Hrozia vám likvidačné pokuty? 5 kritických chýb v HR dokumentácii, na ktoré sa Úrad na ochranu osobných údajov zameriava najviac.

Svet personalistiky a ľudských zdrojov je dnes viac než kedykoľvek predtým pod drobnohľadom regulátorov. Spracúvanie osobných údajov zamestnancov, uchádzačov o zamestnanie či bývalých pracovníkov predstavuje pre firmy jednu z najrizikovejších oblastí z pohľadu GDPR. Úrad na ochranu osobných údajov (ÚOOÚ) sa pri svojich kontrolách čoraz častejšie zameriava práve na HR oddelenia, kde sa koncentruje obrovské množstvo citlivých informácií – od rodných čísiel až po údaje o zdravotnom stave či finančnom ohodnotení. Mnohé spoločnosti sa mylne domnievajú, že vypracovaním základnej dokumentácie pred rokmi ich povinnosti skončili. Opak je však pravdou. Dynamické zmeny v legislatíve, judikatúra a prísnejšie požiadavky na transparentnosť znamenajú, že aj drobná chyba v procesoch môže viesť k likvidačným pokutám, ktoré dosahujú státisíce eur. V nasledujúcom článku rozoberieme kľúčové nedostatky, ktoré kontrolóri odhaľujú najčastejšie, a poradíme vám, ako sa im vyhnúť.

Prehľad 5 najčastejších chýb v HR dokumentácii podľa kontrolných orgánov

Ak chcete predísť sankciám, je nevyhnutné identifikovať slabé miesta vo vašich procesoch. Úrad na ochranu osobných údajov pri kontrolách pravidelne naráža na rovnaké typy pochybení, ktoré sú často výsledkom nevedomosti alebo nesprávne nastavených automatizovaných systémov. Medzi tie najzávažnejšie patria:

• Nadmerný zber údajov v predzmluvných vzťahoch: Vyžadovanie informácií, ktoré nie sú nevyhnutné na posúdenie vhodnosti kandidáta (napr. rodinný stav, fotografia bez súhlasu).
• Absencia alebo neaktuálnosť informačnej povinnosti: Zamestnanci nie sú riadne informovaní o tom, ako, prečo a ako dlho sa ich údaje spracúvajú.
• Netransparentné monitorovanie zamestnancov: Sledovanie e-mailov, GPS v autách alebo kamerové systémy bez jasného právneho základu a informovania dotknutých osôb.
• Nedodržiavanie lehôt na výmaz (skartačné lehoty): Uchovávanie životopisov neúspešných kandidátov alebo dokumentov bývalých zamestnancov po zákonnej lehote.
• Chýbajúce sprostredkovateľské zmluvy: Nedostatočné právne ošetrenie vzťahov s externými dodávateľmi, ako sú mzdové účtovne, IT firmy alebo náborové agentúry.

1. Zhromažďovanie údajov „do zásoby“ a porušenie zásady minimalizácie

Jedným z najčastejších prešľapov v HR praxi je porušenie zásady minimalizácie údajov. Firmy majú tendenciu v rámci výberových konaní vyžadovať od kandidátov informácie, ktoré pre danú pozíciu nie sú relevantné. Typickým príkladom je vyžadovanie rodného čísla už v prvom kole pohovoru alebo otázky smerujúce na rodinné zázemie, tehotenstvo či náboženské presvedčenie. Zákonník práce jasne definuje, aké informácie smie zamestnávateľ od uchádzača požadovať, a GDPR tento okruh ešte viac sprísňuje.

Problém nastáva aj pri fotografiách v životopisoch. Ak zamestnávateľ trvá na zaslaní CV s fotografiou bez toho, aby to bolo nevyhnutné pre výkon práce (napríklad u modelingu), vystavuje sa riziku. Kontrolóri sa zameriavajú na to, či má zamestnávateľ stanovený legitímny účel pre každý jeden zbieraný údaj. Ak v dokumentácii neviete obhájiť, prečo danú informáciu potrebujete, ide o nezákonné spracúvanie. Riešením je revízia dotazníkov a inzerátov tak, aby rešpektovali súkromie uchádzačov.

2. Skryté monitorovanie a narúšanie súkromia na pracovisku

Moderné technológie umožňujú zamestnávateľom sledovať takmer každý krok zamestnanca – od pohybu vozidla cez GPS až po aktivitu na klávesnici. Avšak pozor, Úrad na ochranu osobných údajov v spolupráci s Inšpektorátom práce vníma monitorovanie ako invazívny zásah do práv jednotlivca. Kritickou chybou je, ak firma monitoruje zamestnancov bez predchádzajúceho písomného upozornenia a bez jasne definovaného oprávneného záujmu.

Dokumentácia musí obsahovať presný rozsah monitorovania, jeho účel (napr. ochrana majetku) a dobu uchovávania záznamov. Častým nedostatkom je chýbajúci test proporcionality, ktorým zamestnávateľ preukazuje, že cieľ monitorovania nebolo možné dosiahnuť menej invazívnym spôsobom. Ak napríklad sledujete polohu auta mimo pracovnej doby bez možnosti vypnutia GPS zamestnancom, ide o hrubé porušenie GDPR, ktoré priamo vyvoláva sankčné konanie.

3. Ignorovanie skartačných lehôt a „mŕtve“ dáta v archívoch

Pre HR oddelenia je archivácia výzvou. Často sa stáva, že v šanónoch alebo v digitálnych úložiskách strašia životopisy kandidátov spred piatich rokov, pri ktorých už dávno uplynul súhlas so spracovaním. GDPR striktne nariaďuje, že údaje musia byť uchovávané len po dobu nevyhnutnú na dosiahnutie účelu. Ak kandidát neuspel a nedal vám súhlas na zaradenie do databázy pre budúce pozície, jeho údaje musíte bezodkladne po skončení výberového konania zlikvidovať.

V prípade bývalých zamestnancov je situácia ešte zložitejšia, pretože sa tu stretávajú rôzne zákony. Kým mzdové listy musíte uchovávať desiatky rokov kvôli dôchodkovému zabezpečeniu, iné dokumenty (napríklad záznamy o školeniach alebo motivačné listy) by mali byť vymazané oveľa skôr. Absencia automatizovaného systému alebo manuálneho procesu na likvidáciu údajov je pre kontrolórov jasným signálom, že firma nemá svoje dáta pod kontrolou.

4. Formálna informačná povinnosť bez reálneho obsahu

Mnoho firiem si myslí, že ak dajú zamestnancovi podpísať jednostranový dokument s názvom „Súhlas so spracovaním údajov“, majú vyhraté. To je však osudový omyl. Po prvé, v pracovnoprávnych vzťahoch je súhlas ako právny základ problematický kvôli nerovnému postaveniu strán. Väčšina spracúvania by mala prebiehať na základe plnenia zmluvy, zákonnej povinnosti alebo oprávneného záujmu.

Po druhé, informačná povinnosť podľa článkov 13 a 14 GDPR musí byť podrobná, zrozumiteľná a ľahko dostupná. Ak vo vašej dokumentácii chýbajú informácie o tom, komu údaje poskytujete (napr. stravovacia spoločnosť, poskytovateľ benefitov, IT podpora), alebo aké sú práva zamestnanca (právo na prístup, opravu, výmaz), vaša dokumentácia je neplatná. ÚOOÚ sa pri kontrolách pýta zamestnancov, či vedia, kde nájdu informácie o spracúvaní svojich údajov. Ak je odpoveď zamestnanca negatívna, firma čelí problému.

5. Slabé zabezpečenie a nejasné vzťahy so sprostredkovateľmi

HR oddelenie zdieľa množstvo dát s externými subjektmi. Ak využívate externú mzdovú účtovníčku, cloudový HR systém alebo headhunterskú agentúru, musíte mať s týmito subjektmi uzatvorenú sprostredkovateľskú zmluvu podľa článku 28 GDPR. Mnohé firmy sa spoliehajú na všeobecné obchodné podmienky, ktoré však nespĺňajú zákonné náležitosti ochrany údajov.

Okrem právnej roviny je kritické aj technické zabezpečenie. Častou chybou je posielanie výplatných pások alebo zmlúv nezašifrovanými e-mailmi, zdieľanie hesiel k personálnemu softvéru medzi kolegami či voľne prístupné personálne spisy v neuzamknutých skriniach. Úrad preveruje nielen „papiere“, ale aj to, ako fyzicky a digitálne chránite dáta pred únikom. Jedno stratené USB s databázou zamestnancov môže pri absencii šifrovania znamenať pre firmu nielen finančnú pokutu, ale aj nenapraviteľné poškodenie reputácie.

Efektívna ochrana osobných údajov v HR nie je o jednorazovom vytvorení dokumentácie, ale o neustálom audite a prispôsobovaní procesov realite na pracovisku. Zistenia z kontrol Úradu na ochranu osobných údajov jasne ukazujú, že najväčšie riziká nepochádzajú z komplexných kybernetických útokov, ale z procesných chýb, nedôslednosti pri likvidácii dát a nedostatočnej transparentnosti voči zamestnancom. Ak vaša HR dokumentácia obsahuje vágne formulácie, ak zbierate údaje „len pre istotu“ alebo ak monitorujete pracovníkov bez jasných pravidiel, vystavujete sa riziku, ktoré môže ohroziť samotnú existenciu vášho podnikania. Správne nastavené GDPR v personalistike by ste nemali vnímať ako byrokratickú záťaž, ale ako nástroj na budovanie dôvery u vašich ľudí a prevenciu pred nečakanými sankciami.

Zhrnutie problematiky ukazuje, že kľúčom k úspešnému zvládnutiu kontroly je poriadok v dátach a otvorená komunikácia. Odporúča sa pravidelne vykonávať interné audity, ktoré preveria, či sú všetky súhlasy aktuálne, či sprostredkovateľské zmluvy pokrývajú všetkých dodávateľov a či zamestnanci reálne rozumejú svojim právam. Nezabúdajte, že pri ukladaní pokút úrad zohľadňuje aj snahu prevádzkovateľa o nápravu a mieru zavedených bezpečnostných opatrení. Investícia do revízie HR dokumentácie dnes je len zlomkom nákladov, ktoré by ste museli vynaložiť na pokuty a právne spory v budúcnosti. Buďte proaktívni a uistite sa, že vaše HR procesy sú v súlade s modernými štandardmi ochrany súkromia skôr, než na vaše dvere zaklope kontrola.