Týmto článkom pokračujeme v sérii o základoch spracúvania osobných údajov v oblasti HR. Naposledy sme si ustálili tri základné otázky, ktoré si treba zodpovedať pred začatím spracúvania. Konkrétne i) či a aké osobné údaje od zamestnanca požadujeme, ii) aký na to máme dôvod (účel) a iii) či a ako nám to zákon dovolí (právny základ).
V tejto časti sa budeme venovať rozsahu údajov, ktoré od zamestnanca možno žiadať a tomu, ako a kedy ho o spracúvaní osobných údajov informovať.
Aký má byť rozsah údajov?
Len taký, ako reálne potrebujeme pre daný účel. Pri spracúvaní osobných údajov totiž platí základné a dôležité pravidlo minimalizácie údajov. Toto pravidlo v skratke znamená, že nemáme žiadať a spracúvať údaje, ktoré nevyhnutne nepotrebujeme.
Bližšie si to vysvetlíme na príklade uzatvorenia pracovnej zmluvy, čo bude zároveň aj účelom spracúvania. Na dosiahnutie účelu potrebujeme zamestnanca v zmluve identifikovať. Identifikujeme ho uvedením mena a priezviska, adresou pobytu a dátumom narodenia (nájdu sa aj odporcovia dátumu narodenia, právne však tento údaj svoje rácio má). Na identifikáciu v zmluve bežne (v pracovnom práve takmer nikdy) nepotrebujeme uvádzať rodné číslo alebo číslo dokladu totožnosti. Ak by sme tieto informácie bez dôvodu v zmluve uvádzali, porušili by sme pravidlo minimalizácie a teda aj GDPR.
Neznamená to, že rodné číslo nemôžeme spracúvať vôbec. Nemôžeme ho spracúvať len na účel uzatvorenia zmluvy. Na účel plnenia povinností voči Sociálnej poisťovni ho spracúvať môžeme. Otázku, aký rozsah údajov potrebujeme, si teda musíme položiť pri každom jednom účele.
Ako zamestnanca o spracúvaní informovať?
Písomnou informáciou. Túto zamestnancovi môžeme dať listinne alebo elektronicky. Za určitých okolností je dovolené aj ústne poskytnutie informácie. To skôr neodporúčame, keďže pri takomto spôsobe nebudeme mať uchopiteľný dôkaz o jej poskytnutí. Naviac, zamestnanec by nás o ústne poskytnutie musel požiadať.
Informácia by z praktického hľadiska nemala byť súčasťou pracovnej zmluvy. V pracovnom práve totiž platí, že čo je dohodnuté v pracovnej zmluve, to možno meniť len dodatkom k nej. Ak by sme informáciu poskytli v pracovnej zmluve, do budúcna by pre nás boli možnosti jej zmien (aj tých kozmetických) obmedzené. Ak sa tomu vyhneme a dôjde k aktualizácii informácie, tak zamestnancov o nej môžeme informovať spôsobom bežne zaužívaným v spoločnosti (osobne proti podpisu, na nástenke, intranete, emailom, a pod.).
Kedy zamestnanca o spracúvaní informovať?
Vždy pred spracúvaním (podľa GDPR pri získavaní, vysvetlíme v závere) osobných údajov. Výnimkou je len prípad, keď informácie nezískame priamo od uchádzača/zamestnanca, ale od tretej osoby/z verejne dostupných zdrojov. Vtedy treba informáciu poskytnúť pri prvej komunikácii s ním (ak údaj spracúvame na účel komunikácie), no najneskôr do 1 mesiaca od momentu získania údajov. GDPR upravuje aj viaceré prípady, keď informáciu pri údajoch získaných od tretej osoby či z údajov verejných poskytnúť netreba. Je tomu tak napríklad vtedy, keď uchádzač/zamestnanec už informáciu o spracúvaní osobných údajov má.
Uchádzačom o zamestnanie musí byť informácia poskytnutá predtým, ako pošlú svoj životopis a súvisiace údaje. Pri elektronických inzerátoch je informáciu možné poskytnúť napríklad uvedením odkazu na konkrétnu podstránku webu spoločnosti. Pri printových inzerátoch je poskytnutie informácie zložitejšie. Je v nich vhodné uviesť aspoň znakovo limitovanú informáciu typu „O [OÚ/osobných údajoch] na www.[●].[●]". Následne, pri prvej komunikácii s uchádzačom prevenčne poskytnúť informáciu obsiahlejšiu. Ak by životopis uchádzač priniesol osobne (čo sa teraz deje skôr sporadicky), môžeme ho informovať aj v čase, keď nám životopis priniesol.
Pri zamestnancoch je najpraktickejšie poskytnúť komplexnú informáciu priamo pri podpise zmluvy. Pokryjeme tak všetky situácie do budúcna (ak ju máme dobre našpecifikovanú).
Záver
Každý údaj, ktorý spracúvame nad nevyhnutný rozsah, je možné považovať za problém naviac. Údaje musíme minimalizovať. Informáciu o spracúvaní údajov uchádzačom/zamestnancom poskytujeme písomne a môžeme to urobiť aj elektronicky. Informáciu poskytujeme najneskôr pri získavaní údajov. Prakticky je jednoduchšie komplexnú informáciu poskytnúť ešte pred získaním údajov. Ak nám osobné údaje nedal priamo uchádzač/zamestnanec, ale niekto iný, musíme zistiť, či mu musíme informáciu poskytnúť. Ak na zisťovanie nemáme zdroje, informáciu mu poskytneme vždy (radšej dvakrát ako vôbec), a to pri prvej komunikácii, najneskôr však do jedného mesiaca od kedy údaj získame. Prípadne, ak vieme odkiaľ budeme získavať informácie (napr. LinkedIn na zistenie nového zamestnávateľa pre uplatnenie nárokov z dohody o zrážkach zo mzdy), môžeme (s istým minimálnym rizikom) o takejto možnosti spracúvania údajov informovať už pri podpise pracovnej zmluvy.
V najbližších článkoch si detailnejšie priblížime to, čo do informácie pre zamestnancov uviesť. Jeden z nich budeme osobitne venovať účelom a právnym základom.