GDPR a pracovná zmluva: Všetko, čo potrebujete vedieť o ochrane osobných údajov zamestnancov

Ochrana osobných údajov je v súčasnosti mimoriadne dôležitá téma, ktorá sa dotýka každého z nás. Nariadenie GDPR (General Data Protection Regulation), teda všeobecné nariadenie o ochrane osobných údajov, prinieslo zásadné zmeny v spôsobe, akým organizácie spracúvajú osobné údaje. V tomto článku sa zameriame na to, ako sa GDPR týka pracovnej zmluvy a spracúvania osobných údajov zamestnancov.

Čo je osobný údaj?

Pojem „osobný údaj“ je veľmi široký. Osobné údaje sú informácie, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľnou fyzickou osobou je osoba, ktorú možno priamo (napr. meno a priezvisko, fotografia) alebo nepriamo (napr. pridelením identifikátora, ako je číslo občianskeho preukazu alebo lokalizačné údaje) identifikovať. Záznamy, osobné údaje týkajúce sa zdravia a pod.

GDPR a živnostníci

GDPR sa týka aj živnostníkov. Ak predávate svoje produkty cez sociálne siete a systematicky spracúvate osobné údaje dotknutých osôb, ste povinný dodržiavať GDPR.

Základné princípy GDPR

GDPR stanovuje niekoľko základných princípov, ktoré musia prevádzkovatelia pri spracúvaní osobných údajov dodržiavať:

• Zákonnosť, spravodlivosť a transparentnosť: Osobné údaje musia byť spracúvané zákonne, spravodlivo a transparentne vo vzťahu k dotknutej osobe.
• Obmedzenie účelu: Osobné údaje musia byť získavané na konkrétne, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý je s týmito účelmi nezlučiteľný.
• Minimalizácia údajov: Osobné údaje musia byť primerané, relevantné a obmedzené na to, čo je nevyhnutné na účely, na ktoré sa spracúvajú.
• Presnosť: Osobné údaje musia byť presné a v prípade potreby aktualizované.
• Obmedzenie uchovávania: Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb len dovtedy, kým je to potrebné na účely, na ktoré sa spracúvajú.
• Integrita a dôvernosť: Osobné údaje musia byť spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a pred náhodnou stratou, zničením alebo poškodením.

Právny základ spracúvania osobných údajov v pracovnoprávnych vzťahoch

Hlavným účelom spracovania osobných údajov zamestnancov v pracovnoprávnych vzťahoch je nutnosť zamestnávateľa plniť povinnosti vyplývajúce z uzavretia pracovnej zmluvy a osobitných zákonov. Právny základ spracúvania osobných údajov môže byť:

Prečítajte si tiež: Podmienky nároku na nemocenské dávky

• Spracovanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, teda zamestnanec (čl. 6 bod 1 písm. b) GDPR).
• Spracovanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa, teda zamestnávateľa (čl. 6 bod 1 písm. c) GDPR).

Medzi najčastejšie právne predpisy, ktoré upravujú spracúvanie osobných údajov v pracovnoprávnych vzťahoch, patria:

• Nariadenia Rady (EHS) č. 311/76 o zostavovaní štatistík zahraničných pracovníkov.
• Nariadenie Rady (EHS) č. 1612/68 o slobode pohybu pracovníkov v rámci spoločenstva.
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
• Zákon č. 311/2001 Z. z. Zákonník práce.
• Zákon č. 552/2003 Z. z. o výkone prác vo verejnom záujme v znení neskorších predpisov.
• Zákon č. 553/2003 Z. z. o odmeňovaní niektorých zamestnancov pri výkone práce vo verejnom záujme a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
• Zákon č. 595/2003 Z. z. o dani z príjmov v znení neskorších predpisov.
• Zákon č. 563/2009 Z. z. o správe daní (daňový poriadok) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
• Zákon č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov.
• Zákon č. 600/2003 Z. z. o prídavku na dieťa a o zmene a doplnení zákona č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov.
• Zákon č. 462/2003 Z. z. o náhrade príjmu pri dočasnej pracovnej neschopnosti zamestnanca a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
• Zákon č. 580/2004 Z. z. o zdravotnom poistení a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
• Zákon č. 650/2004 Z. z. o doplnkovom dôchodkovom sporení v znení neskorších predpisov.
• Zákon č. 448/2008 Z. z. o sociálnych službách v znení neskorších predpisov.
• Zákon č. 5/2004 Z. z. o službách zamestnanosti v znení neskorších predpisov.
• Zákon č. 82/2005 Z. z. o nelegálnej práci a nelegálnom zamestnávaní v znení neskorších predpisov.
• Zákon č. 152/1994 Z. z. o sociálnom fonde a o zmene a doplnení zákona č. 286/1992 Zb. o daniach z príjmov v znení neskorších predpisov.
• Zákon č. 43/2004 Z. z. o starobnom dôchodkovom sporení.
• Zákonom č. 570/2005 Z. z. o brannej povinnosti.
• Zákonom č. 42/1994 Z. z. o civilnej ochrane obyvateľov v znení neskorších predpisov.
• Zákonom č. 314/2001 Z. z. o ochrane pred požiarmi.
• Zákonom č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci.
• Zákonom č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a súvisiacimi právnymi predpismi.
• Zákonom č. 179/2011 Z. z. o hospodárskej mobilizácii a o zmene a doplnení zákona č. 387/2002 Z. z. o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu v znení neskorších predpisov.
• Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
• Zákon č. 233/1995 Z. z. o súdnych exekútoroch a exekučnej činnosti (Exekučný poriadok).
• Zákon č. 663/2007 Z. z. o minimálnej mzde.
• Zákon č. 317/2009 Z. z. o pedagogických zamestnancoch a odborných zamestnancoch a o zmene a doplnení niektorých zákonov.
• Zákon č. 283/2002 Z. z.

Kategórie osobných údajov

V pracovnoprávnych vzťahoch sa spracúvajú rôzne kategórie osobných údajov:

• Všeobecné osobné údaje: napr. meno a priezvisko, adresa, dátum narodenia, kontaktné údaje.
• Osobitné kategórie osobných údajov (tzv. citlivé osobné údaje): napr. údaje o zdravotnom stave, údaje o rasovom alebo etnickom pôvode, údaje o náboženskom vyznaní alebo filozofickom presvedčení, údaje o členstve v odboroch.
• Osobné údaje, týkajúce sa uznania viny za trestné činy alebo priestupky: napr. údaje z registra trestov.

Spracúvanie osobných údajov uchádzača o zamestnanie

Spracúvanie osobných údajov uchádzača o zamestnanie v sebe zahŕňa predovšetkým činnosti spojené s posudzovaním životopisu, následne samotným výberovým konaním a napokon informovaním uchádzača o prijatí resp. neprijatí na voľnú pracovnú pozíciu.

Aké údaje môže zamestnávateľ v rámci výberového konania zisťovať a spracúvať? Údaje, ktoré je možné v rámci výberového konania spracúvať a ktoré je vôbec možné zisťovať, sú uvedené v § 41 ods. 6 Zákonníka práce. Zamestnávateľ smie od fyzickej osoby, ktorá sa uchádza o zamestnanie, vyžadovať len tie údaje, ktoré súvisia s prácou, ktorú má vykonávať.

Zamestnávateľ nesmie od uchádzača o zamestnanie vyžadovať informácie o tehotenstve, rodinných pomeroch, politickej príslušnosti a bezúhonnosti. Pri bezúhonnosti platia dve výnimky. Ak ide o prácu, pri ktorej sa vyžaduje bezúhonnosť, alebo ak to vyplýva z osobitného predpisu, môže zamestnávateľ takéto informácie vyžadovať.

Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

Rozsah požadovaných informácií upravuje nielen Zákonník práce, ale aj zákon č. 5/2004 Z. z. o službách zamestnanosti. Zamestnávateľ je oprávnený požadovať len osobné údaje, ktoré sú nevyhnutné na plnenie jeho povinností.

Zamestnávateľ nesmie vyžadovať informácie, ktoré by mohli viesť k diskriminácii uchádzača o prácu. Podľa § 41 ods. 7 Zákonníka práce zamestnávateľ nesmie vyžadovať od zamestnanca informácie, ktoré bezprostredne nesúvisia s výkonom práce a s pracovnoprávnym vzťahom.

Medzi dôvody, ktoré mohli brániť osobám vykonávať prácu, sú napríklad zdravotné dôvody. Zamestnávateľ tiež nesmie vyžadovať informácie o predchádzajúcej obdobnej, konkurenčnej činnosti u iného zamestnávateľa.

Je dôležité dodržiavať zásadu minimalizácie spracúvania osobných údajov. To znamená, že zamestnávateľ by mal spracúvať len tie osobné údaje, ktoré sú nevyhnutné na dosiahnutie zamýšľaného účelu. Účelom je najmä vznik pracovnoprávneho vzťahu, teda uzatvorenie zmluvy.

Identifikačné údaje v pracovnej zmluve

Pracovná zmluva môže byť platná aj bez uvedenia rodného čísla či čísla občianskeho preukazu. Uvedenie týchto údajov sa vyžaduje len v prípadoch, ak to zákon a kupujúceho na zmluve explicitne vyžaduje, napr. k zápisu vlastníckeho práva do katastra nehnuteľností.

Prečítajte si tiež: Dočasná pracovná neschopnosť: Ako postupovať

Rodné číslo nie je obligatórnou náležitosťou pracovnej zmluvy. Zamestnávateľ však potrebuje spracúvať rodné čísla svojich zamestnancov, ak to vyplýva zo všeobecne záväzných právnych predpisov alebo ak je to súčasťou výkonu jeho povinností. V takom prípade sa opiera o § 78 ods. 4 zákona o ochrane osobných údajov. Zákon o ochrane osobných údajov však zaviedol explicitný zákaz zverejňovania rodného čísla.

Zákonník práce explicitne neuvádza povinnosť zamestnávateľa viesť osobný spis zamestnancov. Je však bežnou praxou, že zamestnávatelia vedú osobné spisy svojich zamestnancov. Osobný spis zamestnanca je súbor dokumentov, z ktorého možno obsah osobného spisu odvodiť. Môže obsahovať napríklad kópiu pracovnej zmluvy, životopis zamestnanca, motivačný list či pracovný posudok.

Je dôležité, aby zamestnávateľ spracúval len tie osobné údaje, ktoré skutočne potrebuje. Napríklad, ak zamestnanec vykonáva prácu na základe dohody o práci vykonávanej mimo pracovného pomeru, zamestnávateľ potrebuje údaje potrebné pre výpočet mzdy za príslušný mesiac (napr. počet odpracovaných hodín a podobne).

Paušalizovaný postup pri získavaní fotokópií dokladov o vzdelaní sa nejaví ako správny. Zamestnávateľ by mal posudzovať individuálne, či je získanie fotokópií dokumentov opodstatňoval. Ak je potrebné overiť údaje, môže si ich z originálu dokumentu do informačného systému odpísať.

Práva dotknutých osôb

GDPR priznáva dotknutým osobám (teda aj zamestnancom) viaceré práva:

• Právo na prístup k údajom: Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú jej osobné údaje, a ak áno, má právo získať prístup k týmto údajom a informácie o spracúvaní.
• Právo na opravu: Dotknutá osoba má právo na opravu nesprávnych osobných údajov, ktoré sa jej týkajú.
• Právo na vymazanie (právo na zabudnutie): Dotknutá osoba má právo na vymazanie osobných údajov, ak je splnený niektorý z dôvodov uvedených v článku 17 GDPR (napr. ak osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo spracúvali, ak dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva).
• Právo na obmedzenie spracúvania: Dotknutá osoba má právo na obmedzenie spracúvania osobných údajov, ak je splnený niektorý z dôvodov uvedených v článku 18 GDPR (napr. ak dotknutá osoba namieta správnosť osobných údajov, ak je spracúvanie nezákonné).
• Právo na prenosnosť údajov: Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi.
• Právo namietať: Dotknutá osoba má právo namietať proti spracúvaniu osobných údajov, ak sa spracúvanie vykonáva na základe oprávneného záujmu prevádzkovateľa.
• Právo podať sťažnosť dozornému orgánu: Dotknutá osoba má právo podať sťažnosť Úradu na ochranu osobných údajov SR, ak sa domnieva, že spracúvanie osobných údajov, ktoré sa jej týka, je v rozpore s GDPR.

Právo na výmaz (právo na zabudnutie)

Právo na vymazanie (právo na zabudnutie) predstavuje povinnosť prevádzkovateľa zlikvidovať osobné údaje a ďalej ich neuchovávať. Prevádzkovateľ má v zmysle GDPR povinnosť vymazať osobné údaje na žiadosť dotknutých osôb, iba ak je splnená jedna z podmienok podľa článku 17 ods. 1 GDPR, napríklad ak spracúva osobné údaje neoprávnene alebo pominul účel spracúvania či bol odvolaný súhlas. Dotknutá osoba si môže uplatniť právo na výmaz prostredníctvom žiadosti, ktorú adresuje prevádzkovateľovi.

Prevádzkovateľ je povinný dotknutú osobu informovať, napr. pri získavaní osobných údajov, o podmienkach, za ktorých je prevádzkovateľ povinný vymazať osobné údaje dotknutej osoby. Prevádzkovateľ však nie je povinný vymazať osobné údaje dotknutej osoby, ak je ich ďalšie spracúvanie potrebné na základe právnych predpisov či verejného záujmu.

Spracúvanie osobných údajov po skončení pracovného pomeru

Spracovanie osobných údajov po skončení pracovného pomeru je častokrát oblasťou, ktorú zamestnávatelia podceňujú. Po skončení pracovného pomeru zamestnávateľ musí fyzicky zlikvidovať všetky papierové dokumenty obsahujúce osobné údaje (tzv. skartácia). Zamestnávateľ teda nemôže po zániku pracovnej zmluvy spracovávať (uchovávať) osobnú zložku zamestnanca v celom rozsahu. Uchovávať sa môžu len nevyhnutné dokumenty pre plnenie konkrétneho účelu spracovania osobných údajov. V tomto prípade je vždy nutné, aby zamestnávateľ určil druh spracovaných osobných údajov, t. j. ktoré údaje budú ďalej spracúvané a vymedzil účel ich spracovania. Pri kontrole zo strany Úradu na ochranu osobných údajov SR to musí vedieť preukázať. Osobné údaje v žiadnom prípade nie je možné spracovávať len preto, že by sa niekedy v budúcnosti mohli zamestnávateľovi hodiť.

To znamená, že pokiaľ zanikli všetky účely pre spracúvanie osobných údajov bývalého zamestnanca, zamestnávateľ ich musí po skončení pracovného pomeru bezodkladne vymazať. Zamestnávateľ musí rešpektovať právo na ochranu súkromia zamestnanca (nesmie monitorovať šatne, oddychové miestnosti) a je povinný informovať zamestnanca o tom, akým spôsobom budú spracúvané jeho osobné údaje, na aké účely a o jeho právach.

Používanie občianskeho preukazu

Zamestnávateľ štandardne nemá právo spracúvať, resp. archivovať kópie občianskeho preukazu zamestnanca. Ak to však vyžaduje jeho činnosť, je potrebné z kópie vymazať, resp. začierniť všetky údaje, ktoré nie sú potrebné na dosiahnutie účelu spracúvania týchto osobných údajov.

Bezpečnostné opatrenia

Zamestnávateľ je povinný prijať primerané technické a organizačné opatrenia na zabezpečenie ochrany osobných údajov. Medzi tieto opatrenia patrí napríklad:

• Šifrovanie osobných údajov.
• Zabezpečenie prístupu k osobným údajom len pre oprávnené osoby.
• Pravidelné zálohovanie osobných údajov.
• Školenie zamestnancov o ochrane osobných údajov.

Dokumentácia GDPR

Každá organizácia, ktorá spracúva osobné údaje, by mala mať vypracovanú dokumentáciu GDPR. Rozsah dokumentácie nie je pevne stanovený, ale mala by obsahovať minimálne:

1. Záznamy o spracovateľských činnostiach.
2. Posúdenie vplyvu na ochranu údajov a vymenovanie zodpovednej osoby, ak je to potrebné.
3. Zmluvy (napr. sprostredkovateľské zmluvy).

Špecifické situácie a otázky

Rodinná firma a GDPR

Aj malá rodinná firma musí riešiť GDPR. Ak spracúva osobné údaje dotknutých osôb, napríklad klientov - fyzické osoby alebo zamestnancov či konateľov právnických osôb - obchodných partnerov, musí ich spracúvať v súlade s GDPR. Ak mzdy spracováva externá účtovníčka, je potrebné mať s ňou uzatvorenú sprostredkovateľskú zmluvu a stanoviť jej pravidlá spracúvania osobných údajov vo vašom mene.

Monitorovanie priestorov kamerami

Ak zamestnávateľ monitoruje verejné priestory kamerami, je potrebné okrem bežnej dokumentácie ešte vykonať posúdenie vplyvu (DPIA) a informovať o monitorovaní každého pri vstupe do daného priestoru.

Nahliadnutie do občianskeho preukazu v autobuse

Revízor v autobuse má právo nahliadnuť do občianskeho preukazu, ak je to potrebné na vymáhanie cestovného a sankčnej úhrady.

Prenos osobných údajov do tretích krajín

Vo vzťahu k prenosu osobných údajov platí, že ide o prenos do tzv. tretej krajiny (mimo EÚ). V takomto prípade je potrebná adekvátna úroveň ochrany. Ak ide o prenos osobných údajov do USA, je potrebné overiť, či sa daný príjemca nachádza na tzv. EU-US Data Privacy Framework liste, čo je nástroj zaisťujúci právne záruky pre takto poskytnuté osobné údaje. Ak sa tam nenachádza, je potrebné nastaviť sprísnený režim, tzn. nájsť iný právny základ a zároveň spĺňať niektorú z podmienok podľa čl. 49 GDPR a prípadne vykonávať ďalšie opatrenia.

tags: #pracovná #zmluva #číslo #občianskeho #preukazu #GDPR