Vedieť, čo GDPR vyžaduje, je len prvý krok. Druhý — a v praxi neraz ťažší — krok je mať potrebné dokumenty skutočne vyhotovené, aktuálne a dostupné. Práve tu mnohé firmy zlyhávajú. Úrad na ochranu osobných údajov neoveruje len to, či zamestnávateľ pozná pravidlá — overuje, či vie ich dodržiavanie aj preukázať. A bez dokumentácie to nie je možné.
Tento článok ponúka prehľad kľúčových dokumentov, ktoré by mal mať každý zamestnávateľ v oblasti ochrany osobných údajov pripravené — a vysvetľuje, prečo na každom z nich záleží.
Externý účtovník a mzdová kancelária — sprostredkovateľský vzťah
Jednou z najčastejšie podceňovaných oblastí je situácia, keď zamestnávateľ využíva externú účtovnú alebo mzdovú kanceláriu. Tieto subjekty spracúvajú osobné údaje zamestnancov — mená, rodné čísla, mzdové údaje, zdravotné informácie — v mene zamestnávateľa. Z pohľadu GDPR sú sprostredkovateľmi, a tento vzťah musí byť upravený písomnou zmluvou o spracúvaní osobných údajov.
Bez tejto zmluvy sa zamestnávateľ vystavuje riziku porušenia GDPR, aj keď externý účtovník pracuje bezchybne. Zmluva musí presne definovať predmet a dobu spracúvania, povahu a účel spracúvania, typ osobných údajov a kategórie dotknutých osôb, ako aj práva a povinnosti zamestnávateľa. Pre praktické tipy pri spolupráci s účtovníkom odporúčame článok ako pripraviť podklady pre účtovníka.
Sprostredkovateľ nesmie zapojiť ďalšieho subdodávateľa bez predchádzajúceho osobitného alebo všeobecného písomného povolenia prevádzkovateľa. Ak sa tak stane, tomuto ďalšiemu subdodávateľovi musia byť zmluvou alebo iným právnym aktom uložené rovnaké povinnosti ochrany údajov, aké má samotný sprostredkovateľ voči prevádzkovateľovi.
Záznamy o spracovateľských činnostiach
Každý prevádzkovateľ je povinný viesť záznamy o spracovateľských činnostiach, za ktoré je zodpovedný, a to v písomnej forme — vrátane elektronickej. Tieto záznamy musia obsahovať meno a kontaktné údaje prevádzkovateľa, účely spracúvania, opis kategórií dotknutých osôb a osobných údajov, kategórie príjemcov osobných údajov, prípadné prenosy do tretích krajín a plánované lehoty na vymazanie údajov.
Záznamy nie sú jednorazový dokument — musia odrážať aktuálny stav. Zavedenie nového informačného systému, zmena spôsobu spracúvania alebo ukončenie niektorej spracovateľskej činnosti sa musia v záznamoch premietnuť. V praxi to znamená, že zamestnávatelia by mali mať nastavený interný proces, ktorý zabezpečí, že záznamy sú udržiavané aktuálne.
Informačná povinnosť
Zamestnávateľ je povinný informovať dotknuté osoby — teda zamestnancov aj uchádzačov o zamestnanie — o tom, ako sú ich osobné údaje spracúvané. Táto informácia musí obsahovať identifikáciu prevádzkovateľa, účely a právny základ spracúvania, príjemcov údajov, dobu uchovávania, práva dotknutých osôb a informácie o automatizovanom rozhodovaní, ak k nemu dochádza.
Informačná povinnosť sa najčastejšie plní prostredníctvom tzv. informačného memoranda alebo oznámenia o spracúvaní osobných údajov, ktoré je zamestnancovi odovzdané pri nástupe do zamestnania. Dôkazom o splnení tejto povinnosti je podpis zamestnanca alebo iný preukázateľný spôsob odovzdania.
Bezpečnostné opatrenia
GDPR vyžaduje primerané technické a organizačné opatrenia na ochranu osobných údajov. Ich rozsah závisí od povahy, rozsahu, kontextu a účelov spracúvania, ako aj od pravdepodobnosti a závažnosti rizík. Konkrétne opatrenia môžu zahŕňať pseudonymizáciu a šifrovanie osobných údajov, schopnosť zabezpečiť trvalú dôvernosť, integritu a dostupnosť systémov, možnosť včas obnoviť prístup k osobným údajom po technickom incidente a pravidelné testovanie a hodnotenie účinnosti opatrení.
Bezpečnostné opatrenia musia byť dokumentované — nestačí, že existujú len v praxi. Zamestnávateľ musí vedieť preukázať, aké opatrenia prijal, kedy a prečo. Patrí sem napríklad politika ochrany osobných údajov, pravidlá prístupu k osobným údajom, evidencia bezpečnostných incidentov alebo záznamy o pravidelných školeniach.
Zodpovedná osoba a poverenie zamestnancov
Niektorí zamestnávatelia sú zo zákona povinní určiť zodpovednú osobu — tzv. DPO (Data Protection Officer). Povinnosť vzniká vtedy, ak hlavnou činnosťou prevádzkovateľa je pravidelné a systematické monitorovanie dotknutých osôb vo veľkom rozsahu, alebo ak ide o spracúvanie osobitných kategórií údajov (napríklad zdravotných) vo veľkom rozsahu. Ostatní zamestnávatelia môžu zodpovednú osobu určiť dobrovoľne.
Okrem zodpovednej osoby musí zamestnávateľ poučiť a písomne poveriť zamestnancov, ktorí prichádzajú do kontaktu s osobnými údajmi — napríklad personalistov, mzdových účtovníkov alebo správcov IT systémov. Toto poverenie musí obsahovať vymedzenie rozsahu prístupu k osobným údajom a poučenie o povinnostiach pri ich spracúvaní.
Odporúčaný postup pre prax
Pre zamestnávateľov, ktorí chcú mať GDPR dokumentáciu skutočne v poriadku, odporúčame systematický postup: najprv zmapovať, aké osobné údaje firma skutočne spracúva a na aké účely. Následne ku každému údaju priradiť právny základ spracúvania. Vytvoriť informačné systémy osobných údajov podľa účelov spracúvania. Uzatvoriť zmluvy so všetkými sprostredkovateľmi. Poučiť a písomne poveriť zamestnancov, ktorí s osobnými údajmi pracujú. Zabezpečiť splnenie práv dotknutých osôb. Vypracovať a priebežne aktualizovať záznamy o spracovateľských činnostiach. A napokon — zabezpečiť dôkazy o všetkom vyššie uvedenom. Pre širší kontext zodpovednosti vo firme je užitočné poznať aj zodpovednosť konateľa a účtovníka.
Záver
Správne nastavená GDPR dokumentácia nie je cieľom sama o sebe — je to základ, od ktorého sa odvíja schopnosť firmy obstáť pri kontrole, v súdnom konaní alebo pri riešení bezpečnostného incidentu. S ohľadom na pripravované zmeny slovenského zákona o ochrane osobných údajov, ktoré sa očakávajú v priebehu roka 2026, je vhodný čas na revíziu existujúcej dokumentácie a prípravu na nové požiadavky. Tí, ktorí dokumentáciu ešte nemajú, by mali začať čo najskôr — najlepšie auditom toho, aké osobné údaje reálne spracúvajú.
Potrebujete zostaviť alebo zrevidovať GDPR dokumentáciu vo vašej firme? Pomôžeme vám pripraviť záznamy o spracovateľských činnostiach, zmluvy so sprostredkovateľmi aj informačné memorandá pre zamestnancov.