I. Predmet Smernice
Interná smernica o povinnostiach zamestnávateľa pri spracúvaní osobných údajov zamestnancov (ďalej len „Smernica“) upravuje a špecifikuje s účinnosťou od 25. 5. 2018 povinnosti spoločnosti XY, s. r. o., IČO: 12 45 678, so sídlom Horná ulica 1, 000 00 Bratislava (ďalej len „zamestnávateľ“ alebo „prevádzkovateľ“) pri spracúvaní osobných údajov svojich zamestnancov, ktoré pre ňu ako pre prevádzkovateľa vyplývajú z Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje Smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „Nariadenie GDPR“) a zákona č. 18/2018 Z. z.
Zamestnávateľ kontinuálne spracúva osobné údaje svojich zamestnancov najčastejšie s cieľom plnenia si povinností zamestnávateľa vyplývajúcich pre neho z platnej a účinnej legislatívy (mzdy, personalistika, bezpečnosť a ochrana zdravia pri práci), ako aj s cieľom napĺňania oprávneného záujmu zamestnávateľa a jeho zamestnancov. Z tohto titulu sa na zamestnávateľa ako prevádzkovateľa vzťahujú povinnosti upravené v Nariadení GDPR.
Za spracúvanie osobných údajov zamestnancov zodpovedá vždy zamestnávateľ.
II. Rozsah Smernice
Táto Smernica sa vzťahuje na zamestnávateľa a všetky poverené osoby, ktoré v zmysle čl. 29 Nariadenia GDPR spracúvajú osobné údaje zamestnancov v mene a podľa pokynov zamestnávateľa, ako aj na zamestnancov zamestnávateľa ako dotknuté osoby vzhľadom na ich práva, ktoré im vznikajú z dôvodu spracúvania ich osobných údajov zamestnávateľom.
Smernica sa nevzťahuje na spracúvanie osobných údajov fyzickou osobou v priebehu výlučne osobnej alebo domácej činnosti, a teda bez spojenia s profesijnou alebo komerčnou činnosťou zamestnávateľa [čl. 2 ods. 2 písm. c) a recitál č. 18 Nariadenia GDPR].
III. Definície pojmov
1. Osobný údaj (čl. 4 ods. 1 Nariadenia GDPR)
Osobný údaj je akákoľvek informácia týkajúca sa identifikovanej alebo identifikovateľnej fyzickej osoby nazývanej ako „dotknutá osoba“, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor. Osobným údajom je teda akýkoľvek údaj či informácia, ktorá sama alebo spolu s inou informáciou dokáže dotknutú osobu identifikovať.
Osobné údaje, ktoré spracúva zamestnávateľ o svojich zamestnancoch, zahŕňajú najmä meno, priezvisko, dátum narodenia, rodné číslo, adresu pobytu, údaj o zdravotnej poisťovni, číslo bankového účtu, údaj o spôsobilosti na prácu, prezenčné listiny zo školení vykonávaných zamestnávateľom, fotografie, údaje o zdravotnom stave a pod.
2. Spracúvanie osobných údajov (čl. 4 ods. 2 Nariadenia GDPR)
Akákoľvek operácia vykonávaná prevádzkovateľom s osobnými údajmi dotknutej osoby je ich spracúvaním. Takýmito operáciami je napr. získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie alebo likvidácia, a to bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.
Spracúvanie osobných údajov zamestnancov (ako aj iných dotknutých osôb) môže byť uskutočňované len s určitým zamestnávateľom vopred definovaným cieľom, inak pôjde o nezákonné spracúvanie osobných údajov.
3. Prevádzkovateľ (čl. 4 ods. 7 Nariadenia GDPR)
Prevádzkovateľ je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý si sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov.
Pri spracúvaní osobných údajov je zamestnávateľ prevádzkovateľom, keďže spracúva osobné údaje svojich zamestnancov vo svojom mene, na určitý účel a určitými prostriedkami (napr. vedenie papierovej dokumentácie, elektronický dochádzkový systém, kamerový systém a pod.).
4. Sprostredkovateľ (čl. 4 ods. 8 Nariadenia GDPR)
Sprostredkovateľom je fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa.
5. Test zlučiteľnosti (čl. 6 ods. 4 Nariadenia GDPR)
Za test zlučiteľnosti sa považuje posúdenie, či je zamestnávateľ oprávnený spracúvať osobné údaje získané s určitým cieľom na iný účel – zamestnávateľ posúdi, či nové spracúvanie je zlučiteľné s účelmi, na ktoré boli osobné údaje prvotne získané. Pri tomto posudzovaní zamestnávateľ zohľadní:
- akékoľvek prepojenie medzi účelmi, na ktoré sa osobné údaje získali, a účelmi zamýšľaného ďalšieho spracúvania;
- okolnosti, za akých sa osobné údaje získali vzhľadom na vzťah medzi zamestnancom ako dotknutou osobou a zamestnávateľom ako prevádzkovateľom;
- povahu osobných údajov (či sa spracúvajú osobitné kategórie osobných údajov alebo ide len o bežné osobné údaje);
- možné následky zamýšľaného ďalšieho spracúvania pre práva a oprávnené záujmy zamestnancov;
- existenciu primeraných záruk ďalšieho spracúvania (napr. šifrovanie alebo pseudonymizácia).
6. Posúdenie vplyvu na ochranu osobných údajov (čl. 35 Nariadenia GDPR)
Posúdenie vplyvu na ochranu osobných údajov možno definovať ako analýzu, ktorú musí vykonať zamestnávateľ pred tým, ako začne spracúvať osobné údaje takým spôsobom, že vzhľadom na povahu, rozsah, kontext a účely spracúvania zamýšľané spracúvanie pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb.
Zoznam spracovateľských operácií, ktoré podliehajú posúdeniu vplyvu, sú zverejnené na webovom sídle Úradu na ochranu osobných údajov. https://dataprotection.gov.sk/uoou/sites/default/files/zoznam_spracovatelskych_operacii_ktore_podliehaju_posudeniu_vplyvu.pdf.
IV. Zásady a právne základy spracúvania osobných údajov zamestnancov zamestnávateľom (čl. 5 a 6 Nariadenia GDPR)
Zamestnávateľ je povinný pri spracúvaní osobných údajov svojich zamestnancov dodržiavať nasledovné zásady spracúvania:
a) Zásada zákonnosti, spravodlivosti a transparentnosti
Zamestnávateľ je oprávnený spracúvať osobné údaje len vtedy, ak pri ich spracúvaní dodrží všetky povinnosti stanovené Nariadením GDPR, ako aj zákonom č. 18/2018 Z. z. a zároveň musí zamestnanca ako dotknutú osobu vopred informovať, že sú jeho osobné údaje spracúvané, na aké účely a po akú dobu.
Zamestnanec musí v každom okamihu vedieť, že zamestnávateľ spracúva jeho osobné údaje (recitál 45, 46 a 60 Nariadenia GDPR).
b) Zásada obmedzenia účelu
Zamestnávateľ je povinný získavať osobné údaje zamestnanca len na konkrétne určené, výslovne uvedené a legitímne účely a ich ďalšie spracúvanie musí byť zlučiteľné s týmito účelmi.
Zamestnávateľ nesmie spracúvať osobné údaje svojich zamestnancov, ak neexistuje účel, na ktorý sa osobné údaje spracúvajú. Je porušením Nariadenia GDPR, ak zamestnávateľ bude spracúvať osobné údaje zamestnancov preto, že by ich mohol v budúcnosti potrebovať.
Ak vznikne v priebehu činnosti zamestnávateľa potreba spracúvania osobných údajov zamestnancov, ktoré sa doposiaľ nespracúvali, zamestnávateľ je povinný najskôr si stanoviť účel spracúvania a až následne je oprávnený tieto údaje začať spracúvať.
c) Zásada minimalizácie údajov
Zamestnávateľ je oprávnený spracúvať osobné údaje zamestnancov len v takom rozsahu, ktorý je nevyhnutný na dosiahnutie účelu, na ktorý sa údaje spracúvajú. Zamestnávateľ nesmie spracúvať osobné údaje zamestnancov, ktoré na dosiahnutie účelu spracúvania nepotrebuje.
Ak zamestnávateľ spracúva osobné údaje vo forme fotokópií dokladov zamestnancov, je povinný s cieľom dodržania zásady minimalizácie osobných údajov nepotrebné údaje anonymizovať (napr. začiernením).
Ak nie je vyhotovovanie fotokópií dokladov zamestnancov legislatívnou požiadavkou, zamestnávateľ ich nevyhotovuje, ale požadované údaje získava od zamestnancov vyplnením dotazníka či čestného vyhlásenia. Predloženie originálu dokladu zamestnancom (napr. rodného listu dieťaťa, sobášneho listu) osvedčí na čestnom vyhlásení poverený zamestnanec zamestnávateľa.
d) Zásada správnosti údajov
Zamestnávateľ spracúva len správne a podľa potreby aktualizované osobné údaje svojich zamestnancov. Nesprávne údaje musia byť bezodkladne opravené alebo vymazané.
S uvedenou zásadou súvisí povinnosť zamestnancov zakotvená v ust. § 81 písm. g) zákona č. 311/2001 Z. z. Zákonník práce v platnom znení písomne oznamovať zamestnávateľovi bez zbytočného odkladu všetky zmeny, ktoré sa týkajú pracovného pomeru a súvisia s jeho osobou.
e) Zásada minimalizácie uchovávania osobných údajov
Zamestnávateľ nesmie uchovávať spracúvané osobné údaje umožňujúce identifikáciu zamestnanca po dlhšiu dobu, než je to potrebné na dosiahnutie účelu, na ktorý sa údaje spracúvajú. Doba uchovávania (tzv. retenčná doba) môže byť stanovená zákonom alebo určená zamestnávateľom. V prípade jej určenia musí vedieť zamestnávateľ vysvetliť kontrolnému orgánu dôvody, pre ktoré potrebuje po určenú dobu osobné údaje svojich zamestnancov uchovávať.
f) Zásada integrity a dôvernosti
Zamestnávateľ je povinný zabezpečiť primerané technické a organizačné opatrenia, aby bola zaručená primeraná bezpečnosť spracúvaných osobných údajov, ako aj ich ochrana pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením (antivírusová ochrana, kľúčový systém, zabezpečenie heslami, používanie uzamykateľných kartoték, dodržiavanie systému „čistého stola“ a pod.).
g) Zásada zodpovednosti prevádzkovateľa
Zamestnávateľ ako prevádzkovateľ zodpovedá za to, že sú všetky zásady spracúvania osobných údajov dodržiavané bez ohľadu na to, či osobné údaje spracúva sám alebo prostredníctvom poverených zamestnancov či sprostredkovateľov. Zamestnávateľ tiež musí byť schopný preukázať kontrolnému orgánu súlad so zásadami spracúvania.
Vyjadrením zásady zákonnosti spracúvania osobných údajov je výpočet právnych základov, na základe ktorých je zamestnávateľ oprávnený spracúvať osobné údaje svojich zamestnancov (čl. 6 ods. 1 Nariadenia GDPR):
- Plnenie zákonnej povinnosti zamestnávateľa
V zmysle uvedeného právneho základu zamestnávateľ spracúva osobné údaje svojich zamestnancov, ak mu povinnosť spracúvania vyplýva z právnych predpisov Slovenskej republiky, resp. Európskej únie. V právnych predpisoch je uvedený právny základ vyjadrený formuláciou: „zbiera“, „uchováva“, „poskytuje“, t. j. vyjadrením povinnosti zamestnávateľa. Ak by právny predpis obsahoval formuláciu „môže“ alebo „je oprávnený“, právny predpis dáva zamestnávateľovi výlučne možnosť spracúvať osobné údaje zamestnancov a zamestnávateľ si musí spracúvanie subsumovať pod iný právny základ, najčastejšie oprávnený záujem.
- Plnenie zmluvy, ktorej je zamestnanec zmluvnou stranou, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy, tzv. plnenie predzmluvných povinností
Uvedený právny základ zamestnávateľ používa pri spracúvaní osobných údajov uvedených v pracovnej zmluve, ako aj pri spracúvaní osobných údajov v rámci pracovných pohovorov. Ak zamestnávateľ získava osobné údaje o (budúcich) zamestnancoch zo životopisu zaslaného zamestnancom a počas pracovného pohovoru (jednorazovo), spracúva osobné údaje na základe právneho základu v zmysle čl. 6 ods. 1 písm. b) Nariadenia GDPR. Ak by však chcel uchovávať životopis neúspešného uchádzača o zamestnanie aj po absolvovaní pohovoru, na takéto ďalšie spracúvanie osobných údajov musí disponovať súhlasom dotknutej osoby.
- Vizitka – § 78 ods. 3 zákona č. 18/2018 Z. z.
Ide ...
Súhlas s použitím cookies
Vlastné nastavenie cookies