Osobné údaje zamestnancov a povinnosti zamestnávateľa pri ich spracúvaní podľa GDPR (3. časť)

V 3. časti článku si zadefinujeme, kto a na základe akých pokynov môže spracúvať osobné údaje zamestnancov, kto je zodpovedná osoba a ktorý zamestnávateľ musí mať vypracované záznamy o spracovateľských činnostiach vrátane ich obsahu.

V 2. časti článku sme si povedali, na základe akých právnych základov môže zamestnávateľ spracúvať osobné údaje zamestnancov a aké informácie im musí poskytnúť pri ich získavaní.

Poverenie osôb, ktoré spracúvajú osobné údaje u zamestnávateľa

Zamestnávateľ je povinný poveriť a poučiť každú osobu, ktorá v spoločnosti prichádza alebo je pravdepodobnosť, že príde do styku s osobnými údajmi. Ide o tzv. oprávnené osoby. Týmito osobami sú najmä zamestnanci, ktorým spracúvanie osobných údajov vyplýva z dohodnutých pracovných činností, napr. personalisti, mzdári, vedúci zamestnanci.

Zamestnávateľ takúto osobu musí poučiť o tom, s akými osobnými údajmi je oprávnená narábať a akým spôsobom. Čo presne má obsahovať takéto poučenie, legislatíva neuvádza. Základom tohto poučenia však má byť záväzok mlčanlivosti (aj po skončení pracovnoprávneho vzťahu) a nastavenie pravidiel bezpečnosti spracúvania údajov.

To, že oprávnená osoba bola riadne poučená, musí vedieť zamestnávateľ preukázať, napr. písomná forma poučenia, ktorú v závere zamestnanec podpíše a založí sa do jeho osobného spisu.

Sprostredkovateľ a tzv. sprostredkovateľská zmluva (čl. 28 a čl. 29 GDPR, § 34 zákona)

Zamestnávatelia často využívajú služby externých spoločností na zabezpečenie niektorých svojich činností ako napr. vedenie účtovníctva, ochrana priestorov/SBS, IT služby, reklamné spoločnosti, BOZP, pracovná zdravotná služba. Každá takáto spoločnosť, živnostník, jednotlivec, je sprostredkovateľom, ak spracúva osobné údaje v mene zamestnávateľa.

Každý zamestnávateľ si má vybrať takého sprostredkovateľa, ktorý poskytuje dostatočné záruky, najmä pokiaľ ide o odborné znalosti, spoľahlivosť a zdroje, na to, že prijmú technické a organizačné bezpečnostné opatrenia pri spracúvaní osobných údajov.

Spracúvanie osobných údajov sprostredkovateľom sa riadi písomnou zmluvou so zamestnávateľom alebo iným právnym úkonom.

Takáto zmluva musí byť uchovávaná aj v listinnej aj v  elektronickej podobe a musí obsahovať:

a) zoznam alebo rozsah osobných údajov,

b) predmet a dobu spracúvania,

c) povahu a účel spracúvania,

d) kategórie dotknutých osôb,

e) práva a povinnosti prevádzkovateľa,

f) práva a povinnosti sprostredkovateľa.

Medzi povinnosti sprostredkovateľa sa v zmluve uvedie najmä:

Povinné náležitosti sprostredkovateľskej zmluvy sú podrobnejšie rozpísané v § 34 zákona.

Zodpovedná osoba (čl. 37 až čl. 39 GDPR, § 44 až § 46 zákona)

Kto je zodpovedná osoba:

Zodpovednú osobu nemusia mať všetci prevádzkovatelia, ale len vtedy ak:

a) je prevádzkovateľom orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov,

b) hlavným predmetom podnikania:

Zodpovednú osobu teda musia mať napr. orgány verejnej moci, banky, poisťovne, MHD, nemocnica, poliklinika, mestá.

Odporúčanie: Ak zamestnávateľ nemusí mať zodpovednú osobu, odporúča sa zaznamenať analýzu v bezpečnostnej dokumentácii, na základe ktorej určil, že zodpovednú osobu nemusí mať. Taktiež je odporúčané, aby v organizácii bola stanovená aspoň jedna osoba, ktorej bude zverená agenda ochrany osobných údajov, bude kontaktnou osobou (namiesto zodpovednej osoby) pre dotknuté osoby a tieto povinnosti bude mať aj v popise práce.

Záznamy o spracovateľských činnostiach (čl. 30 GDPR, § 37 zákona)

Záznamy o spracovateľských činnostiach sú "náhradou" za Evidenčné listy podľa starej legislatívy, je teda možné z tejto evidencie vychádzať.

Zamestnávateľ je povinný viesť záznamy (aj v listinnej aj v  elektronickej podobe, podpísané štatutárnym orgánom) o svojich spracovateľských činnostiach (o nakladaní s osobnými údajmi). Nie však každý zamestnávateľ a nie na všetky spracovateľské operácie.

S cieľom zohľadniť osobitnú situáciu menších a stredne veľkých spoločností, zákon ustanovuje výnimku pre organizácie, ktoré majú menej ako 250 zamestnancov. Takíto zamestnávatelia nebudú musieť viesť záznamy k tým spracovateľských operáciám, ktoré spĺňajú nasledovné podmienky, ak spracúvanie:

Pozn.: Do počtu 250 zamestnancov sa započítavajú aj dohodári aj agentúrni zamestnanci.

Keďže každý zamestnávateľ spracúva osobitnú kategóriu osobných údajov (napr. potvrdenia o zdravotnej spôsobilosti zamestnanca, doklad o invalidite, potvrdenie o tehotenstve zamestnankyne, výpis z registra trestov, doklady o PN, priepustky), je povinný viesť záznamy o spracovateľských činnostiach na tieto účely, a to aj v prípade, ak zamestnáva menej ako 250 zamestnancov. To platí aj u sprostredkovateľov, ktorými sú externé účtovné firmy a spracúvajú osobné údaje zamestnancov prevádzkovateľa.

Záznam o každej spracovateľskej činnosti musí obsahovať:

a) identifikačné údaje a kontaktné údaje:

b) účel spracúvania osobných údajov,

c) opis kategórií:

d) kategórie príjemcov vrátane príjemcov v tretích krajinách alebo medzinárodných organizácií,

e) označenie tretej krajiny alebo medzinárodnej organizácie, ak sa do nich budú prenášať osobné údaje,

f) podľa možností predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,

g) podľa možností všeobecný opis technických a organizačných bezpečnostných opatrení,

h) pečiatka zamestnávateľa,

i) dátum, meno a podpis štatutárneho orgánu.

Tieto záznamy sa poskytujú sa len na požiadanie dozornému orgánu, inak zostávajú u zamestnávateľa. Vzor záznamu úrad zverejní na svojom webovom sídle.

Pozn.: Ak je prevádzkovateľ zároveň aj sprostredkovateľom, obsah záznamu o spracovateľských činnostiach je uvedený v § 37 ods. 2 zákona.

V 4. časti článku si povieme, ktorý zamestnávateľ musí vykonať posúdenie vplyvu na ochranu osobných údajov, čo by mala obsahovať bezpečnostná dokumentácia a aké sankcie môže udeliť Úrad na ochranu osobných údajov. 

Silvia Dutková

Silvia DutkováAko personálny poradca a audítor vo FINAP Consulting odbremeňujem podnikateľov od komplikovanej personálnej agendy, pomáham im s nábormi, nastavujem HR dokumentáciu a vytváram GDPR riešenia na mieru, a to v začínajúcich aj v existujúcich firmách. Spolu s tímom realizujeme externé zamestnanecké prieskumy a hodnotenia zamestnancov. Viac informácií

Prejsť na začiatok stránky