V sérii týchto krátkych článkov máme za cieľ klientom, čitateľom a komukoľvek, kto na ich obsah natrafí, priblížiť problematiku osobných údajov. Nebudeme rozoberať novinky, výšky pokút a ani posledný vývoj v tejto oblasti. Zameriame sa skôr na základy v HR.
Prvý článok venujeme len trom úvodným bodom: čo je to osobný údaj, na čo zamestnávateľovi osobné údaje sú a kedy spracúvanie údajov zamestnávateľovi zákon dovoľuje.
Čo je osobný údaj?
Takmer všetko. Lepšie povedané všetky informácie, ktoré má zamestnávateľ o uchádzačovi alebo zamestnancovi. Môže ísť:
- buď o základné údaje ako meno a priezvisko, dátum narodenia, kvalifikácia, fotografie, a pod.
- alebo osobitné kategórie údajov ako sexuálna orientácia, členstvo v odboroch, odtlačky prstov, a pod.
Pri osobitných kategóriách je na spracúvanie potrebná špeciálna výnimka. V budúcnosti sa k výnimkám dostaneme. Nateraz odporúčame myslieť na to, že pre tieto údaje platia prísnejšie pravidlá a treba pri nich spozornieť.
Na čo zamestnávateľovi osobné údaje sú?
Túto otázku si treba položiť ešte pred tým, ako sa začnú osobné údaje spracúvať. V dokumentoch o GDPR ju označujeme aj zákonným označením účel. Účel zjednodušene vymedzuje dôvod spracúvania.
Vysvetlenie účelu na troch praktických príkladoch:
- údaje poskytnuté pred pohovorom – účelom spracúvania je výber vhodného uchádzača;
- fotografia z firemnej akcie – účelom spracúvania je zverejnenie fotografie vo firemnom newslettri a inej internej komunikácii; alebo
- údaje pre Sociálnu poisťovňu – účelom spracúvania je získanie a poskytnutie informácií potrebných na splnenie zákonnej povinnosti zamestnávateľa (napr. prihlásenie zamestnanca do registra poistencov).
Účel (dôvod) spracúvania zároveň treba uviesť (spravidla v informácii pre zamestnanca) dostatočne určito (t.j. jasne a nekombinovať nesúvisiace veci). Je potrebné pamätať aj na to, že keď účel vyčerpáme, veľmi ťažko informácie použijeme pre iný účel. Napríklad, ak sme získali súhlas s použitím fotografie len na interný newsletter, tak fotografiu nemôžeme zaslať v rámci newslettera pre klientov. Ak to chceme spraviť, potrebujeme nový súhlas.
Kedy zákon zamestnávateľovi spracúvanie dovoľuje?
Zákon spracúvanie dovoľuje v šiestich prípadoch (tzv. právne základy). Na pracovnoprávny vzťah spravidla používame tieto štyri:
- získate súhlas – v pracovnom práve by sa mal súhlas vyžadovať výnimočne (zamestnávateľ je silnejší ako zamestnanec = súhlas nemusí byť slobodný). Súhlas využíva zamestnávateľ napríklad pri použití fotografií v newslettri (čl. 6 ods. 1 písm. a) GDPR). Súhlas daný priamo v pracovnej zmluve platný nebude. Pre upokojenie, súhlas v drvivej väčšine prípadov ani nepotrebujete;
- chcete uzatvoriť zmluvu so zamestnancom – platí napr. pre údaje získané pred prijatím uchádzača (predzmluvný vzťah), ako aj na údaje v PZ (zmluvný vzťah) či dohodách (čl. 6 ods.1 písm. b) GDPR);
- plníte zákonnú povinnosť zamestnávateľa – platí napriklad pre splnenie povinnosti voči zdravotným poisťovniam, Sociálnej poisťovni či pre účtovné alebo daňové povinnosti (čl. 6 . ods. 1 písm. c) GDPR);
- máte oprávnený záujem – t.j. práva zamestnávateľa sú silnejšie ako práva zamestnanca na ochranu osobných údajov. Napr. zamestnávateľ má vozový park s vozidlami vybavenými GPS. GPS zamestnávateľ používa za účelom ochrany svojho majetku a evidencie služobných jázd pri služobnom použití zamestnancom (čl. 6 . ods. 1 písm. f) GDPR). Je potrebné pamätať na to, že ak chce zamestnávateľ využiť oprávnený záujem, tak musí vždy vypracovať aj test proporcionality (osobitný interný dokument), ktorým úradu preukáže, že jeho práva sú silnejšie ako práva zamestnanca.
Ďalšie dva právne základy sú spracúvanie nevyhnutné na i) ochranu životne dôležitého záujmu zamestnanca či inej osoby a ii) plnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej zamestnávateľovi. Tieto používa zamestnávateľ v súkromnom sektore veľmi sporadicky.
Záver
Pri vyžadovaní informácií od zamestnanca si je potrebné úvodne zodpovedať tieto tri otázky i) či a aké osobné údaje od neho požadujeme, ii) či na to máme dôvod (účel) a iii) či a ako nám to zákon dovolí (právny základ).
V ďalšom článku sa budeme zaoberať rozsahom údajov, ktoré možno spracúvať a tým, ako a kedy o spracúvaní zamestnanca informovať.