Ochrana osobných údajov v pracovnej zmluve v súlade s GDPR

S príchodom Všeobecného nariadenia o ochrane údajov (GDPR) sa ochrana osobných údajov stala kľúčovou témou pre všetky organizácie, vrátane zamestnávateľov. Tento článok sa zameriava na to, ako sa GDPR premieta do pracovných zmlúv a aké povinnosti z toho vyplývajú pre zamestnávateľov.

Úvod do problematiky GDPR a pracovných zmlúv

GDPR a zákon č. 18/2018 Z. z. o ochrane osobných údajov upravujú podmienky spracúvania osobných údajov. Z pohľadu ochrany osobných údajov je nevyhnutné do pracovnej zmluvy začleniť ustanovenia, ktoré zabezpečia informovanosť zamestnanca. Cieľom tohto článku je objasniť, ako implementovať požiadavky GDPR do pracovnej zmluvy a ako zabezpečiť súlad s platnou legislatívou.

Právny základ spracúvania osobných údajov v pracovnoprávnych vzťahoch

Podmienky spracúvania osobných údajov upravuje Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR) a zákon č. 18/2018 Z. z. GDPR stanovuje, že spracúvanie osobných údajov je zákonné len vtedy, ak existuje jeden zo šiestich právnych základov uvedených v článku 6 ods. 1 písm. a) až f). Primeraný právny základ je nevyhnutný pre dodržanie zásady zákonnosti podľa čl. 5 ods. 1 písm. a) GDPR.

Spracúvanie osobných údajov na základe osobitných predpisov

V kontexte pracovnoprávneho vzťahu sa spracúvanie osobných údajov často opiera o osobitné predpisy, ako je Zákonník práce (zákon č. 311/2001 Z. z.) a zákon o zdravotnom poistení (zákon č. 580/2004 Z. z.). V súlade s článkom 6 ods. 1 písm. c) GDPR a § 13 ods. 1 písm. c) zákona č. 18/2018 Z. z. je spracúvanie osobných údajov zákonné, ak je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy. To znamená, že zamestnávateľ môže spracúvať osobné údaje zamestnancov bez ich súhlasu, ak to vyžaduje zákon, a to len v rozsahu a spôsobom, ktorý ustanovuje tento zákon.

Súhlas so spracúvaním osobných údajov v pracovnej zmluve

Priamo v pracovnej zmluve by nemala byť zakotvená časť, v ktorej zamestnanec udeľuje súhlas so spracovaním osobných údajov. Na účely pracovnoprávneho vzťahu nie je potrebný súhlas zamestnanca, pretože spracúvanie osobných údajov sa vykonáva na základe uzatvorenej pracovnej zmluvy v súlade s osobitným predpisom.

Prečítajte si tiež: Podmienky nároku na nemocenské dávky

Povinnosti zamestnávateľa ako prevádzkovateľa osobných údajov

Ochrana osobných údajov v pracovnoprávnych vzťahoch je neoddeliteľnou súčasťou povinností každého zamestnávateľa, ktorý vystupuje ako prevádzkovateľ podľa GDPR. Zamestnávateľ spracúva osobné údaje o svojich zamestnancoch bez ohľadu na to, či mu tieto údaje poskytli samotní zamestnanci alebo ich zamestnávateľ vytvoril v rámci plnenia pracovných úloh.

Základné zásady spracúvania osobných údajov

Zamestnávateľ je povinný dodržiavať základné zásady spracúvania osobných údajov, ktoré vyplývajú z GDPR:

• Zásada zákonnosti, spravodlivosti a transparentnosti: Zamestnávateľ musí spracúvať osobné údaje zamestnancov výlučne na jasne a konkrétne definovaných právnych základoch, ako je plnenie zmluvy, plnenie zákonnej povinnosti alebo oprávnený záujem. Informácie o spracúvaní osobných údajov by mali byť poskytnuté v jazyku, ktorému zamestnanec rozumie.
• Zásada obmedzenia účelu: Zamestnávateľ môže spracúvať osobné údaje zamestnancov len na špecifikované a legitímne účely. Osobné údaje získané na jeden účel nemožno použiť na iný nesúvisiaci účel.
• Zásada minimalizácie údajov: Rozsah spracúvaných osobných údajov musí byť adekvátny, relevantný a obmedzený na nevyhnutný rozsah vo vzťahu k účelom, na ktoré sa spracúvajú.
• Zásada správnosti: Zamestnávateľ má povinnosť prijať opatrenia na zabezpečenie správnosti a aktuálnosti osobných údajov zamestnancov. Osobné údaje, ktoré sú nepresné, sa musia bezodkladne vymazať alebo opraviť.
• Zásada minimalizácie uchovávania: Osobné údaje zamestnancov možno uchovávať len po dobu, ktorá je nevyhnutná na splnenie účelov. Po uplynutí tejto doby musia byť údaje bezpečne zlikvidované alebo anonymizované.
• Zásada integrity a dôvernosti: Zamestnávateľ musí zabezpečiť primeranú úroveň bezpečnosti osobných údajov, vrátane ochrany pred neoprávneným prístupom, zničením, stratou alebo zmenou.
• Zásada zodpovednosti: Zamestnávateľ nesie plnú zodpovednosť za dodržiavanie všetkých uvedených zásad a musí preukázať, že ich dodržiava.

Interné dokumenty a informovanosť zamestnancov

Zamestnávateľ je povinný vyhotoviť interné dokumenty týkajúce sa spracúvania osobných údajov a oboznámiť s nimi svojich zamestnancov. Bez riadneho informovania zamestnancov nemožno očakávať, že budú vedieť, ako majú postupovať pri spracúvaní osobných údajov.

Rozsah osobných údajov v pracovnej zmluve

Zákonník práce priamo neustanovuje, aké osobné údaje zamestnanca majú byť uvedené v pracovnej zmluve. Rozsah osobných údajov, ktorý označuje zamestnanca, musí byť v súlade so zásadou minimalizácie. Na identifikáciu zamestnanca sú postačujúce meno a priezvisko, trvalý pobyt a dátum narodenia, prípadne osobné číslo pridelené zamestnávateľom. Tento rozsah osobných údajov je pre účely uzavretia pracovnej zmluvy a plnenia povinností z nej vyplývajúcich dostačujúci.

Príklady osobných údajov spracúvaných zamestnávateľom

Zamestnávateľ spracúva osobné údaje zamestnancov v rôznych interných systémoch, ako sú mzdové programy, GPS aplikácie, účtovné programy a monitorovacie zariadenia.

Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

Osobné údaje vyžadované Zákonníkom práce

Paragrafové znenie § 43 Zákonníka práce definuje podstatné náležitosti pracovnej zmluvy, ktorá musí obsahovať identifikačné údaje zamestnávateľa a zamestnanca, hoci neuvádza konkrétne osobné údaje. Z aplikačnej praxe vyplýva, že na uzatvorenie pracovného pomeru postačuje tento rozsah osobných údajov na strane zamestnanca: meno a priezvisko, titul, adresa trvalého pobytu, prípadne adresa prechodného pobytu, dátum narodenia a číslo bankového účtu.

Osobné údaje v dohodách o dočasnom pridelení

Zákonník práce zakotvuje, aké obligatórne náležitosti musí obsahovať dohoda o dočasnom pridelení podľa § 58a ods. 2, a to v rozsahu osobných údajov, keď možno identifikovať osobu zamestnanca: meno a priezvisko, dátum a miesto narodenia, miesto trvalého pobytu dočasne prideleného zamestnanca.

Osobné údaje v súvislosti s príspevkami a poukazmi

Po nedávnych novelách Zákonníka práce sa zakotvilo, že v prípade príspevku na športovú činnosť dieťaťa musí byť na daňovom doklade uvedené meno a priezvisko dieťaťa, čiže zamestnávateľom vznikol nový účel spracúvania osobných údajov, za ktorých môžu spracúvať osobné údaje detí svojich zamestnancov. Obdobne sa táto situácia premietla aj v prípade poskytovania rekreačných poukazov alebo príspevku na rekreáciu, keď sa okruh dotknutých osôb rozšíril aj na rodičov zamestnanca.

Implementácia ustanovení o ochrane osobných údajov do pracovnej zmluvy

Implementácia ustanovení o ochrane osobných údajov do zmluvy závisí od nastavenia GDPR u každého zamestnávateľa. Nie je chybou, ak v zmluve uvedené nie sú.

Informačná povinnosť

Zamestnávateľ má povinnosť preukázať, že zamestnanec bol oboznámený so spracúvaním jeho osobných údajov zamestnávateľom pred ich získaním a začatím spracúvania. V zmluve je možné uviesť: "Zamestnanec vyhlasuje, že bol oboznámený so spracúvaním osobných údajov v zmysle čl. 13 a čl. 14 GDPR."

Prečítajte si tiež: Dočasná pracovná neschopnosť: Ako postupovať

Udelenie pokynov oprávnenej osobe

Zamestnávateľ má udeliť oprávneným osobám, ktoré spracúvajú osobné údaje, pokyny, ako majú byť osobné údaje pri jeho činnosti spracúvané. Ustanovenia pracovnej zmluvy možno prepojiť so všetkými dokumentami, ktoré sa zamestnancov týkajú.

Mlčanlivosť

Mlčanlivosť je jednou zo základných povinností zamestnanca. Mlčanlivosť definovaná v Zákonníku práce sa vzťahuje na skutočnosti, o ktorých sa zamestnanec dozvedel pri výkone práce. Ak má zamestnávateľ záujem o vyššiu ochranu, môže mlčanlivosť definovať osobitne - či už v pracovnej zmluve alebo interných predpisov. Zaviazanie povinnosťou mlčanlivosti zamestnancov ako tzv. oprávnených osôb je dokonca povinnosťou zamestnávateľa.

Chyby pri určovaní právneho základu

Stále opakujúcou sa chybou je zlé určenie právneho základu v pracovnej zmluve. Býva v nej uvedené, že: „Zamestnanec súhlasí so spracovaním osobných údajov zamestnávateľom pre plnenie zmluvy“. V tomto prípade ide o povinnosti, ktoré zamestnávateľovi vyplývajú z uzatvorenej pracovnej zmluvy, resp. z príslušných právnych predpisov. Nie je preto vhodné určiť ako právny základ súhlas, ale plnenie zmluvných, resp. zákonných povinností.

Práva dotknutých osôb

Dotknuté osoby majú v súvislosti so spracúvaním ich osobných údajov práva, ktoré im zaručuje GDPR:

• Právo na prístup: Dotknutá osoba má právo na poskytnutie kópie osobných údajov, ktoré má prevádzkovateľ k dispozícii, ako aj na informácie o tom, ako osobné údaje prevádzkovateľ používa.
• Právo na opravu: Prevádzkovateľ je povinný zabezpečovať presnosť, úplnosť a aktuálnosť spracúvaných osobných údajov.
• Právo na výmaz (na zabudnutie): Dotknutá osoba má právo požiadať o vymazanie osobných údajov, napr. ak osobné údaje viac nie sú potrebné na naplnenie pôvodného účelu spracúvania.
• Právo na obmedzenie spracúvania: Za určitých okolností je dotknutá osoba oprávnená prevádzkovateľa požiadať, aby prestal používať jej osobné údaje.
• Právo na prenosnosť údajov: Za určitých okolností má dotknutá osoba právo požiadať prevádzkovateľa o prenos osobných údajov na inú tretiu stranu podľa jej výberu.
• Právo namietať: Dotknutá osoba má právo namietať voči spracúvaniu jej osobných údajov, ktoré je založené na legitímnych oprávnených záujmoch prevádzkovateľa.
• Právo odvolať súhlas: V prípadoch, kedy osobné údaje prevádzkovateľ spracúva na základe súhlasu, má dotknutá osoba právo tento súhlas kedykoľvek odvolať.

Bezpečnosť osobných údajov

Prevádzkovateľ (zamestnávateľ) je povinný zabezpečovať zálohovanie údajov v súlade s bezpečnostnými požiadavkami GDPR a zákona č. 18/2018 Z. z. Osobné údaje sú uchovávané bezpečne a len po dobu nevyhnutnú na splnenie účelu ich spracúvania. Na uchovávanie osobných údajov, ktoré prevádzkovateľ spracúva, sa vzťahuje zákon č. 395/2002 Z. z. o archívoch a registratúrach. Osobné údaje sú zálohované v súlade s retenčnými pravidlami. Osobné údaje uchovávané na záložných úložiskách slúžia na predchádzanie bezpečnostným incidentom, najmä narušenia dostupnosti údajov v dôsledku bezpečnostného incidentu.

Príklady z praxe a rozhodnutia úradov

Prípad španielskeho úradu na ochranu osobných údajov

Španielsky úrad na ochranu osobných údajov sa zaoberal situáciou, ktorá sa týkala citlivých údajov zamestnancov. Mestská polícia nahlásila incident, pri ktorom boli na verejnom priestranstve nájdené lekárske správy zamestnancov. Napriek závažnosti a porušeniu ochrany osobných údajov španielsky úrad uložil len pokarhanie.

Prípad talianskeho úradu na ochranu osobných údajov

Taliansky úrad na ochranu osobných údajov sa zaoberal hodnotiacimi dotazníkmi zamestnancov, ktorí sa vrátili do práce po dovolenke. Zamestnávateľ požiadal zamestnancov, aby po návrate z dovolenky podstúpili rozhovory so svojimi nadriadenými. Cieľom tohto pohovoru bolo podporiť zamestnancov pri návrate na ich pracovisko a získať informácie o možných nedostatkoch pracovného prostredia s cieľom ich neskoršieho riešenia. Taliansky úrad zistil neexistenciu platného právneho základu v podobe súhlasu podľa čl. 6 a 9 GDPR a porušenie zásady transparentnosti a minimalizácie údajov.

Aktualizácia pracovných zmlúv podľa GDPR

S účinnosťou od 25. mája 2018 bol zrušený zákon č. 122/2013 Z. z. o ochrane osobných údajov a Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov. Tieto dokumenty sa nahradili novým zákonom č. 18/2018 Z. z. o ochrane osobných údajov a Nariadením Európskeho parlamentu a rady (EÚ) 2016/679 z 27. apríla 2016. Ak má spoločnosť zamestnancov, ktorí uzavreli pracovnú zmluvu pred týmto dátumom, je vhodné pracovnú zmluvu aktualizovať podľa GDPR.

Zmluva o spracúvaní osobných údajov

Pri poskytovaní právnych služieb klientom sa uzatvárajú zmluvy o spracúvaní osobných údajov podľa čl. 28 GDPR v prípadoch, ak spoločnosť poskytuje inej osobe (tzv. sprostredkovateľovi) osobné údaje za nejakým účelom. Napríklad, ak zamestnávateľ poskytuje osobné údaje zamestnancov účtovníkovi, ktorý pripravuje mzdy. Za účelom prenesenia zodpovednosti za spracúvanie osobných údajov sa uzatvárajú s uvedenými spoločnosťami zmluvy o spracúvaní osobných údajov.

Postavenie advokátskej kancelárie

Podľa zákona o advokácii má advokát, prípadne advokátska kancelária, pri poskytovaní právnych služieb postavenie prevádzkovateľa. Teda má totožné postavenie, ako osoba poskytujúca osobné údaje dotknutých osôb. Napríklad ak zamestnávateľ poskytne advokátovi osobné údaje zamestnanca za účelom súdneho sporu so zamestnancom, nemusí mať s advokátom uzavretú žiadnu zmluvu týkajúcu sa spracovania osobných údajov zamestnanca.

tags: #pracovna #zmluva #ochrana #osobných #údajov #GDPR