Docházková data jsou osobní údaje – a to citlivé
Každý záznam v docházkovém systému – příchod, odchod, přestávka, absence – je osobním údajem ve smyslu článku 4 GDPR. Pokud systém používá biometrické údaje (otisk prstu, rozpoznání obličeje), jedná se dokonce o zvláštní kategorii osobních údajů podle článku 9. Úřad pro ochranu osobních údajů (ÚOOÚ) již uložil několik pokut firmám, které s docházkovými daty zacházely lehkovážně.
Právní základ: souhlas, nebo oprávněný zájem?
Pro vedení evidence pracovní doby nepotřebujete souhlas zaměstnance. Právním základem je plnění zákonné povinnosti (čl. 6 odst. 1 písm. c GDPR) – konkrétně § 96 zákoníku práce. Pozor ale: pokud systém sbírá údaje nad rámec zákonné povinnosti (GPS poloha, fotografie, biometrie), musíte použít jiný právní základ, typicky oprávněný zájem zaměstnavatele s řádně provedeným balančním testem.
10 zásad GDPR compliance pro docházkový systém
1. Minimalizace dat
Sbírejte pouze údaje, které skutečně potřebujete. Evidence docházky vyžaduje čas příchodu, odchodu, přestávek a typ absence. GPS souřadnice s přesností na metr nebo nepřetržité sledování polohy jsou nepřiměřené.
2. Transparentnost vůči zaměstnancům
Informujte zaměstnance podle článku 13 GDPR: jaké údaje sbíráte, proč, jak dlouho je uchováváte a kdo k nim má přístup. Ideálně formou interní směrnice, která je součástí onboardingu.
3. Omezení přístupu
Ne každý ve firmě potřebuje vidět docházku všech. Vedoucí vidí svůj tým, HR vidí celou firmu, mzdová účtárna vidí data potřebná pro výpočet mezd. Docházkový systém musí umožnit granulární řízení přístupových práv.
4. Doba uchování dat
Zákon č. 582/1991 Sb. o sociálním zabezpečení vyžaduje uchování mzdových a evidenčních listů po dobu 45 let (pro účely důchodového pojištění). Samotné denní záznamy evidence docházky však stačí uchovávat 3–5 let pro případ kontroly. Po uplynutí doby data smažte nebo anonymizujte.
5. Bezpečnost zpracování
Článek 32 GDPR vyžaduje přiměřená technická a organizační opatření. Pro systém evidence docházky to znamená: šifrování dat při přenosu i v úložišti, dvoufaktorové přihlášení pro administrátory, pravidelné zálohy a testování obnovy.
6. Zpracovatelská smlouva s dodavatelem
Pokud používáte cloudový docházkový systém, dodavatel je zpracovatelem osobních údajů. Musíte s ním uzavřít smlouvu podle článku 28 GDPR. Zkontrolujte, kde jsou data uložena – při přenosu mimo EU/EEA potřebujete dodatečný právní mechanismus.
7. Posouzení vlivu na ochranu údajů (DPIA)
Pokud docházkový systém systematicky monitoruje zaměstnance (biometrie, GPS, automatické rozhodování), je DPIA povinné podle článku 35 GDPR. I bez povinnosti je rozumné DPIA provést – slouží jako důkaz, že jste rizika zvážili.
8. Práva zaměstnanců
Zaměstnanec má právo na přístup ke svým docházkovým datům, opravu nepřesností a za určitých podmínek i na výmaz. Váš systém musí umožnit export dat zaměstnance ve strukturovaném formátu (právo na přenositelnost).
9. Evidence zpracovatelských činností
Podle článku 30 GDPR musíte vést záznamy o zpracování. Evidence pracovní doby je jednou ze zpracovatelských činností, která musí být v těchto záznamech popsána – včetně účelu, kategorií údajů, příjemců a doby uchování.
10. Řešení incidentů
Únik docházkových dat je bezpečnostní incident. Máte 72 hodin na oznámení ÚOOÚ podle článku 33 GDPR. Mějte připravený plán reakce na incidenty, který zahrnuje i váš docházkový systém.
Závěr: GDPR jako konkurenční výhoda
Soulad s GDPR není jen povinnost – je to signál zaměstnancům, že s jejich daty zacházíte odpovědně. TimeHunter je navržen s principem privacy by design: data jsou šifrována, přístupy granulárně řízeny a systém automaticky upozorní na záznamy, kterým končí doba uchování.