Nočná mora personalistov: Kompletný sprievodca povinnosťami HR podľa GDPR, ktorý vám zachráni krk pri kontrole
Personalistika je bijúcim srdcom každej firmy, no v ére digitálnej transformácie a prísnej regulácie ochrany osobných údajov sa stala aj jedným z najrizikovejších oddelení. Každý životopis, mzdový výmer či záznam o dochádzke predstavuje citlivý údaj, ktorý podlieha prísnym pravidlám nariadenia GDPR. Pre personalistov už nejde len o administratívnu záťaž, ale o strategickú zodpovednosť, kde každé pochybenie môže vyústiť do likvidačných pokút alebo nenapraviteľného poškodenia reputácie zamestnávateľa. Tento článok vás prevedie labyrintom povinností, ktoré musíte spĺňať od momentu, kedy uchádzač odošle svoju žiadosť o zamestnanie, až po archiváciu dokumentov po skončení pracovného pomeru. Dozviete sa, ako nastaviť procesy tak, aby ste pri neohlásenej kontrole z Úradu na ochranu osobných údajov zostali pokojní a pripravení obhájiť každý jeden krok spracúvania dát vašich kolegov.
1. Prečo je práve HR oddelenie pod najväčším drobnohľadom?
Oddelenie ľudských zdrojov (HR) narába s najkomplexnejším súborom osobných údajov v rámci celej organizácie. Na rozdiel od marketingu, ktorý pracuje najmä s kontaktnými údajmi, HR spracúva informácie o zdraví, rodinných príslušníkoch, finančnej situácii (exekúcie), náboženskom presvedčení (čerpanie voľna) či dokonca biometrické údaje pri dochádzkových systémoch.
Riziko je o to vyššie, že vzťah medzi zamestnancom a zamestnávateľom je vnímaný ako nerovnomerný. Európske dozorné orgány vychádzajú z predpokladu, že zamestnanec je slabšou stranou, ktorá často udeľuje súhlas pod nepriamym tlakom. Preto sa pri kontrolách kladie obrovský dôraz na to, či má zamestnávateľ iný, silnejší právny základ než len „vynútený“ súhlas. Ak vaše HR procesy stoja na hlinených nohách nesprávne definovaných právnych základov, vystavujete sa riziku, že akékoľvek spracúvanie bude vyhlásené za nezákonné.
Medzi hlavné oblasti, na ktoré sa kontrolóri zameriavajú, patria:
- Minimalizácia údajov: Či nepýtate od uchádzačov informácie, ktoré na danú pozíciu nepotrebujete (napr. rodinný stav pri pozícii skladníka).
- Transparentnosť: Či sú zamestnanci jasne informovaní o tom, čo sa s ich údajmi deje.
- Bezpečnosť: Kto všetko má prístup k mzdovým zložkám a či sú fyzické spisy v uzamknutých skriniach.
Právne základy spracúvania v personalistike: Zabudnite na súhlas
Jednou z najčastejších chýb personalistov je nadužívanie súhlasu so spracovaním osobných údajov. V pracovnoprávnych vzťahoch je súhlas v mnohých prípadoch irelevantný a právne napadnuteľný, pretože zamestnanec ho nemôže slobodne odmietnuť bez strachu z následkov. GDPR však ponúka iné, robustnejšie cesty, ktoré by ste mali prioritne využívať.
Väčšina aktivít HR spadá pod plnenie zmluvy alebo predzmluvné vzťahy. Keď si pýtate od uchádzača životopis, spracúvate ho preto, aby ste mohli uzavrieť pracovnú zmluvu. Po nástupe do práce spracúvate údaje (meno, adresa, rodné číslo), pretože je to nevyhnutné na plnenie pracovnej zmluvy. Ďalším silným pilierom je zákonná povinnosť. Odvody do Sociálnej a zdravotnej poisťovne, daňové priznania či vedenie mzdovej agendy vám ukladá priamo zákon (napr. Zákonník práce alebo Zákon o sociálnom poistení). V týchto prípadoch súhlas nielenže nepotrebujete, ale ani by ste ho nemali vyžadovať.
Súhlas zostáva povinný len pre aktivity, ktoré nie sú nevyhnutné pre výkon práce, ako napríklad:
- Zverejnenie fotografie zamestnanca na webovej stránke firmy alebo v marketingových materiáloch.
- Uchovanie životopisu v databáze pre budúce voľné pozície po ukončení výberového konania.
- Poskytovanie údajov zamestnanca tretím stranám pre účely firemných benefitov (napr. Multisport karty), ak to nie je súčasťou kolektívnej zmluvy.
Náborový proces a osud životopisov: Ako neporušiť zákon?
Nábor je fázou, kde dochádza k najčastejším únikom dát a chybám v procesoch. Akonáhle vám príde životopis, stávate sa prevádzkovateľom týchto údajov. Musíte mať jasne stanovené, ako dlho tieto dáta uchovávate a kedy ich bezpečne zlikvidujete.
Štandardná prax diktuje, že údaje uchádzačov, ktorí neboli vybraní, musia byť vymazané ihneď po ukončení výberového konania a obsadení pozície, pokiaľ vám uchádzač nedal explicitný a slobodný súhlas na zaradenie do databázy uchádzačov. Tento súhlas musí byť časovo obmedzený (odporúča sa 1 až 2 roky) a uchádzač musí mať možnosť ho kedykoľvek jednoducho odvolať.
Pozor na skryté riziká: Ak životopisy kolujú po e-mailoch manažérov jednotlivých oddelení, porušujete princíp integrity a dôvernosti. Ideálnym riešením je centralizovaný náborový systém (ATS), kde sa po skončení výberu prístupy zablokujú a dáta automaticky anonymizujú. Ak používate papierové verzie, po pohovore by mali byť skartované, nie ponechané na stole v zasadačke.
Monitoring zamestnancov a ich súkromie na pracovisku
Téma sledovania zamestnancov pomocou GPS v autách, kamerových systémov (CCTV) alebo monitoringu e-mailov je pre GDPR kontrolórov „červeným súknom“. Tu naráža oprávnený záujem zamestnávateľa na ochranu majetku na právo na súkromie zamestnanca. Podľa § 13 ods. 4 Zákonníka práce nesmie zamestnávateľ bez vážnych dôvodov spočívajúcich v osobitnej povahe činností kontrolovať zamestnanca bez toho, aby ho o tom vopred informoval.
Ak zavádzate monitoring, musíte prejsť procesom testu proporcionality. Znamená to, že musíte vedieť dokázať, že váš cieľ (napr. ochrana pred krádežou) nie je možné dosiahnuť menej invazívnym spôsobom. Pri GPS monitoringu firemných vozidiel musí mať zamestnanec možnosť prepnúť na „súkromnú jazdu“, kedy sa poloha nezaznamenáva. Pri monitoringu e-mailov máte právo kontrolovať len hlavičky správ (odosielateľ/prijímateľ) v prípade podozrenia z nekalej činnosti, ale čítanie obsahu súkromnej správy zamestnanca je takmer vždy považované za závažné porušenie jeho práv.
Základným pravidlom je absolútna informovanosť. Zamestnanec musí presne vedieť:
- Čo je monitorované.
- Akým spôsobom sa monitoring vykonáva.
- Ako dlho sa záznamy uchovávajú (pri kamerách je to štandardne 72 hodín, maximálne 7 dní, ak zákon neustanovuje inak).
- Kto má k záznamom prístup.
Retenčné lehoty: Čo môžem vyhodiť a čo musím držať desaťročia?
GDPR zavádza princíp obmedzenia uchovávania, čo znamená, že údaje nesmiete držať „pre istotu“ navždy. Každý dokument v HR zložke má svoju expiračnú dobu, ktorá vychádza zo slovenských zákonov. Toto je kritický bod každej kontroly, pretože preplnené archívy neaktuálnymi údajmi sú jasným dôkazom zlyhania procesov.
Príklady dôležitých lehôt na Slovensku:
- Mzdové listy: Musia sa uchovávať až 50 rokov kvôli dôchodkovému zabezpečeniu zamestnancov.
- Pracovné zmluvy a dohody: Odporúča sa uchovávať 20 rokov po ukončení pomeru.
- Evidencia dochádzky: Štandardne 5 rokov podľa zákona o inšpekcii práce.
- Životopisy neúspešných uchádzačov: Likvidácia ihneď po výberovom konaní (ak nie je súhlas).
- Kópie občianskych preukazov: Pozor! Zamestnávateľ v zásade nemá právo robiť si kópie OP bez výslovného súhlasu alebo špecifického zákonného dôvodu. Vystačiť si musíte s odpisom údajov.
Po uplynutí týchto lehôt musí nasledovať bezpečná likvidácia. Vyhodenie celých personálnych spisov do bežného komunálneho odpadu je jedným z najrýchlejších spôsobov, ako dostať od Úradu na ochranu osobných údajov maximálnu pokutu.
Bezpečnostné incidenty: Čo robiť, keď dáta uniknú?
Ani najlepšie nastavený systém nie je stopercentne imúnny voči ľudskej chybe alebo hackerskému útoku. Stratený USB kľúč s výplatnou páskou, e-mail so mzdami poslaný nesprávnemu kolegovi alebo ukradnutý firemný notebook sú bezpečnostné incidenty, ktoré musíte riešiť podľa protokolu GDPR.
Máte presne 72 hodín od momentu, kedy ste sa o incidente dozvedeli, na to, aby ste ho nahlásili dozornému orgánu, ak predstavuje riziko pre práva fyzických osôb. Ak je riziko vysoké, musíte informovať aj dotknutých zamestnancov. HR oddelenie musí viesť interný Register bezpečnostných incidentov, kde zaznamenáte aj tie drobné pochybenia, ktoré ste nemuseli hlásiť úradu. Schopnosť preukázať, že ste incident identifikovali, analyzovali a prijali nápravné opatrenia, je pre kontrolóra znakom, že vašu agendu beriete vážne a máte nad ňou kontrolu.
Správa osobných údajov v oblasti ľudských zdrojov nie je len o jednorazovom vypracovaní dokumentácie, ktorú následne založíte do šanónu. Je to nepretržitý proces prehodnocovania rizík, vzdelávania zamestnancov a aktualizácie postupov podľa meniacej sa legislatívy a judikatúry. Personalista dnes musí byť čiastočne právnikom, IT špecialistom aj psychológom, aby dokázal balansovať medzi potrebami biznisu a ochranou súkromia jednotlivcov. Dôsledné dodržiavanie pravidiel minimalizácie údajov, jasné definovanie právnych základov a striktné dodržiavanie retenčných lehôt sú vaším najlepším štítom proti sankciám. Nezabúdajte, že GDPR kontrola neprichádza zničiť vašu firmu, ale preveriť, či si vážite integritu ľudí, ktorí pre vás pracujú. Ak máte svoje procesy nastavené transparentne a v súlade s princípmi, ktoré sme rozobrali, žiadna kontrola pre vás nebude nočnou morou, ale len formálnym potvrdením vašej profesionality. Správne nastavené HR procesy v konečnom dôsledku zvyšujú dôveru zamestnancov voči firme, čo vedie k lepšej firemnej kultúre a nižšej fluktuácii. Investícia do auditu vašich osobných údajov a preškolenia tímu sa vám teda nevráti len v podobe „zachráneného krku“, ale aj vo forme stabilnejšieho a lojálnejšieho pracovného prostredia, kde sú dáta v bezpečí.
