Osobné údaje zamestnancov a povinnosti zamestnávateľa pri ich spracúvaní podľa GDPR (1. časť)
Jednou z najdôležitejších oblastí, ktorých sa týka spracúvanie a ochrana osobných údajov fyzických osôb je personálna a mzdová agenda. V 1. časti článku si povieme, akými úkonmi má zamestnávateľ začať pri zabezpečovaní súladu s novou legislatívou a podrobnejšie si rozoberieme zásady a pravidlá, ktoré sú základom pri spracúvaní osobných údajov zamestnancov.

Od 25. mája 2018 vstúpi do platnosti nový zákon o ochrane osobných údajov č. 18/2018 (ďalej len "zákon") a nariadenie č. 2016/679, známe ako GDPR (General Data Protection Regulation). Legislatíva týkajúca sa ochrany osobných údajov výrazne ovplyvňuje nielen každú fyzickú osobu, ale aj každého podnikateľa a obzvlášť zamestnávateľa. Preto je potrebné tejto téme venovať špeciálnu pozornosť.
Každý zamestnanec je fyzickou osobou (ďalej aj ako "dotknutá osoba"), od ktorej zamestnávateľ (ďalej aj ako "prevádzkovateľ") získava a následne ďalej spracúva veľké množstvo osobných údajov, vrátane osobitnej kategórie osobných údajov (napr. údaj o zdravotnej spôsobilosti), ale aj údaje o rodinných príslušníkoch (napr. z rodných listov detí, sobášnych listov).
Každý zamestnávateľ musí zanalyzovať doterajšie spracúvanie osobných údajov a zosúladiť ho s novou legislatívou.
Vzhľadom na veľmi rozsiahlu agendu si rozoberieme (aj s príkladmi) tie podstatnejšie prvky v novej legislatíve, ktoré sa dotýkajú bežných menších a stredne veľkých zamestnávateľov.
Ako teda začať? Prvým krokom je podrobný audit:
- identifikácia všetkých osobných údajov spracúvaných vo firme a označenie tzv. citlivých údajov (osobitná kategória osobných údajov),
- zistiť, ktoré údaje sú nepotrebné a tie zlikvidovať (prípadne anonymizovať),
- analyzovať toky všetkých osobných údajov a zistiť, kde a aké osobné údaje sú uložené, ako sú zabezpečené, kto k ním má prístup, ako sa vymazávajú, zálohujú a archivujú, komu sa poskytujú a či sa prenášajú do tretích krajín,
- aktualizácia zoznamu sprostredkovateľov, kontrola tzv. sprostredkovateľských zmlúv a porovnanie súladu s novou legislatívou,
- vyhodnotenie podmienok pre zabezpečenie zodpovednej osoby,
- kontrola obsahu súhlasov so spracúvaním osobných údajov + analýza, či v prípadoch, kde boli doteraz súhlasy povinné, sú i naďalej,
- zistiť, ktoré osoby v spoločnosti spracúvajú osobné údaje a aké majú prístupy a odznova ich poučiť (poveriť) podľa novej legislatívy,
- analýza práv dotknutých osôb, právnych základov a zásad pri spracúvaní osobných údajov a nových povinností prevádzkovateľa, ktoré sú základom pri bezpečnom spracúvaní údajov a pri príprave samotnej dokumentácie k ochrane osobných údajov.
Pravidlá a zásady pri spracúvaní osobných údajov
1) Zásada zákonnosti
Prevádzkovateľ má právo spracúvať len také osobné údaje, ktorých právnym základom je:
- zákon, resp. osobitné predpisy (napr. Zákonník práce v prípade vedenia personálnej a mzdovej agendy),
- zmluva, v ktorej zmluvnou stranou je dotknutá osoba (napr. zmluva o predaji ojazdených áut so zamestnancom),
- oprávnený záujem prevádzkovateľa (napr. monitorovanie priestorov spoločnosti z dôvodu ochrany majetku zamestnávateľa),
- súhlas dotknutej osoby (napr. propagačný materiál s fotografiou zamestnanca za účelom prezentácie firmy),
- ochrana životne dôležitých záujmov dotknutej osoby,
- splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
2) Spravodlivosť a transparentnosť
Všetky informácie súvisiace so spracúvaním osobných údajov dotknutej osoby by mali byť ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho.
Pri získavaní osobných údajov od dotknutej osoby je potrebné ju informovať, na aké účely osobné údaje prevádzkovateľ získava, komu ich poskytuje, ako dlho ich bude uchovávať a ďalšie podmienky súvisiace so spracúvaním osobných údajov. Splnenie tejto tzv. informačnej povinnosti musí vedieť zamestnávateľ preukázať.
3) Zásada obmedzenia účelu
Získavať osobné údaje je možné len na konkrétny, oprávnený a nevyhnutný účel, ktorý musí byť dotknutej osobe vopred a preukázateľne oznámený. Osobné údaje sa nesmú ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom.
Príklad: Zamestnávateľ spracúva osobné údaje zo životopisu uchádzača o zamestnanie za účelom realizácie náborového procesu. S úspešným uchádzačom zamestnávateľ podpíše pracovnú zmluvu. Osobné údaje zo životopisu (samotný životopis) musí následne zlikvidovať, pretože zanikol dôvod, na ktorý boli tieto údaje pôvodne získané a spracúvané.
3) Zásada minimalizácie
Prevádzkovateľ získava, spracúva a uchováva osobné údaje (o budúcich, súčasných, aj bývalých zamestnancoch) len v takom rozsahu, ktorý je nevyhnutný na dosiahnutie daného účelu. Prevádzkovateľ nie je oprávnený získavať a spracúvať akýkoľvek iný "zbytočný" osobný údaj. Ak taký už má, treba ho zlikvidovať, napr. kópie občianskych preukazov alebo preukazov poistencov v osobných zložkách zamestnancov, alebo anonymizovať, ak je to možné.
Príklad: Ešte pred nástupom do zamestnania zamestnávateľ pripravuje pracovnú zmluvu a do hlavičky potrebuje vpísať osobné údaje do zamestnanca. Treba sa riadiť zásadou minimalizácie, tzn. na účely identifikácie zmluvnej strany si vyžiadať len nevyhnutné údaje, napr. titul, meno, priezvisko, adresu trvalého bydliska, dátum prípadne len rok narodenia zamestnanca.
Netreba zabudnúť na kontrolu osobného spisu zamestnanca, pri jeho odchode. Akékoľvek údaje, ktoré už zamestnávateľ o zamestnancovi nepotrebuje, zlikvidovať alebo anonymizovať.
4) Uplatnenie práv dotknutej osoby
Novou legislatívou vznikajú nové, resp. sprísňujú sa už existujúce práva dotknutých osôb:
- právo na prístup k svojim osobným údajom,
- právo na ich opravu, vymazanie (právo "byť zabudnutý") a na obmedzenie spracúvania,
- právo namietať voči spracúvaniu,
- právo na prenosnosť údajov,
- právo odmietnuť automatizované individuálne rozhodovanie pri spracúvaní údajov vrátane profilovania,
- právo podať sťažnosť na príslušnom dozornom orgáne (Úrad na ochranu osobných údajov).
Prevádzkovateľ musí dotknutú osobu informovať o svojich právach a umožniť jej uplatniť tieto práva (odporúča sa vo svojich interných predpisoch vypracovať aj postupy pri uplatňovaní práv).
Podrobné informácie o právach a ich uplatnení sú v recitáloch 63 až 73 GDPR, článkoch 12 až 22 GDPR a § 21 až 29 zákona.
6) Správnosť osobných údajov a doba uchovávania
Prevádzkovateľ má spracúvať len také osobné údaje, ktoré sú správne, podľa potreby aktualizované a uchovávať ich len pokým je to potrebné na účel, na ktorý sa osobné údaje získali.
U zamestnávateľov to môže byť napríklad:
a) po dobu, na ktorú ho oprávňujú osobitné predpisy (napr. uchovávanie osobných spisov zamestnancov len po zákonom stanovenú dobu),
b) po dobu, na ktorú mu dal zamestnanec súhlas (napr. zverejnenie fotografie na firemnom webe počas trvania pracovného pomeru).
Osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu. V opačnom prípade je potrebné ich po stanovej dobe uchovávania zlikvidovať v písomnej aj v elektronickej podobe (nezabudnúť na e-maile).
7) Integrita, dôvernosť, zodpovednosť = bezpečnosť spracúvania osobných údajov
Prevádzkovateľ je povinný spracúvať osobné údaje takým spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním, náhodnou stratou, zničením alebo poškodením.
Je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov a za súlad s týmito zásadami, ktorý je na požiadanie úradu povinný preukázať (bezpečnostnou dokumentáciou, internými predpismi, poučeniami oprávnených osôb, atď.).
Na tento účel musí prijať náležité technické a organizačné opatrenia, aby sa zabezpečila ochrana pri získavaní, spracúvaní, uchovávaní a archivácii osobných údajov.
V 2. časti článku si povieme, na základe akých právnych základov môže zamestnávateľ spracúvať osobné údaje zamestnancov, aké informácie im musí poskytnúť pri získavaní ich údajov a vysvetlíme si súhlas so spracúvaním osobných údajov.
Tento článok má len informatívny charakter a nemôže byť považovaný za právne stanovisko alebo radu ako postupovať v konkrétnom prípade, alebo ako takýto prípad posúdiť.
Upozornenie: Článok podlieha zákonu č. 185/2015 Z. z. Autorský zákon. Akékoľvek jeho ďalšie šírenie, šírenie jeho časti alebo jeho použitie na komerčné účely bez súhlasu autora môže mať za následok uplatnenie práv autora vyplývajúcich mu z Autorského zákona a iných právnych predpisov.