Zmluva o spracúvaní osobných údajov v personalistike v kontexte GDPR

Vstup do platnosti všeobecného nariadenia o ochrane údajov (GDPR) priniesol významné zmeny v oblasti spracúvania osobných údajov, a to aj v oblasti personalistiky. Tento článok sa zameriava na zmluvy o spracúvaní osobných údajov v kontexte GDPR, s osobitným dôrazom na oblasť personalistiky. Cieľom je poskytnúť komplexný pohľad na túto problematiku a pomôcť organizáciám zosúladiť ich postupy s platnou legislatívou.

Právny rámec ochrany osobných údajov

Podmienky spracúvania osobných údajov sú upravené v Nariadení Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „Nariadenie alebo GDPR“), a zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ochrane osobných údajov“).

GDPR stanovuje, že spracovanie osobných údajov je zákonné iba na základe jednej zo šiestich podmienok stanovených v článku 6 ods. 1 písm. a) až f). Primeraný právny základ zodpovedá zásade zákonnosti podľa čl. 5 ods. 1 písm. a). Prevádzkovatelia musia okrem iného pri určovaní vhodného zákonného základu v súlade so zásadou spravodlivosti brať do úvahy práva dotknutých osôb. Článok 6 ods. 1 písm. a) sa týka súhlasu dotknutej osoby so spracúvaním jej osobných údajov.

Účel spracúvania osobných údajov

Účelmi spracúvania osobných údajov sú dôvody, pre ktoré sa spracúvajú osobné údaje dotknutých osôb (zamestnancov, klientov) v informačných systémoch na presne určených právnych základoch. Účely sú konkrétne určené, výslovne uvedené a oprávnené, pričom pri spracúvaní osobných údajov dotknutých osôb sa dodržiava zásada zákonnosti podľa článku 6 a 9 Nariadenia.

Napríklad, v personalistike môže byť účelom spracúvania osobných údajov vedenie mzdovej a personálnej agendy zamestnancov, zabezpečenie výchovy a vzdelávania v materskej škole, alebo príprava a vedenie dodávateľsko - odberateľských vzťahov so samostatne zárobkovo činnými osobami.

Prečítajte si tiež: Vzor zmluvy o príspevku

Právny základ spracúvania osobných údajov v personalistike

Právny základ spracúvania osobných údajov v personalistike je rozsiahly a opiera sa o viaceré právne predpisy, vrátane:

• Nariadenia Rady (EHS) č. 311/76 o zostavovaní štatistík zahraničných pracovníkov
• Nariadenie Rady (EHS) č. 1612/68 o slobode pohybu pracovníkov v rámci spoločenstva
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
• Zákon č. 311/2001 Z. z. Zákonník práce
• Zákon č. 552/2003 Z. z. o výkone prác vo verejnom záujme v znení neskorších predpisov
• Zákon č. 553/2003 Z. z. o odmeňovaní niektorých zamestnancov pri výkone práce vo verejnom záujme a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
• Zákon č. 595/2003 Z. z. o dani z príjmov v znení neskorších predpisov
• Zákon č. 563/2009 Z. z. o správe daní (daňový poriadok) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
• Zákon č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov
• Zákon č. 600/2003 Z. z. o prídavku na dieťa a o zmene a doplnení zákona č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov
• Zákon č. 462/2003 Z. z. o náhrade príjmu pri dočasnej pracovnej neschopnosti zamestnanca a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
• Zákon č. 580/2004 Z. z. o zdravotnom poistení a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
• Zákon č. 650/2004 Z. z. o doplnkovom dôchodkovom sporení v znení neskorších predpisov
• Zákon č. 448/2008 Z. z. o sociálnych službách v znení neskorších predpisov
• Zákon č. 5/2004 Z. z. o službách zamestnanosti v znení neskorších predpisov
• Zákon č. 82/2005 Z. z. o nelegálnej práci a nelegálnom zamestnávaní v znení neskorších predpisov
• Zákon č. 152/1994 Z. z. o sociálnom fonde a o zmene a doplnení zákona č. 286/1992 Zb. o daniach z príjmov v znení neskorších predpisov
• Zákon č. 43/2004 Z. z. o starobnom dôchodkovom sporení
• Zákonom č. 570/2005 Z. z. o brannej povinnosti
• Zákonom č. 42/1994 Z. z. o civilnej ochrane obyvateľov v znení neskorších predpisov
• Zákonom č. 314/2001 Z. z. o ochrane pred požiarmi
• Zákonom č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci
• Zákonom č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a súvisiacimi právnymi predpismi
• Zákonom č. 179/2011 Z. z. o hospodárskej mobilizácii a o zmene a doplnení zákona č. 387/2002 Z. z. o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu v znení neskorších predpisov
• Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
• Zákon č. 233/1995 Z. z. o súdnych exekútoroch a exekučnej činnosti (Exekučný poriadok)
• Zákon č. 663/2007 Z. z. o minimálnej mzde
• Zákon č. 317/2009 Z. z. o pedagogických zamestnancoch a odborných zamestnancoch a o zmene a doplnení niektorých zákonov
• Zákon č. 283/2002 Z. z. o cestovných náhradách

Kategórie dotknutých osôb

Kategórie dotknutých osôb, ktorých osobné údaje sú spracúvané v kontexte personalistiky, zahŕňajú:

• Uchádzači o zamestnanie
• Zamestnanci
• Manželia alebo manželky zamestnancov
• Vyživované deti zamestnancov
• Rodičia vyživovaných detí zamestnancov
• Blízke osoby
• Bývalí zamestnanci

Práva dotknutých osôb

Dotknuté osoby, o ktorých sú spracúvané osobné údaje v informačných systémoch pre konkrétne vymedzené účely, si môžu uplatniť písomne alebo elektronicky nasledovné práva:

• Právo na prístup k osobným údajom: právo získať potvrdenie o tom, či sa spracúvajú osobné údaje, ako aj právo získať prístup k týmto údajom, a to v rozsahu účelov a doby spracúvania, kategórie dotknutých osobných údajov, okruhu príjemcov, o postupe v každom automatickom spracúvaní, prípadne o následkoch takéhoto spracúvania.
• Právo na opravu nesprávnych a doplnenie neúplných osobných údajov.
• Právo na výmaz: „zabudnutie“ tých osobných údajov, ktoré už nie sú potrebné na účely, na ktoré sa získali a spracúvali; pri odvolaní súhlasu, na základe ktorého sa spracúvanie vykonáva; pri nezákonnom spracúvaní; ak sa osobné údaje získavali v súvislosti s ponukou informačnej spoločnosti (pri deťoch).
• Právo na obmedzenie spracúvania: je možné uplatniť, ak dotknutá osoba napadne správnosť osobných údajov a ostatných náležitostí, a to formou dočasného presunutia vybraných osobných údajov do iného systému spracúvania, zamedzenia prístupu používateľov k vybraných osobným údajov alebo dočasné odstránenie spracúvania.
• Právo na prenosnosť osobných údajov: právo preniesť osobné údaje poskytnuté do informačných systémov na základe súhlasu alebo plnenia zmluvy k ďalšiemu prevádzkovateľovi v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, pokiaľ je to technicky možné.
• Právo namietať: kedykoľvek namietať z dôvodov týkajúcich sa konkrétnej situácie proti spracúvaniu osobných údajov, taktiež ak je spracúvanie nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana (okrem spracúvania vykonávanom orgánmi verejnej moci pri plnení ich úloh), s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody ako dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov (najmä ak je dotknutou osobou dieťa). Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, na účely takéhoto priameho marketingu vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom.
• Právo podať sťažnosť Úradu na ochranu osobných údajov SR: ak sa dotknutá osoba domnieva, že spracúvanie osobných údajov, ktoré sa jej týkajú, je v rozpore s Nariadením alebo zákonom o ochrane osobných údajov.

Bezpečnostné opatrenia

Prevádzkovateľ informačného systému musí prijať všetky primerané personálne, organizačné a technické opatrenia za účelom maximálnej ochrany osobných údajov s cieľom v čo najväčšej miere znížiť riziko ich zneužitia, úniku a podobne. Ak nastane situácia, že prevádzkovateľ poruší ochranu osobných údajov spôsobom, ktorým pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, bez zbytočného odkladu túto skutočnosť oznámi dotknutým osobám.

Povinnosti zamestnávateľa v pracovnej zmluve

Zamestnávateľ má v zmysle § 7 ods. 1 zákona č. 311/2001 Z. z. (Zákonník práce) povinnosť zaobchádzať s osobnými údajmi zamestnanca v súlade s ustanoveniami tohto zákona a osobitných predpisov.

Prečítajte si tiež: Pracovná zmluva opatrovateľky v Belgicku

Pracovné zmluvy podľa GDPR sa nezmenili drasticky. Prostredníctvom zmluvy realizuje zamestnávateľ najmä povinnosti - poveruje oprávnené osoby, ktoré osobné údaje spracúvajú a oboznamuje zamestnancov.

Rozsah osobných údajov, ktorý označuje zamestnanca, musí byť v súlade so zásadou minimalizácie. Osobné údaje, ktoré v zmluve identifikujú zamestnanca, sú obmedzené. Na identifikáciu sú postačujúce meno a priezvisko, trvalý pobyt a dátum narodenia, prípadne osobné číslo pridelené zamestnávateľom.

Zamestnávateľ má povinnosť preukázať, že zamestnanec bol oboznámený so spracúvaním jeho osobných údajov zamestnávateľom pred ich získaním a začatím spracúvania. V zmluve je možné uviesť, že zamestnanec vyhlasuje, že bol oboznámený so spracúvaním osobných údajov v zmysle čl 13. a čl. GDPR.

Zamestnávateľ má udeliť oprávneným osobám, ktoré spracúvajú osobné údaje, pokyny, ako majú byť osobné údaje pri jeho činnosti spracúvané.

Mlčanlivosť je jedna zo základných povinností zamestnanca. Mlčanlivosť definovaná v Zákonníku práce sa vzťahuje na skutočnosti, o ktorých sa zamestnanec dozvedel pri výkone práce. Nadväzuje na povinnosť zamestnanca chrániť majetok a prostriedky zamestnávateľa. Mlčanlivosť špecifikovaná v Zákonníku práce platí len počas trvania pracovného pomeru. Ak má zamestnávateľ záujem o “vyššiu ochranu”, môže mlčanlivosť definovať osobitne - či už v pracovnej zmluve alebo interných predpisov. Zaviazanie povinnosťou mlčanlivosti zamestnancov ako tzv. oprávnených osôb je dokonca povinnosťou zamestnávateľa, nie len jeho možnosťou.

Prečítajte si tiež: Dôležité aspekty zmluvy o sociálnej službe

Najčastejšou chybou je “nepotrebná” identifikácia zamestnancov v záhlaví pracovnej zmluvy a zlé určenie právneho základu v pracovnej zmluve. Nie je vhodné určiť ako právny základ súhlas, ak ide o povinnosti, ktoré zamestnávateľovi vyplývajú z uzatvorenej pracovnej zmluvy, resp. z príslušných právnych predpisov. Právnym základom je v tomto prípade plnenie zmluvných, resp. zákonných povinností.

Spracúvanie osobných údajov externými subjektmi (sprostredkovateľmi)

Prevádzkovateľ môže časť spracúvania osobných údajov alebo i spracúvanie celého informačného systému (v ktorom sa spracúvajú osobné údaje za určitým účelom) prenechať sprostredkovateľovi. Sprostredkovateľmi sú spravidla subjekty, ktoré externe vedú a spracúvajú personálnu a mzdovú agendu pre prevádzkovateľa.

Sprostredkovateľ, na rozdiel od prevádzkovateľa, si nemôže sám určovať účel a podmienky spracúvania osobných údajov, tie mu určí prevádzkovateľ v písomnej zmluve, a to pred začatím spracúvania osobných údajov alebo najneskôr v deň začatia spracúvania osobných údajov. Sprostredkovateľ môže spracúvať osobné údaje len v rozsahu, spôsobom a za podmienok dohodnutých s prevádzkovateľom.

Ak sprostredkovateľ zapojí do vykonávania spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tak tomuto ďalšiemu sprostredkovateľovi sa prostredníctvom zmluvy alebo iného právneho aktu podľa práva Únie alebo práva členského štátu uložia rovnaké povinnosti ochrany údajov, ako sa stanovujú v zmluve alebo inom právnom akte uzatvorenom medzi prevádzkovateľom a sprostredkovateľom. Povolenie ďalšieho sprostredkovateľa môže byť aj všeobecné, avšak za podmienky, že sprostredkovateľ informuje prevádzkovateľa o akýchkoľvek zamýšľaných zmenách v súvislosti s pridaním alebo nahradením ďalších sprostredkovateľov, čím sa prevádzkovateľovi dá možnosť namietať voči takýmto zmenám.

Vzory dokumentov GDPR

Vzory dokumentov v oblasti ochrany osobných údajov slúžia na zjednodušenie vypracovania potrebnej GDPR dokumentácie samotným prevádzkovateľom. Úrad na ochranu osobných údajov SR podľa § 37 ods. 6 zákona č. 18/2018 Z. z. o ochrane osobných údajov je povinný tiež zverejniť niektoré vzory.

Medzi vzorové dokumenty patria napríklad:

• Interná smernica spoločnosti v oblasti ochrany osobných údajov a GDPR
• Záznam o kategóriách spracovateľských činnostiach sprostredkovateľa alebo jeho zástupcu
• Záznamy o spracovateľských činnostiach spoločnosti alebo zodpovednej osoby
• Žiadosť a formulár na obmedzenie spracúvania osobných údajov
• Žiadosť dotknutej osoby o výmaz jej osobných údajov
• Súhlas so spracovaním osobných údajov
• Sprostredkovateľská zmluva GDPR
• Poverenie zodpovednej osoby GDPR výkonom dohľadu nad ochranou osobných údajov
• Námietka proti spracovaniu osobných údajov prvádzkovateľa
• Informačná povinnosť prevádzkovateľa spoločnosti

Identifikácia informačných systémov

Je potrebné identifikovať informačné systémy/účely, v ktorých sa spracúvajú osobné údaje o zamestnancoch, napr. evidovanie dochádzky prostredníctvom elektronických zariadení. Ak spracúvate osobné údaje dočasne pridelených zamestnancov, je potrebné postupovať v súlade s ust. § 13 ods. 5 zákona č. 18/2018 Z. z.

Ekonomicko-účtovná agenda

V ekonomicko-účtovnej agende sa spracúvajú osobné údaje fyzických osôb, ktoré prichádzajú do platobného styku s prevádzkovateľom. Do tohto informačného systému patrí aj spracúvanie objednávok, došlých faktúr a fakturácia odberateľom, styk s bankou, vedenie pokladne, zabezpečovanie hotovostných príjmov a výdavkov, skladové hospodárstvo, evidencia investičného majetku (vrátane automatického odpisovania) a drobného majetku, vedenie jednoduchého/podvojného účtovníctva organizácie, vykonávanie auditov.

Právnym základom pre spracúvanie osobných údajov v ekonomicko-účtovnej agende je Zákon č. 460/1992 Zb. Ústava Slovenskej republiky v znení neskorších predpisov, Zákon č. 513/1991 Zb. Obchodný zákonník v znení neskorších predpisov, zákon NR SR č. 431/2002 Z. z. o účtovníctve v znení neskorších predpisov, zákon č. 222/2004 Z. z. o dani z pridanej hodnoty v znení neskorších predpisov, zákon o ochrane osobných údajov a súvisiace právne predpisy v platnom znení, zákon č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov, zákonom NR SR č. 595/2003 Z. z. o dani z príjmu v znení neskorších predpisov, zákonom NR SR č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov, zákonom NR SR č. 563/2009 Z. z. o správe daní (daňový poriadok) v znení neskorších predpisov, zákon č. 40/1964 Zb. Občiansky zákonník v znení neskorších predpisov, zákon č. 152/1994 Z. z. o sociálnom fonde a o zmene a doplnení zákona č. 286/1992 Zb. o daniach z príjmov v znení neskorších predpisov, zákon č. 311/2001 Z. z., Zákon NR SR č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov, zákon NR SR č. 43/2004 Z. z. o starobnom dôchodkovom sporení a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, Zákon NR SR č. 580/2004 Z. z. o zdravotnom poistení o zmene a doplnení zákona NR SR č. 95/2002 Z. z. o poisťovníctve a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, Zákon č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov, Zákon č.283/2002 Z .z. o cestovných náhradách v znení jeho doplnkov, Zákon č. 106/2004 o spotrebnej dani z tabakových výrobkov, Zákon 530/2011 o spotrebnej dani z alkoholických nápojov.

Kategórie príjemcov sú orgány štátnej správy, verejnej moci a verejnej správy podľa príslušných právnych predpisov a sprostredkovateľ. Osobné údaje sa uchovávajú 10 rokov.

Správa registratúry, evidencia prijatej a odoslanej pošty

Účelom spracúvania osobných údajov je zabezpečenie správy registratúry ako riadna evidencia záznamov (vedenie úplnej a presnej evidencie záznamov v registratúrnom denníku, vedenie registrov a indexov záznamov), riadne vyraďovanie spisov (záznamov), zabezpečenie plánovitého vyraďovania spisov (záznamov), ktoré nie sú potrebné pre ďalšiu činnosť a uplynuli lehoty ich uloženia, evidencia došlej a odoslanej pošty, evidencia elektronickej pošty.

Právnym základom je Zákon NR SR č. 395/2002 Z. z. o archívoch a registratúrach, 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente).

Kategórie príjemcov sú orgány štátnej správy, verejnej moci a verejnej správy podľa príslušných právnych predpisov. Osobné údaje sa vymazávajú od 30 dní po 70. rok života zamestnanca.

Evidencia SZČO

Účelom spracúvania osobných údajov je príprava a vedenie dodávateľsko - odberateľských vzťahov so samostatne zárobkovo činnými osobami. V rámci predmetnej agendy sú vedené zmluvné vzťahy, faktúry a objednávky, evidencia dodávok a odberov tovarov, služieb a pod.

Právnym základom je Zmluva medzi prevádzkovateľom a SZČO povolená Ústavou Slovenskej republiky, Občianskym zákonníkom, Obchodným zákonníkom, Zákon č. 455/1991 Zb., Zákonom o živnostenskom podnikaní (živnostenský zákon) a súvisiacimi právnymi predpismi.

Kategórie príjemcov sú orgány štátnej správy, verejnej moci a verejnej správy podľa príslušných právnych predpisov. Osobné údaje sa vymazávajú 10 rokov po skončení zmluvného vzťahu z dôvodu evidencie v rámci účtovnej agendy.

Evidencia zástupcov dodávateľov a odberateľov

Účelom spracúvania osobných údajov je vedenie databázy zástupcov, respektíve zamestnancov dodávateľov a odberateľov z dôvodu plnenia ich pracovných, služobných a funkčných povinností a zabezpečenia plynulých dodávateľsko-odberateľských vzťahov.

Právnym základom je § 78 od. 3 zákona NR SR č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Osobné údaje sa vymazávajú do 30 dní odo dňa skončenia dodávateľsko-odberateľských vzťahov.

Uplatňovanie práv dotknutých osôb

Účelom spracúvania osobných údajov je vybavovanie žiadostí fyzických osôb smerujúcich k uplatňovaniu ich práv ako dotknutých osôb v zmysle Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.

tags: #zmluva #o #spracovaní #osobných #údajov #vzor