GDPR a Pracovná Zmluva: Ako Zosúladiť Ochranné Opatrenia s Pracovným Právom

Ochrana osobných údajov sa stala neoddeliteľnou súčasťou pracovnoprávnych vzťahov. Zamestnávatelia, vystupujúci ako prevádzkovatelia podľa GDPR, musia spracúvať osobné údaje svojich zamestnancov s ohľadom na platné predpisy. Tento článok sa zameriava na to, ako zosúladiť požiadavky GDPR s pracovnou zmluvou a aké kroky by mali zamestnávatelia podniknúť, aby zabezpečili ochranu osobných údajov svojich zamestnancov.

Vývoj legislatívy a jej dopad na zamestnávateľov

Za posledné mesiace sa zvýšilo povedomie o ochrane osobných údajov, a to aj vďaka pripravovanej novej legislatíve v tejto oblasti. Konkrétne ide o nový zákon o zabezpečení ochrany fyzických osôb pri spracúvaní osobných údajov a o zmene a doplnení niektorých zákonov, ktorý by mal nadobudnúť účinnosť od 1. januára 2026. Zamestnávatelia by mali zostať v strehu a aktualizovať svoju GDPR a pracovnoprávnu dokumentáciu, najmä ak vo svojich interných predpisoch odkazujú na zákon č. 18/2018 Z. z. o ochrane osobných údajov.

Rozsah osobných údajov a Zákonník práce

Zákonník práce priamo neustanovuje rozsah osobných údajov, ktoré je zamestnávateľ povinný spracúvať, ani dobu ich uchovávania. V čl. 11 Základných zásad Zákonníka práce sa uvádza, že zamestnávateľ môže o zamestnancovi zhromažďovať len osobné údaje súvisiace s kvalifikáciou a profesionálnymi skúsenosťami. Ďalej môže spracúvať osobné údaje, ktoré sú významné z hľadiska práce, ktorú má zamestnanec vykonávať, vykonáva alebo vykonával pre zamestnávateľa. Zákonník práce však neposkytuje legálne definície pojmov ako "kvalifikácia" a "profesionálne skúsenosti," čo môže viesť k rôznym interpretáciám.

Osobné údaje sa v Zákonníku práce spomínajú aj v § 58a, kde sa uvádza, že zamestnávateľ alebo agentúra dočasného zamestnávania sú povinní poskytnúť také osobné údaje na žiadosť užívateľského zamestnávateľa, aby mohol skontrolovať dodržiavanie povinnosti mzdových podmienok dočasne prideleným zamestnancom. Dohoda o dočasnom pridelení musí obsahovať meno a priezvisko, dátum a miesto narodenia a miesto trvalého pobytu dočasne prideleného zamestnanca.

Po nedávnych novelách Zákonníka práce sa zakotvilo, že v prípade príspevku na športovú činnosť dieťaťa musí byť na daňovom doklade uvedené meno a priezvisko dieťaťa. Obdobne sa táto situácia premietla aj v prípade poskytovania rekreačných poukazov alebo príspevku na rekreáciu, keď sa okruh dotknutých osôb rozšíril aj na rodičov zamestnanca.

Prečítajte si tiež: Podmienky nároku na nemocenské dávky

Náležitosti pracovnej zmluvy a GDPR

Paragrafové znenie § 43 Zákonníka práce definuje podstatné náležitosti pracovnej zmluvy, ktorá musí obsahovať identifikačné údaje zamestnávateľa a zamestnanca, hoci neuvádza konkrétne osobné údaje. Z aplikačnej praxe vyplýva, že na uzatvorenie pracovného pomeru postačuje tento rozsah osobných údajov na strane zamestnanca: meno a priezvisko, titul, adresa trvalého pobytu, prípadne adresa prechodného pobytu, dátum narodenia a číslo bankového účtu.

Spracúvanie osobných údajov a zásady GDPR

Zamestnávateľ spracúva osobné údaje zamestnancov v rôznych interných systémoch, ako sú mzdové programy, GPS aplikácie, účtovné programy a monitorovacie zariadenia. Pri tomto spracúvaní musí dodržiavať zásady GDPR, medzi ktoré patrí:

• Zásada zákonnosti, spravodlivosti a transparentnosti (čl. 5 ods. 1 písm. a) GDPR): Zamestnávateľ musí spracúvať osobné údaje zamestnancov výlučne na jasne a konkrétne definovaných právnych základoch, ako sú plnenie zmluvy (pracovná zmluva, dohoda o brigádnickej práci študentov, dohoda o hmotnej zodpovednosti), plnenie zákonnej povinnosti (zdravotné a sociálne odvody) alebo oprávnený záujem (rôzne benefity, kontrolný mechanizmus). Spracúvanie musí byť spravodlivé a transparentné, čo znamená, že zamestnávateľ musí informovať zamestnanca o všetkých aspektoch spracúvania osobných údajov. Informácia o spracúvaní osobných údajov by mala byť v slovenskom jazyku, prípadne v jazyku, ktorému zamestnanec rozumie.
• Zásada obmedzenia účelu (čl. 5 ods. 1 písm. b) GDPR): Zamestnávateľ je povinný spracúvať osobné údaje zamestnancov len na špecifikované a legitímne účely. Osobné údaje získané na jeden účel (napríklad na vedenie personálnej agendy) nemožno použiť na iný nesúvisiaci účel (napr. na marketingové aktivity).
• Zásada minimalizácie údajov (čl. 5 ods. 1 písm. c) GDPR): Rozsah spracúvaných osobných údajov musí byť adekvátny, relevantný a obmedzený na nevyhnutný rozsah vo vzťahu k účelom, na ktoré sa spracúvajú.
• Zásada správnosti (čl. 5 ods. 1 písm. d) GDPR): Zamestnávateľ má povinnosť prijať opatrenia na zabezpečenie správnosti a aktuálnosti osobných údajov zamestnancov. Nepresné osobné údaje sa musia bezodkladne vymazať alebo opraviť. Zamestnanci majú povinnosť podľa § 81 písm.
• Zásada minimalizácie uchovávania (čl. 5 ods. 1 písm. e) GDPR): Osobné údaje zamestnancov možno uchovávať po dobu, ktorá je nevyhnutná na splnenie účelov. Po uplynutí tejto doby musia byť údaje bezpečne zlikvidované alebo anonymizované, ak nejde o údaje s trvalým archivačným charakterom. Zamestnávateľ je povinný rešpektovať lehoty ustanovené osobitnými právnymi predpismi, ako je napríklad § 6 ods. 1 písm. n) zákona č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci.
• Zásada integrity a dôvernosti (čl. 5 ods. 1 písm.
• Zásada zodpovednosti (čl. 5 ods. 2 GDPR): Zamestnávateľ nesie plnú zodpovednosť za dodržiavanie všetkých uvedených zásad a musí preukázať, že ich aj dodržiava.

Interná dokumentácia a informovanosť zamestnancov

Zamestnávateľ je povinný vyhotoviť interné dokumenty, s ktorými musí svojich zamestnancov oboznámiť, aby ich riadne dodržiavali a postupovali podľa nich. Bez riadneho informovania zamestnancov nemožno očakávať, že budú vedieť, čo sa od nich očakáva. Medzi tieto dokumenty patria:

• Záznamy o spracovateľských činnostiach podľa čl.
• Informačná povinnosť podľa § 13 ods. 4 Zákonníka práce (pozn. Informácia o spracúvaní osobných údajov - zamestnanci podľa čl.
• Smernice o ochrane osobných údajov podľa čl. 32 a nasl.
• Pracovná zmluva (pozn.
• Testy proporcionality (pozn.
• Posúdenie vplyvu (v skratke DPIA) (pozn.

Príklady z praxe a rozhodnutia úradov

Španielsky Úrad na ochranu osobných údajov sa zaoberal situáciou, keď mestská polícia nahlásila incident, pri ktorom boli na verejnom priestranstve nájdené lekárske správy zamestnancov. Napriek závažnosti a porušeniu ochrany osobných údajov španielsky úrad uložil len pokarhanie.

Taliansky úrad na ochranu osobných údajov sa zaoberal hodnotiacimi dotazníkmi zamestnancov, ktorí sa vrátili do práce po dovolenke. Zamestnávateľ požiadal zamestnancov, aby po návrate z dovolenky podstúpili rozhovory so svojimi nadriadenými. Cieľom bolo podporiť zamestnancov pri návrate na ich pracovisko a získať informácie o možných nedostatkoch pracovného prostredia. Taliansky úrad zistil neexistenciu platného právneho základu v podobe súhlasu podľa čl. 6 a 9 GDPR, pretože vzťah zamestnávateľa a zamestnanca je vzťahom podriadenosti, čo bráni slobodnému udeleniu súhlasu. Taktiež došlo k porušeniu zásady transparentnosti podľa čl. 5 ods. 1 písm. a) a čl. a zásady minimalizácie údajov podľa čl. 5 ods. 1 písm.

Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

Implementácia GDPR do pracovnej zmluvy

Pracovná zmluva môže obsahovať ustanovenia k ochrane osobných údajov a prostredníctvom nej je možné plniť povinnosti, ktoré z GDPR vyplývajú, ako napríklad informačnú povinnosť a udeľovanie pokynov oprávneným osobám. Rozsah osobných údajov, ktorý označuje zamestnanca, musí byť v súlade so zásadou minimalizácie.

Informačná povinnosť

Zamestnávateľ má povinnosť preukázať, že zamestnanec bol oboznámený so spracúvaním jeho osobných údajov pred ich získaním a začatím spracúvania. V zmluve je možné uviesť: "Zamestnanec vyhlasuje, že bol oboznámený so spracúvaním osobných údajov v zmysle čl 13. a čl."

Udelenie pokynov oprávnenej osobe

Zamestnávateľ má udeliť oprávneným osobám, ktoré spracúvajú osobné údaje, pokyny, ako majú byť osobné údaje pri jeho činnosti spracúvané. Ustanovenia pracovnej zmluvy možno prepojiť so všetkými dokumentami, ktoré sa zamestnancov týkajú.

Mlčanlivosť

Mlčanlivosť definovaná v Zákonníku práce sa vzťahuje na skutočnosti, o ktorých sa zamestnanec dozvedel pri výkone práce. Ak má zamestnávateľ záujem o "vyššiu ochranu", môže mlčanlivosť definovať osobitne - či už v pracovnej zmluve alebo interných predpisoch. Zaviazanie povinnosťou mlčanlivosti zamestnancov ako tzv. oprávnených osôb je dokonca povinnosťou zamestnávateľa.

Chyby v pracovných zmluvách a GDPR

Najčastejšou chybou je "nepotrebná" identifikácia zamestnancov v záhlaví pracovnej zmluvy. Ďalšou chybou je zlé určenie právneho základu v pracovnej zmluve, napríklad uvedenie, že "Zamestnanec súhlasí so spracovaním osobných údajov zamestnávateľom pre plnenie zmluvy". V tomto prípade ide o povinnosti, ktoré zamestnávateľovi vyplývajú z uzatvorenej pracovnej zmluvy, resp. z príslušných právnych predpisov, preto nie je vhodné určiť ako právny základ súhlas.

Prečítajte si tiež: Dočasná pracovná neschopnosť: Ako postupovať

Aktualizácia starších pracovných zmlúv

Spoločnosť má zamestnancov, ktorí uzavreli pracovnú zmluvu v roku 1998. Je možné túto pracovnú zmluvu aktualizovať podľa GDPR? S účinnosťou od 25. mája 2018 bol zrušený zákon č. 122/2013 Z. z. o ochrane osobných údajov a Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov. Tieto dokumenty sa nahradili novým zákonom č. 18/2018 Z. z. o ochrane osobných údajov a Nariadením Európskeho parlamentu a rady (EÚ) 2016/679 z 27. apríla 2016.

V súlade s článkom 6 ods. 1 písm. c) nariadenia GDPR a zároveň podľa § 13 ods. 1 písm. c) zákona č. 18/2018 Z. z. o ochrane osobných údajov ide v rámci pracovnoprávneho vzťahu o spracúvanie osobných údajov na základe osobitných predpisov. Ak zamestnávateľ spracúva osobné údaje dotknutých osôb na základe osobitného zákona, spracúva ich bez súhlasu dotknutej osoby, a to len v rozsahu a spôsobom, ktorý ustanovuje osobitný zákon. Týmto osobitným zákonom je napr. zákon č. 311/2001 Z. z. Zákonník práce a zákon č. 580/2004 Z. z. o zdravotnom poistení.

Ďalšie dôležité dokumenty a postupy

Okrem pracovnej zmluvy je potrebné mať vypracované aj ďalšie dokumenty a postupy, ktoré zabezpečia súlad s GDPR:

• Analýza a posúdenie spracúvania osobných údajov: Tento dokument preukazuje, že bola vykonaná analýza v súvislosti so spracúvaním osobných údajov a že spracúvanie osobných údajov je v súlade so všetkými základnými zásadami právnej úpravy v oblasti ochrany osobných údajov.
• Zmluva so sprostredkovateľom: Zmluvu treba uzatvoriť medzi spoločnosťou prevádzkovateľa a subjektom, ktorý pre prevádzkovateľa spracúva osobné údaje v jeho mene a podľa jeho pokynov (napr. s externým účtovníkom, prepravcom a pod.).
• Informačná povinnosť: Podstatou tejto zákonnej povinnosti je poskytnúť dotknutým osobám informácie, ktoré taxatívne menuje Nariadenie GDPR a zákon o ochrane osobných údajov.
• Zabezpečenie informačnej povinnosti na webovej stránke: Pokiaľ osobné údaje vkladá/poskytuje dotknutá osoba prostredníctvom webovej stránky prevádzkovateľa, ten je povinný informačnú povinnosť technicky zabezpečiť tak, aby zákonné informácie boli zobrazené dotknutej osobe predtým ako ten zašle svoje osobné údaje.
• Informačná povinnosť ku kamerovým záznamom: Pri kamerovom systéme musí byť umiestnená táto informačná povinnosť, prípadne ak je umiestnený len piktogram, tak treba uviesť odkaz kde si dotknutá osoba môže informačnú povinnosť prečítať.
• Dokumentácia k porušeniu ochrany osobných údajov: Týmto dokumentom splní prevádzkovateľ zákonnú povinnosť ak zistí porušenie predpisov v oblasti ochrany osobných údajov.
• Poverenie na spracúvanie osobných údajov: Prevádzkovateľ je povinný podniknúť kroky na zabezpečenie toho, aby každá fyzická osoba konajúca na základe poverenia prevádzkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa.
• Technické a organizačné opatrenia: Tento dokument obsahuje minimálne požiadavky ochrany spracúvania osobných údajov, ktoré musí prevádzkovateľ dodržiavať pri spracúvaní osobných údajov. S opatreniami, uvedenými v tomto dokumente, je potrebné oboznámiť poverenú osobu.
• Kontrolná činnosť a poučenie poverených osôb: Do dokumentu sa doplnia údaje o poverených osobách a dátum, kedy bola konkrétna osoba poučená.
• Záznam o bezpečnostnom incidente: Dokument sa vypĺňa v prípade výskytu bezpečnostného incidentu.
• Evidencia technických zariadení: Do dokumentu sa vyplnia údaje všetkých technických zariadení, ktoré sú u prevádzkovateľa určené na spracúvanie osobných údajov.
• Dodatok k zmluve o mlčanlivosti: Tento dokument je dodatkom k zmluve, ktorú má prevádzkovateľ uzavretú ústne alebo písomne s inou spoločnosťou, ktorá mu poskytuje služby, alebo iným spôsobom spolupracujú. Týmto dodatkom sa spoločnosť zaväzuje dodržiavať mlčanlivosť.
• Odôvodnenie doby uchovávania osobných údajov: V zmysle rozhodnutí Úradu na ochranu osobných údajov a Usmernenia 3/2019 k spracúvaniu osobných údajov prostredníctvom kamerových systémov platí, že akékoľvek uchovávanie osobných údajov, ktoré trvá dlhšie ako 72 hodín je potrebné riadne odôvodniť.
• Skartácia dokumentov: Dokumenty s osobnými údajmi, ktorých účel spracúvania skončil, treba skartovať.
• Zmluvné podmienky s tretími stranami: S každým subjektom, ktorému prevádzkovateľ poskytuje osobné údaje, musia byť zmluvne dohodnuté podmienky spracúvania.
• Informovanie dotknutých osôb o zasielaní newslettrov: Informujte dotknuté osoby napr. v pracovných zmluvách, v obchodných podmienkach, na webových stránkach a pod. zasielať newslettre, notifikácie a pod.

tags: #pracovná #zmluva #vzor #GDPR