Osobné údaje zamestnancov, ich získavanie a spracúvanie zamestnávateľom podľa GDPR

19.04.2018  /  Silvia Dutková

Nová legislatíva upresňuje, ale aj sprísňuje doterajšie povinnosti každého spracovateľa osobných údajov, ktorým je aj zamestnávateľ. V článku si rozoberieme hlavné zásady, pravidlá a povinnosti pri spracúvaní, zadefinujeme si, kto je zodpovednou a oprávnenou osobou, kto musí viesť záznamy o spracovateľských činnostiach a čo môže byť súčasťou bezpečnostnej dokumentácie.

Od 25. mája 2018 vstúpi do platnosti nový zákon o ochrane osobných údajov č. 18/2018 (ďalej len „zákon“) a nariadenie č. 2016/679, známe ako GDPR (General Data Protection Regulation). Legislatíva týkajúca sa ochrany osobných údajov usmerňuje spracúvanie osobných údajov nielen samotných zamestnancov, ale aj údajov o ich príbuzných (napr. z rodných listov detí, sobášnych listov) a zároveň sprísňuje postupy zamestnávateľov pri ich spracúvaní.

Každý zamestnávateľ si preto musí zanalyzovať doterajšie spracúvanie osobných údajov a zosúladiť ho s novou legislatívou.

Prvým a základným krokom je podrobný audit:

– analýza osobných údajov v spoločnosti, ich tok a bezpečnosť ich spracúvania,

– kontrola tzv. sprostredkovateľských zmlúv a porovnanie súladu s novou legislatívou,

– vyhodnotenie podmienok pre zabezpečenie zodpovednej osoby podľa novej legislatívy,

– identifikácia tzv. oprávnených osôb a ich súčasných prístupov k osobným údajom,

– analýza práv dotknutých osôb, právnych základov a zásad pri spracúvaní osobných údajov a nových povinností prevádzkovateľa.

Pravidlá a zásady pri spracúvaní osobných údajov 

1) Zásada zákonnosti – Prevádzkovateľ má právo spracúvať len také osobné údaje, ktorých právnym základom je zákon, zmluva, oprávnený záujem zamestnávateľa, súhlas so spracúvaním osobných údajov, ochrana životne dôležitých záujmov dotknutej osoby, splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

2) Spravodlivosť a transparentnosť – Všetky informácie súvisiace so spracúvaním osobných údajov by mali byť ľahko prístupné, ľahko pochopiteľné, formulované jasne a jednoducho a poskytnuté každému zamestnancovi pri získavaní jeho osobných údajov.

3) Zásada obmedzenia účelu Získavať osobné údaje je možné len na konkrétny, oprávnený a nevyhnutný účel,  ktorý musí byť dotknutej osobe vopred a preukázateľne oznámený. Je zakázané zlučovať viacero rôznych účelov.

Príklad: Po podpise pracovnej zmluvy u úspešného uchádzača musí zamestnávateľ zlikvidovať jeho osobné údaje – životopis, lebo už splnili účel, na ktorý boli získané.

4) Zásada minimalizácie – Spracúvať osobné údaje len v takom rozsahu, ktorý je nevyhnutný na dosiahnutie daného účelu. Akýkoľvek zbytočný údaj je nutné zlikvidovať alebo anonymizovať.

Príklad: K podpisu pracovnej zmluvy zamestnávateľ potrebuje len také osobné údaje zamestnanca, aby ho identifikoval ako druhú zmluvnú stranu, tzn. vyžiada si len nevyhnutné údaje, napr. titul, meno, priezvisko, adresu trvalého bydliska, dátum prípadne len rok narodenia.

5) Uplatnenie práv dotknutej osoby Upresňujú sa práva dotknutých osôb a postup ich uplatnenia: právo na prístup k svojim osobným údajom, právo na ich opravu, vymazanie a na obmedzenie spracúvania, právo namietať voči spracúvaniu, právo na prenosnosť údajov, právo odmietnuť automatizované individuálne rozhodovanie pri spracúvaní údajov vrátane profilovania, právo podať sťažnosť Úrad na ochranu osobných údajov.

6) Správnosť osobných údajov a doba uchovávania Prevádzkovateľ má spracúvať len také osobné údaje, ktoré sú správne, podľa potreby aktualizované a uchovávať ich len pokým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.

Príklad: uchovávanie údajov po dobu,  na ktorú zamestnávateľa oprávňujú osobitné predpisy (napr. uchovávanie osobných spisov zamestnancov len po zákonom stanovenú dobu), alebo po dobu, na ktorú mu dal zamestnanec súhlas (napr. zverejnenie fotografie na firemnom webe počas trvania pracovného pomeru).

7) Integrita, dôvernosť, zodpovednosť / bezpečnosť spracúvania osobných údajov

Prevádzkovateľ je povinný spracúvať osobné údaje takým spôsobom, ktorý zaručuje ich bezpečnosť, vrátane ochrany pred stratou, zničením, poškodením alebo sprístupnením cudzím osobám.

Právne základy získavania a spracúvania údajov

1) Osobitný predpis alebo medzinárodná zmluva – Spracúvanie je nevyhnutné podľa osobitného predpisu (napr. Zákonník práce) alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

Príklad: Aby si zamestnávateľ splnil povinnosti vyplývajúce zo zákonov o sociálnom zabezpečení, o dani z príjmov, o zdravotnom poistení,  môže si vyžiadať od zamestnanca aj informácie  o rodinných príslušníkoch (napr. pri uplatňovaní daňového bonusu na dieťa).

2) Plnenie zmluvy – Zamestnávateľ má právo spracúvať osobné údaje dotknutej osoby v rámci predzmluvných vzťahov – pred uzatvorením pracovnej zmluvy, tzn. v procese výberového konania.

3) Oprávnený záujem zamestnávateľa Nesmie prevážiť záujmy, základné práva a slobody zamestnanca a ako právny základ ho možno využiť vtedy, ak medzi zamestnancom a zamestnávateľom už existuje pracovnoprávny vzťah, napr. monitorovanie priestorov firmy za účelom ochrany majetku zamestnávateľa alebo zamestnancov.

4) Ochrana životne dôležitých záujmov dotknutej osoby (napr. identifikácia osoby v prípade prírodnej katastrofy)

5) Nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi

6) Súhlas so spracúvaním osobných údajov – využíva sa výnimočne a tam, kde nie je možné uplatniť vyššie uvedené právne základy, napr. zverejnenie fotografie na webovom sídle za účelom propagácie firmy.

Súhlas je akýkoľvek  jasný prejav vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením,  musí byť odlíšený od iných skutočností a zamestnanec ho má právo jednoduchým spôsobom a kedykoľvek odvolať.

Osobitná situácia, kedy nie je potrebný súhlas zamestnanca:

Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresu elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností.

Informačná povinnosť zamestnávateľa pri získavaní osobných údajov od dotknutej osoby (čl. 13 a čl. 14 GDPR)

Zamestnávateľ zvyčajne získava osobné údaje priamo od zamestnanca. Preto pri získavaní údajov (pri podpise pracovnej zmluvy) by mal mať vopred pripravený informačný dokument , s ktorým budúceho zamestnanca oboznámi a zamestnanec ho na znak súhlasu podpíše.

Splnenie informačnej povinnosti = poskytnúť zamestnancovi informácie pri získavaní jeho osobných údajov:

a) ak tieto údaje boli získané priamo od neho – podľa čl. 13 GDPR,

b) ak údaje boli zistené z iného zdroja, napr. prijatie životopisu cez pracovný portál – podľa čl. 14 GDPR.

Poverenie osôb, ktoré spracúvajú osobné údaje u zamestnávateľa

Zamestnávateľ je povinný poveriť a poučiť každú osobu, ktorá v spoločnosti spracúva osobné údaje. Ide o zamestnancov, ktorým spracúvanie osobných údajov vyplýva z dohodnutých pracovných činností, napr. personalisti, mzdári, vedúci zamestnanci.

Zamestnávateľ takúto osobu musí preukázateľne poučiť o tom, s akými osobnými údajmi je oprávnená narábať, akým spôsobom, o záväzku mlčanlivosti a nastaví pravidlá bezpečného spracúvania.

Sprostredkovateľ a tzv. sprostredkovateľská zmluva (§ 34 zákona)

Každá externá spoločnosť, živnostník, jednotlivec, ktorý spracúva osobné údaje v mene zamestnávateľa, je sprostredkovateľom (napr. poskytovateľ BOZP, IT služieb).

Každý zamestnávateľ si má vybrať takého sprostredkovateľa, ktorý poskytuje dostatočné záruky, najmä pokiaľ ide o odborné znalosti, spoľahlivosť a zdroje, na to, že prijme technické a organizačné bezpečnostné opatrenia pri spracúvaní osobných údajov. Zamestnávateľ písomne poverí sprostredkovateľa spracúvaním osobných údajov a dohodne si s ním podmienky bezpečného spracúvania.

Zodpovedná osoba (čl. 37 až 39 GDPR, § 44 až § 46 zákona)

Zodpovednou osobou môže byť zamestnanec alebo poverená externá osoba, ktorá má odborné znalosti v oblasti spracúvania osobných údajov a je spôsobilá vykonávať svoje povinnosti podľa zákona. Je kontaktnou osobou v oblasti ochrany osobných údajov a zapája sa do všetkých činností spojených so spracúvaním osobných údajov a monitoruje súlad s legislatívou.

Je potrebné mať zodpovednú osobu, ak :

a) prevádzkovateľom je orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov,

b) hlavným predmetom podnikania

– sú spracovateľské operácie, ktoré si vyžadujú pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu,

– je spracúvanie osobitných kategórií údajov vo veľkom rozsahu,

– je spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.

Odporúčanie: Pokiaľ zamestnávateľ nie je povinný určiť zodpovednú osobu, je odporúčané, aby v organizácii bola stanovená aspoň jedna osoba, ktorá bude dohliadať na ochranu osobných údajov a bude kontaktnou osobou najmä pre dotknuté osoby.

Záznamy o spracovateľských činnostiach (čl. 30 GDPR, § 37 zákona)

Tieto záznamy nemusí viesť každý zamestnávateľ. Výnimkou sú zamestnávatelia, ktorí majú menej ako 250 zamestnancov (do počtu sa rátajú aj dohodári). Títo zamestnávatelia nebudú povinní viesť záznamy k tým spracovateľských operáciám, ktoré spĺňajú nasledovné podmienky, ak spracúvanie osobných údajov:

– nepovedie k ohrozeniu práva a slobôd dotknutých osôb,

– nie je pravidelnou činnosťou (napr. predmet podnikania),

– nezahŕňa osobitné kategórie údajov alebo záznamy o trestnej činnosti.

Keďže každý zamestnávateľ spracúva osobitnú kategóriu osobných údajov (napr. potvrdenia o zdravotnej spôsobilosti zamestnanca, doklad o invalidite, potvrdenie o tehotenstve zamestnankyne, výpis z registra trestov, doklady o PN, priepustky), je povinný viesť záznamy o spracovateľských činnostiach na tieto účely, bez ohľadu na počet zamestnancov.

Posúdenie vplyvu na ochranu osobných údajov (čl. 35 a čl. 36 GDPR, § 42 a § 43 zákona)

Táto povinnosť u zamestnávateľa vzniká, ak typ spracúvania osobných údajov, najmä s využitím nových technológií, môže viesť k vysokému riziku pre práva a slobody fyzických osôb (diskriminácia, podvod, strata dobrého mena, majetková alebo nemajetková ujma, atď.).

Posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením.

Posúdenie vplyvu na ochranu osobných údajov sa vyžaduje najmä, ak ide o:

– spracúvanie značného objemu osobných údajov,

– spracúvanie vo veľkom rozsahu osobitných kategórií osobných údajov,

– systematické a rozsiahle hodnotenie osobných znakov alebo charakteristík dotknutej osoby, ktoré je založené na automatizovanom spracúvaní osobných údajov vrátane profilovania,

–  systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.

Posúdenie sa teda týka najmä orgánov verejnej správy, nadnárodných korporácií, bánk, polikliník a nemocníc, MHD, medzinárodnej siete obchodov. V menších spoločnostiach sa to môže týkať napr. ak zamestnávateľ monitoruje zamestnancov (ich prácu na PC, činnosť na internete).

Bezpečnostné opatrenia a bezpečnostná dokumentácia (recitály 85 až 88, čl. 32 až čl. 34 GDPR, § 39 zákona)

Každý prevádzkovateľ je povinný  prijať primerané technické a organizačné opatrenia, aby bola zaistená úroveň zabezpečenia zodpovedajúca danému riziku. Prijatie bezpečnostných opatrení prevádzkovateľ zdokumentuje v bezpečnostnej dokumentácii.

Za súčasť bezpečnostnej dokumentácie sa môže považovať:

– plnenie informačnej povinnosti voči dotknutým osobám, súhlasy so spracúvaním osobných údajov,

– sprostredkovateľské zmluvy a poučenia oprávnených osôb,

– poverenie zodpovednej osoby alebo osoby, ktorá bude zodpovedná za dohľad nad ochranou osobných údajov,

– záznamy o spracovateľských činnostiach,

– posúdenie vplyvu na ochranu údajov,

– zoznam možných porušení ochrany osobných údajov, tzv. bezpečnostných incidentov, uvedené kroky k zabráneniu týchto incidentov, vrátane postupov pri ich odstraňovaní a pri ich oznamovaní (úradu a dotknutej osobe),

– analýza rizík vyplývajúca zo spracúvania osobných údajov a prijaté opatrenia na ich minimalizáciu,

+ akákoľvek ďalšie dokumentácia (napr. bezpečnostná smernica, IT smernice) v súlade s novou legislatívou alebo individuálnymi potrebami prevádzkovateľa.

Tento článok má len informatívny charakter a nemôže byť považovaný za právne stanovisko alebo radu ako postupovať v konkrétnom prípade, alebo ako takýto prípad posúdiť.

Podrobnejšie informácie k téme GDPR sa dozviete na: https://www.finapconsulting.sk/clanky/gdpr/