, monitoring bezpečnostních incidentů, řízení rizik nebo pravidelné přezkumy zranitelností. 

Zaměstnavatelé v těchto sektorech budou muset posoudit důvěryhodnost a bezpečnostní spolehlivost svých pracovníků. Doporučuje se proto již nyní zahájit interní přípravu – ať už formou analýzy rizik, nastavením politik screeningu, nebo proškolením personálního oddělení. V opačném případě hrozí nejen sankce, ale i reputační újma.

GDPR pod tlakem: Jak sladit povinnosti podle zákona a práva zaměstnanců?

Zavedení povinných bezpečnostních opatření v rámci zákona o kybernetické bezpečnosti staví zaměstnavatele do složité pozice: na jedné straně mají zákonnou povinnost chránit kritickou infrastrukturu a prověřovat spolehlivost svých pracovníků, na straně druhé musí respektovat práva zaměstnanců na ochranu osobních údajů podle GDPR.

Zpracování osobních údajů, které může být součástí těchto opatření – například při ověřování důvěryhodnosti určitých zaměstnanců – spadá mezi citlivé operace. Aby bylo zákonné, musí být postaveno na pevném právním základu. Tím je v případě regulovaných subjektů plnění právní povinnosti podle zákona o kybernetické bezpečnosti.

Zákon počítá se zpřesněním konkrétních požadavků prostřednictvím prováděcích předpisů. Zatím se tedy očekává spíše obecný rámec, v jehož mezích budou zaměstnavatelé nastavovat své vnitřní politiky – například v oblasti přístupu k systémům, řízení rizik nebo školení zaměstnanců. Jakékoliv zpracování osobních údajů přitom musí být v souladu s principy GDPR: minimalizace údajů, účelové omezení a přiměřenost zpracování.

Screening tedy nesmí být plošný a měl by se týkat jen těch pozic, u kterých je to z hlediska kybernetické bezpečnosti skutečně odůvodněné. Doporučuje se důkladná dokumentace postupů, provedení posouzení vlivu na ochranu osobních údajů (DPIA) a spolupráce s pověřencem pro ochranu osobních údajů.

Tajné nahrávky inspekce práce: Kde končí kontrola a začíná zásah do soukromí?

S tématem bezpečnosti osobních údajů souvisí i nedávná novinka v oblasti pracovního práva. Od 1. ledna 2025 získala inspekce práce nové pravomoci – může bez předchozího upozornění pořizovat tajné zvukové, obrazové nebo zvukově-obrazové záznamy při kontrolách. Tento nástroj má sloužit zejména k efektivnějšímu odhalování nelegálního zaměstnávání, švarcsystému nebo zastřeného zprostředkování práce.

Z pohledu pracovního práva jde o významné posílení kontrolních mechanismů. Z pohledu GDPR však tato praxe otevírá zásadní otázky. Pořizování nahrávek bez vědomí zaměstnanců představuje významný zásah do soukromí, a inspekce proto musí přísně dodržovat zásady ochrany osobních údajů – včetně minimalizace, účelového omezení a bezpečného uložení dat.

Zákonnost takového záznamu je odvozena od veřejného zájmu – tedy prevence a postihu nelegální práce. Nahrávky však smějí být použity výhradně k tomuto účelu, a to jen tehdy, pokud není možné získat důkazy jiným způsobem.

Pro zaměstnavatele to znamená větší důraz na legální zaměstnávání a pečlivé vedení dokumentace. Každá kontrola, i ta „neviditelná“, musí ustát nejen právní, ale i etické měřítko – a to jak z pohledu inspektorů, tak samotných firem.

Publikováno 2.7.2025