S ochranou osobných údajov sa stretáva každý zamestnávateľ, nielen ako správca týchto údajov, ale aj ako subjekt, ktorého povinnosti vyplývajú z platných právnych noriem. V tomto článku sa pozrieme na to, ako General Data Protection Regulation (GDPR) ovplyvňuje pracovnoprávne vzťahy a čo všetko musí zamestnávateľ zabezpečiť, aby bol v súlade nielen s nariadením GDPR, ale aj so slovenským Zákonníkom práce. Ochrana osobných údajov zamestnancov, nároky na dokumentáciu, práva a povinnosti oboch strán a potenciálne sankcie sú témy, ktoré musí mať každý zamestnávateľ dôsledne zvládnuté. Prejdeme si praktické aspekty implementácie GDPR v pracovnom prostredí aj najčastejšie chyby, ktorým sa treba vyhnúť. Čítajte ďalej a zistite, čo je vaša zákonná povinnosť a ako sa vyhnúť rizikám.
1. Čo je to GDPR a ako sa týka zamestnávateľov?
GDPR, teda Všeobecné nariadenie o ochrane údajov, je európske nariadenie, ktoré vstúpilo do platnosti 25. mája 2018. Jeho cieľom je zabezpečiť jednotnú a vyššiu úroveň ochrany osobných údajov fyzických osôb v rámci EÚ. V praxi to znamená, že každý subjekt, ktorý pracuje s osobnými údajmi, je povinný tieto údaje chrániť spôsobom, ktorý stanovuje GDPR.
Pre zamestnávateľa to znamená niekoľko dôležitých vecí:
- Spracúva osobné údaje zamestnancov, ktoré spadajú pod GDPR.
- Musí zabezpečiť zákonnosť, transparentnosť a bezpečnosť spracovania údajov.
- Je povinný uchovávať a dokumentovať určité procesy v prípade kontroly úradu na ochranu osobných údajov.
Okrem toho musí zamestnávateľ priamo reflektovať pravidlá GDPR v pracovnoprávnych dokumentoch, ako sú pracovné zmluvy, smernice, interné procesy a záznamy.
2. Typy osobných údajov v pracovnoprávnom vzťahu
V pracovnom procese zamestnávateľ spracúva široké spektrum osobných údajov. Tieto údaje môžeme rozdeliť na:
Bežné osobné údaje
- Meno, priezvisko
- Adresa trvalého bydliska
- Dátum narodenia
- Rodné číslo
- Telefón, e-mail
- Údaje o rodinnom stave, počte detí – napríklad kvôli daňovým úľavám
Citlivé osobné údaje (“osobitné kategórie údajov”)
- Zdravotný stav – napr. pracovná neschopnosť, potvrdenia od lekára
- Údaje o členstve v odboroch
- Údaje o trestnej bezúhonnosti (napr. výpis z registra trestov v určitých profesiách)
Spracovanie týchto údajov si vyžaduje zvýšenú opatrnosť. Pri citlivých údajoch je často nutný výslovný súhlas zamestnanca, prípadne musí byť ich spracovanie výslovne upravené zákonom.
3. GDPR vs. Zákonník práce – ako sa tieto predpisy prelínajú?
GDPR a Zákonník práce sa prelínajú vo viacerých oblastiach. Zatiaľ čo GDPR upravuje pravidlá spracovania údajov, Zákonník práce špecifikuje obsah a účel, za ktorým tieto údaje potrebujeme. To znamená, že zamestnávateľ musí zosúladiť interné procesy tak, aby spĺňal nároky z oboch právnych režimov.
Príklady situácií, kde sa GDPR a Zákonník práce dopĺňajú:
- Zákonník práce určuje, aké údaje môže zamestnávateľ žiadať pri prijímaní nového pracovníka.
- Zákon stanovuje lehoty uchovávania určitých dokumentov (napr. mzdové listy, dochádzková evidencia atď.).
- GDPR vyžaduje minimalizáciu údajov – ak údaje nie sú potrebné, zamestnávateľ ich nemá uchovávať.
Povinnosť informovania zamestnanca
Zásadným pravidlom GDPR je transparentnosť. Pri akomkoľvek zbere údajov musí byť zamestnanec vopred informovaný:
- O aké údaje ide
- Na aký účel sa budú spracúvať
- Na aký časový úsek ich bude zamestnávateľ uchovávať
- Aké práva má zamestnanec ako dotknutá osoba
4. Povinnosti zamestnávateľa podľa GDPR
Podľa GDPR má zamestnávateľ ako prevádzkovateľ údajov tieto kľúčové povinnosti:
Zákonnosť spracovania údajov
Spracovanie musí byť v súlade s jedným zo zákonných dôvodov uvedených v článku 6 GDPR. V prípade pracovnej zmluvy je to najčastejšie:
- Plnenie zmluvy (napr. vyplácanie mzdy, vedenie dochádzky)
- Zákonná povinnosť (napr. evidencia pre daňový úrad, sociálnu poisťovňu)
Bezpečnosť údajov
Zamestnávateľ musí zabezpečiť technické a organizačné opatrenia, ktoré zabránia únikom alebo neoprávnenému prístupu k osobným údajom (napr. heslá, šifrovanie, školenia zamestnancov).
Vedenie záznamov o spracovateľských činnostiach
Každý zamestnávateľ by mal mať internú dokumentáciu o tom, aké údaje spracúva, na aké účely, na ako dlho a kto k nim má prístup.
Práva zamestnanca ako dotknutej osoby
Zamestnanec má právo na:
- Prístup k svojim údajom
- Opravu chybných údajov
- Zmazanie údajov (ak už nie sú potrebné)
- Obmedzenie spracúvania
- Podanie sťažnosti na Úrad na ochranu osobných údajov SR
5. Najčastejšie chyby zamestnávateľov pri spracovaní osobných údajov
Aj pri dobrej vôli môže dôjsť k porušeniu povinností. Preto upozorňujeme na najbežnejšie chyby:
- Neexistencia informačného memoranda pre zamestnancov
- Zber nadbytočných údajov – napr. rodné čísla, ktoré nie sú zákonne požadované
- Ukladanie údajov bez časového obmedzenia
- Nesprávne zabezpečenie prístupu k osobným údajom (napr. voľne dostupné dochádzkové listiny)
- Nesprávne udelené alebo neplatné súhlasy
6. Praktické odporúčania a interné procesy
Na splnenie povinností podľa GDPR odporúčame pre zamestnávateľov vypracovať:
- Informačné oznámenia zamestnancom
- Internú smernicu o ochrane osobných údajov
- Spracovateľské zmluvy s dodávateľmi (napr. účtovná firma)
- Záznamy o školení zamestnancov v oblasti GDPR
Odporúča sa raz ročne vykonať interný audit údajov, overiť aktuálnosť dokumentácie a zabezpečení. V prípade zavedenia nových technológií, ktoré vplývajú na spracovanie údajov (napr. biometrické údaje, kamery), je potrebné vypracovať Posúdenie vplyvu na ochranu údajov (DPIA).
Záver: Čo si má odniesť každý zamestnávateľ?
Zamestnávateľ dnes nezodpovedá len za naplnenie podmienok pracovných zmlúv, ale aj za korektné a zákonné nakladanie s osobnými údajmi svojich zamestnancov. GDPR a Zákonník práce spoločne vytvárajú rámec, ktorý má zaručiť právo zamestnanca na ochranu súkromia a zároveň zabezpečiť fungovanie pracovnoprávneho vzťahu. Oba právne predpisy si neprotirečia, naopak – dopĺňajú sa a vyžadujú si dôslednú aplikáciu v každodennej praxi.
Každý zamestnávateľ by mal mať zavedené:
- Transparentné procesy spracovania údajov
- Bezpečné technické riešenia
- Správnu dokumentáciu (ochrana osobných údajov, školenia, súhlasy)
- Záznamy o súhlase a právnych dôvodoch spracovania
Nevedomosť v oblasti GDPR neospravedlňuje – a sankcie môžu byť vysoké. Preto je vhodné konzultovať prípravu dokumentácie s odborníkom, zabezpečiť pravidelné školenia zamestnancov a robiť interné kontroly. Nakoniec ide predovšetkým o ochranu dôvery medzi zamestnancom a zamestnávateľom, ktorá je základom každého dobre fungujúceho pracovného vzťahu.
