Ochrana osobných údajov nie je len záležitosťou marketingových oddelení alebo technologických firiem. Každý zamestnávateľ, bez ohľadu na veľkosť firmy, spracúva osobné údaje svojich zamestnancov denne — od prijatia žiadosti o zamestnanie, cez vedenie personálnej dokumentácie, až po spracúvanie mzdovej agendy. A musí to robiť v súlade s platnými predpismi.
Základné pojmy
Dotknutou osobou je každá fyzická osoba, ktorej osobné údaje sa spracúvajú. Teda každý zamestnanec, uchádzač o zamestnanie aj externý spolupracovník, ktorého údaje firma uchováva. Osobné údaje sú definované mimoriadne široko — ide o akékoľvek informácie, pomocou ktorých možno fyzickú osobu priamo alebo nepriamo identifikovať. Patrí sem meno, adresa, dátum narodenia, rodné číslo, údaj o zdravotnom stave, ale aj lokalizačný údaj, online identifikátor či biometrické záznamy.
Prevádzkovateľom je ten, kto určuje účely a prostriedky spracúvania osobných údajov — v kontexte pracovnoprávnych vzťahov je to zamestnávateľ. Sprostredkovateľom je ten, kto spracúva osobné údaje v mene prevádzkovateľa — napríklad externý účtovník, mzdová kancelária alebo poskytovateľ softvéru na správu personálnej agendy.
Spracúvaním osobných údajov sa rozumie prakticky akákoľvek operácia s nimi — získavanie, zaznamenávanie, ukladanie, úprava, vyhľadávanie, využívanie, poskytovanie tretím stranám, ale aj vymazanie alebo likvidácia.
Právne základy spracúvania
Osobné údaje možno spracúvať zákonným spôsobom iba vtedy, ak je splnený aspoň jeden zo šiestich zákonom stanovených právnych základov. V pracovnoprávnej praxi sú najrelevantnejšie tieto: plnenie zmluvy — teda samotnej pracovnej zmluvy, plnenie zákonnej povinnosti zamestnávateľa (napríklad vedenie mzdovej agendy, odvodové povinnosti), a oprávnený záujem prevádzkovateľa.
Súhlas zamestnanca ako právny základ sa v pracovnoprávnom kontexte využíva menej. Dôvod je prozaický: súhlas musí byť slobodne daný, čo je v závislom pracovnom vzťahu problematické — zamestnanec môže mať pocit, že odopretie súhlasu by malo negatívne dôsledky. Právna prax preto odporúča pre spracúvanie nevyhnutné pre výkon práce využívať iné právne základy, súhlas vyhradiť iba pre skutočne dobrovoľné a nepodmienené situácie.
Základné zásady spracúvania
GDPR stanovuje šesť kľúčových zásad, ktoré musia zamestnávatelia pri spracúvaní osobných údajov dodržiavať. Zásada zákonnosti, spravodlivosti a transparentnosti vyžaduje, aby spracúvanie prebiehalo zákonným spôsobom a transparentne voči dotknutej osobe. Zásada obmedzenia účelu zakazuje zbierať údaje na jeden účel a využívať ich na iný. Zásada minimalizácie osobných údajov hovorí, že spracúvané údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah. Zásada správnosti vyžaduje, aby boli údaje aktuálne a nesprávne údaje boli bez odkladu opravené alebo vymazané. Zásada minimalizácie uchovávania zakazuje uchovávať údaje dlhšie, než je nevyhnutné na daný účel. A zásada integrity a dôvernosti ukladá povinnosť zabezpečiť údaje primeranými technickými a organizačnými opatreniami.
Osobitne dôležitá je zásada zodpovednosti: zamestnávateľ ako prevádzkovateľ je zodpovedný za súlad so všetkými uvedenými zásadami a musí byť schopný tento súlad aj preukázať. Úrad na ochranu osobných údajov nemusí preukazovať porušenie — dôkazné bremeno leží na prevádzkovateľovi. Za porušenie základných zásad možno uložiť pokutu až do 20 miliónov eur, respektíve do 4 % celkového ročného obratu.
Práva zamestnancov
Zamestnanci ako dotknuté osoby majú viaceré zákonné práva, ktoré im GDPR zaručuje. Právo na prístup k údajom im umožňuje získať od zamestnávateľa potvrdenie, či sú ich osobné údaje spracúvané, a ak áno, prístup k nim. Právo na opravu zaväzuje zamestnávateľa bez odkladu opraviť nesprávne alebo doplniť neúplné údaje. Právo na vymazanie — tzv. právo na zabudnutie — umožňuje požiadať o výmaz osobných údajov za podmienok stanovených zákonom. Právo na obmedzenie spracúvania, právo na prenosnosť údajov a právo namietať dopĺňajú tento katalóg. Zamestnávateľ je povinný tieto práva rešpektovať a zamestnancov o nich informovať. Pri spolupráci s externým účtovníkom je dobre rozumieť aj problematike zodpovednosti konateľa a účtovníka, ktorá s ochranou údajov úzko súvisí.
Záver
GDPR v pracovnoprávnych vzťahoch je témou, ktorú mnohí zamestnávatelia stále vnímajú ako byrokratickú záťaž. V skutočnosti ide o nastavenie zodpovedného prístupu k informáciám, ktoré im zamestnanci zverujú. Firmy, ktoré to pochopia a podľa toho konajú, nielen dodržujú zákon — budujú aj kultúru dôvery, ktorá má v dnešnom pracovnom prostredí reálnu hodnotu. S ohľadom na pripravované zmeny slovenského zákona o ochrane osobných údajov je dôležité sledovať legislatívny vývoj a byť pripravený na prípadné nové povinnosti. Pre širší kontext zmluvných vzťahov vo firme odporúčame článok zmluvy v podnikaní: na čo si dávať pozor.
Chcete mať istotu, že vaše spracúvanie osobných údajov zamestnancov je v súlade s GDPR? Pomôžeme vám zmapovať procesy, nastaviť právne základy spracúvania a pripraviť potrebnú dokumentáciu.