Osobné údaje zamestnancov a povinnosti zamestnávateľa pri ich spracúvaní podľa GDPR (2. časť)

V 2. časti si rozoberieme, na základe akých právnych základov môže zamestnávateľ spracúvať osobné údaje zamestnancov a aké informácie im musí poskytnúť pri ich získavaní.

V 1. časti článku sme si povedali, akými úkonmi má zamestnávateľ začať pri zabezpečovaní súladu s novou legislatívou a rozobrali si zásady a pravidlá, ktoré sú základom pri spracúvaní osobných údajov zamestnancov.

Právne základy získavania a spracúvania údajov (čl. 6 GDPR, §13 zákona)

1) Osobitný predpis alebo medzinárodná zmluva

Prevádzkovateľ je oprávnený spracúvať osobné údaje dotknutej osoby bez jej súhlasu, ak  spracúvanie týchto osobných údajov je nevyhnutné podľa osobitného predpisu (zákona) alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

Príklad 1: Podľa Zákonníka práce môže zamestnávateľ uzatvoriť pracovnoprávny vzťah len s takou fyzickou osobou, ktorá je zdravotne spôsobilá vykonávať danú prácu, tzn. má právo spracúvať aj osobitnú kategóriu osobných údajov zamestnanca, ktorým je zdravotný stav (napr. potvrdenie lekára o zdravotnej spôsobilosti).

Pozn.: medzi osobitnú kategóriu osobných údajov, tzv. citlivé osobné údaje už nepatrí fotografia zamestnanca, ani jeho rodné číslo a vlastnoručný podpis.

Príklad 2: Na účely vedenia mzdovej a personálnej agendy, tzn. aby si zamestnávateľ splnil povinnosti vyplývajúce zo zákona o sociálnom zabezpečení, zákona o dani z príjmov, zákona o zdravotnom poistení,  je oprávnený vyžiadať od zamestnanca podrobnejšie informácie aj o rodinných príslušníkoch zamestnanca (napr. pri uplatňovaní daňového bonusu na dieťa).

2) Plnenie zmluvy

Zamestnávateľ má právo spracúvať osobné údaje dotknutej osoby ešte pred uzatvorením pracovnej zmluvy, tzn. v procese výberového konania.  Po ukončení výberového procesu osobné údaje (životopisy) neúspešných uchádzačov musí zlikvidovať. Osobné údaje úspešného uchádzača zlikviduje po podpise pracovnej zmluvy, keďže už splnili účel, na ktoré boli pôvodne získané.

3) Oprávnený záujem zamestnávateľa

Spracovanie osobných údajov na tomto základe musí súvisieť s podnikateľskou činnosťou zamestnávateľa, resp. zamestnávaním. Napr. monitorovanie priestorov firmy alebo sledovacie zariadenie vo firemných automobiloch za účelom ochrany majetku zamestnávateľa alebo zamestnancov.

Oprávnený záujem zamestnávateľa nesmie prevážiť záujmy, základné práva a slobody zamestnanca a ako právny základ ho možno využiť vtedy, ak medzi zamestnancom a zamestnávateľom už existuje pracovnoprávny vzťah.

Pozn.: Ak chce zamestnávateľ uchovávať napr. doklad o najvyššom vzdelaní, vodičský preukaz, výpis z registra trestov zamestnanca (a ak mu to žiadny zákon nedovoľuje), musí si vedieť adekvátne obhájiť, že takýto dokument je nevyhnutnou podmienkou pri vykonávaní práce zamestnanca.

4) Ochrana životne dôležitých záujmov dotknutej osoby (napr. identifikácia osoby v prípade prírodnej katastrofy)

5) Nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi

6) Súhlas so spracúvaním osobných údajov (čl. 7 a 8 GDPR, §14 a § 15 zákona)

Prevažnú väčšinu osobných údajov zamestnancov spracúva zamestnávateľ bez súhlasu. Ak však zamestnávateľ nevie spracúvať osobné údaje zamestnanca na základe predchádzajúcich právnych základov, je ďalšou možnosťou spracúvania osobných údajov na základe súhlasu zamestnanca, napr. zverejnenie fotografie na webovom sídle za účelom propagácie firmy.

Definícia súhlasu podľa novej legislatívy:

U zamestnancov najčastejšie ide o písomný súhlas (potvrdený podpisom na samostatnom dokumente), prípadne o súhlas udelený prostredníctvom elektronických prostriedkov (napr. zaškrtnutie políčka na webovom sídle). Zákon umožňuje aj ústny súhlas (napr. telefonická nahrávka). V každom z uvedených prípadov zamestnávateľ musí vedieť preukázať, že zamestnanec súhlas naozaj udelil.

Zamestnávatelia však musia mať na pamäti, že takýto súhlas môže zamestnanec kedykoľvek odvolať, čo v konečnom dôsledku môže skomplikovať účel, na ktorý boli údaje na základe súhlasu získané (napr. vymazanie podobizne zamestnanca zo všetkých propagačných materiálov firmy, kde je na fotografiách spolu s inými zamestnancami ).

Častou chybou zamestnávateľov je, že súhlas so spracúvaním osobných údajov na personálne a mzdové účely býva súčasťou pracovnej zmluvy. Takýto súhlas "pre istotu" však nemá oporu v zákone a Úrad na ochranu osobných údajov ho pokutuje.

Pozn.: Samotný súhlas so spracúvaním osobných údajov nemožno považovať za splnenie informačnej povinnosti prevádzkovateľa.

Osobitná situácia, kedy nie je potrebný súhlas zamestnanca (§ 78 ods. 3 zákona):

"Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresu elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby. Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby."

Tzn. zverejniť údaje zamestnanca na webe alebo ich poskytnúť klientovi.

Informačná povinnosť zamestnávateľa pri získavaní osobných údajov od dotknutej osoby (čl. 13 a čl. 14 GDPR)

Zamestnávateľ zvyčajne získava osobné údaje priamo od zamestnanca. Preto pred získavaním, najneskôr v čase získavania (pri podpise pracovnej zmluvy a získavaní údajov pre mzdové a personálne účely) by mal mať vopred pripravený informačný dokument s náležitosťami podľa zákona (čl. 13 GDPR), s ktorým budúceho zamestnanca oboznámi.

Nie je vylúčené, aby toto informovanie a odovzdávanie osobných údajov prebehlo aj prostredníctvom elektronickej pošty. V toto prípade však zamestnávateľ musí, aj dodatočne, vedieť preukázať, že budúci zamestnanec dostal informácie v súlade so zákonom. Pri zasielaní osobných údajov medzi zamestnancom a zamestnávateľom (ale aj medzi zamestnávateľom a sprostredkovateľom) elektronickou formou je odporúčané, aby údaje boli v zabezpečenej podobe (napr. vyplnený osobný dotazník, ktorý sa zahesluje).

Informačná povinnosť = informácie, ktoré je potrebné poskytnúť zamestnancovi, ak osobné údaje boli získané priamo od zamestnanca (čl. 13 GDPR):

Pokiaľ zamestnávateľ získava osobné údaje dotknutej osoby z iného zdroja a nie priamo od dotknutej osoby (napr. zo životopisov získaných prostredníctvom pracovného portálu), platí pre neho aj v tomto prípade informačná povinnosť. Zoznam poskytnutých informácií je uvedený v čl. 14 GDPR.

V 3. časti článku si zadefinujeme, kto a na základe akých pokynov môže spracúvať osobné údaje zamestnancov, kto je zodpovedná osoba a ktorý zamestnávateľ musí mať vypracované záznamy o spracovateľských činnostiach vrátane ich obsahu.

Silvia Dutková

Silvia DutkováAko personálny poradca a audítor vo FINAP Consulting odbremeňujem podnikateľov od komplikovanej personálnej agendy, pomáham im s nábormi, nastavujem HR dokumentáciu a vytváram GDPR riešenia na mieru, a to v začínajúcich aj v existujúcich firmách. Spolu s tímom realizujeme externé zamestnanecké prieskumy a hodnotenia zamestnancov. Viac informácií

Prejsť na začiatok stránky