Osobné údaje zamestnancov a povinnosti zamestnávateľa pri ich spracúvaní podľa GDPR (1. časť)

Jednou z najdôležitejších oblastí, ktorých sa týka spracúvanie a ochrana osobných údajov fyzických osôb je personálna a mzdová agenda. V 1. časti článku si povieme, akými úkonmi má zamestnávateľ začať pri zabezpečovaní súladu s novou legislatívou a podrobnejšie si rozoberieme zásady a pravidlá, ktoré sú základom pri spracúvaní osobných údajov zamestnancov.

Od 25. mája 2018 vstúpi do platnosti nový zákon o ochrane osobných údajov č. 18/2018 (ďalej len "zákon") a nariadenie č. 2016/679, známe ako GDPR (General Data Protection Regulation). Legislatíva týkajúca sa ochrany osobných údajov výrazne ovplyvňuje nielen každú fyzickú osobu, ale aj každého podnikateľa a obzvlášť zamestnávateľa. Preto je potrebné tejto téme venovať špeciálnu pozornosť.

Každý zamestnanec je fyzickou osobou (ďalej aj ako "dotknutá osoba"), od ktorej zamestnávateľ (ďalej aj ako "prevádzkovateľ") získava a následne ďalej spracúva veľké množstvo osobných údajov, vrátane osobitnej kategórie osobných údajov (napr. údaj o zdravotnej spôsobilosti), ale aj údaje o rodinných príslušníkoch (napr. z rodných listov detí, sobášnych listov).

Každý zamestnávateľ musí zanalyzovať doterajšie spracúvanie osobných údajov a zosúladiť ho s novou legislatívou.

Vzhľadom na veľmi rozsiahlu agendu si rozoberieme (aj s príkladmi) tie podstatnejšie prvky v novej legislatíve, ktoré sa dotýkajú bežných menších a stredne veľkých zamestnávateľov.

Ako teda začať? Prvým krokom je podrobný audit:

Pravidlá a zásady pri spracúvaní osobných údajov

1) Zásada zákonnosti

Prevádzkovateľ má právo spracúvať len také osobné údaje, ktorých právnym základom je:

2) Spravodlivosť a transparentnosť

Všetky informácie súvisiace so spracúvaním osobných údajov dotknutej osoby by mali byť ľahko prístupné a ľahko pochopiteľné a formulované jasne a jednoducho.

Pri získavaní osobných údajov od dotknutej osoby je potrebné ju informovať, na aké účely osobné údaje prevádzkovateľ získava, komu ich poskytuje, ako dlho ich bude uchovávať a ďalšie podmienky súvisiace so spracúvaním osobných údajov. Splnenie tejto tzv. informačnej povinnosti musí vedieť zamestnávateľ preukázať.

3) Zásada obmedzenia účelu

Získavať osobné údaje je možné len na konkrétny, oprávnený a nevyhnutný účel,  ktorý musí byť dotknutej osobe vopred a preukázateľne oznámený. Osobné údaje sa nesmú ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom.

Príklad: Zamestnávateľ spracúva osobné údaje zo životopisu uchádzača o zamestnanie za účelom realizácie náborového procesu. S úspešným uchádzačom zamestnávateľ podpíše pracovnú zmluvu. Osobné údaje zo životopisu (samotný životopis) musí následne zlikvidovať, pretože zanikol dôvod, na ktorý boli tieto údaje pôvodne získané a spracúvané.

3) Zásada minimalizácie

Prevádzkovateľ získava, spracúva a uchováva osobné údaje (o budúcich, súčasných, aj bývalých  zamestnancoch) len v takom rozsahu, ktorý je nevyhnutný na dosiahnutie daného účelu. Prevádzkovateľ nie je oprávnený získavať a spracúvať akýkoľvek iný "zbytočný" osobný údaj. Ak taký už má, treba ho zlikvidovať, napr. kópie občianskych preukazov alebo preukazov poistencov v osobných zložkách zamestnancov, alebo anonymizovať, ak je to možné.

Príklad: Ešte pred nástupom do zamestnania zamestnávateľ pripravuje pracovnú zmluvu a do hlavičky potrebuje vpísať osobné údaje do zamestnanca. Treba sa riadiť zásadou minimalizácie, tzn. na účely identifikácie zmluvnej strany si vyžiadať len nevyhnutné údaje, napr. titul, meno, priezvisko, adresu trvalého bydliska, dátum prípadne len rok narodenia zamestnanca.

Netreba zabudnúť na kontrolu osobného spisu zamestnanca, pri jeho odchode. Akékoľvek údaje, ktoré už zamestnávateľ o zamestnancovi nepotrebuje, zlikvidovať alebo anonymizovať.

4) Uplatnenie práv dotknutej osoby

Novou legislatívou vznikajú nové, resp. sprísňujú sa už existujúce práva dotknutých osôb:

Prevádzkovateľ musí dotknutú osobu informovať o svojich právach a umožniť jej uplatniť tieto práva (odporúča sa vo svojich interných predpisoch vypracovať aj postupy pri uplatňovaní práv).

Podrobné  informácie o právach a ich uplatnení sú v recitáloch 63 až 73 GDPR, článkoch 12 až 22 GDPR a § 21 až 29 zákona.

6) Správnosť osobných údajov a doba uchovávania

Prevádzkovateľ má spracúvať len také osobné údaje, ktoré sú správne, podľa potreby aktualizované a uchovávať ich len pokým je to potrebné na účel, na ktorý sa osobné údaje získali.

U zamestnávateľov to môže byť napríklad:

a) po dobu,  na ktorú ho oprávňujú osobitné predpisy (napr. uchovávanie osobných spisov zamestnancov len po zákonom stanovenú dobu),

b) po dobu, na ktorú mu dal zamestnanec súhlas (napr. zverejnenie fotografie na firemnom webe počas trvania pracovného pomeru).

Osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu. V opačnom prípade je potrebné ich po stanovej dobe uchovávania zlikvidovať v písomnej aj v elektronickej podobe (nezabudnúť na e-maile).

7) Integrita, dôvernosť, zodpovednosť = bezpečnosť spracúvania osobných údajov

Prevádzkovateľ je povinný spracúvať osobné údaje takým spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním, náhodnou stratou, zničením alebo poškodením.

Je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov a za súlad s týmito zásadami, ktorý je na požiadanie úradu povinný preukázať (bezpečnostnou dokumentáciou, internými predpismi, poučeniami oprávnených osôb, atď.).

Na tento účel musí prijať náležité technické a organizačné opatrenia, aby sa zabezpečila ochrana pri získavaní, spracúvaní, uchovávaní a archivácii osobných údajov.

V 2. časti článku si povieme, na základe akých právnych základov môže zamestnávateľ spracúvať osobné údaje zamestnancov, aké informácie im musí poskytnúť pri získavaní ich údajov a vysvetlíme si súhlas so spracúvaním osobných údajov.

Silvia Dutková

Silvia DutkováAko personálny poradca a audítor vo FINAP Consulting odbremeňujem podnikateľov od komplikovanej personálnej agendy, pomáham im s nábormi, nastavujem HR dokumentáciu a vytváram GDPR riešenia na mieru, a to v začínajúcich aj v existujúcich firmách. Spolu s tímom realizujeme externé zamestnanecké prieskumy a hodnotenia zamestnancov. Viac informácií

Prejsť na začiatok stránky