Osobné údaje zamestnancov: čo smie zamestnávateľ spracovávať a kde sú hranice?

Praktický prehľad pravidiel, ktoré vás ochránia pred pokutou od úradu

Spracovávanie osobných údajov zamestnancov nie je len formalita na papieri. Je to každodenná agenda, pri ktorej firmy chybujú možno častejšie, než si myslia. Ak neviete presne, ktoré údaje môžete zbierať, na akom právnom základe a ako dlho ich uchovávať, tento článok je pre vás.

Väčšina zamestnávateľov si je istá, že GDPR má pod kontrolou. Realita však býva iná. Chyby sa neobjavujú pri veľkých rozhodnutiach, ale v každodenných procesoch: pri nástupe nového zamestnanca, pri výberovom konaní, pri zavádzaní kamerového systému alebo pri vedení osobného spisu. Pozrime sa na to, kde presne firmy najčastejšie zlyhávajú.

Ktoré údaje môžete ako zamestnávateľ zbierať?

Základné pravidlo znie jednoducho: spracovávať môžete len tie osobné údaje, ktoré sú nevyhnutné na konkrétny účel spojený s pracovným pomerom. Patria sem identifikačné a kontaktné údaje, informácie o kvalifikácii, mzdové podklady, dochádzka a údaje, ktoré vyžaduje zákon.

Predstavte si situáciu: nový zamestnanec nastupuje do firmy. Potrebujete jeho meno, adresu, číslo bankového účtu, doklady o vzdelaní a potvrdenie o zdravotnej spôsobilosti. To všetko má jasný účel. Nepotrebujete však vedieť, aké filmy sleduje, či má psa alebo aký je jeho rodinný stav, pokiaľ to priamo nesúvisí s výkonom práce. Zbierať údaje „do zásoby“ zákon jednoducho nedovoľuje.

Na akom právnom základe môžete údaje spracovávať?

V pracovnoprávnych vzťahoch sa spracovávanie osobných údajov opiera o tri hlavné právne základy:

Plnenie pracovnej zmluvy – spracovávanie je nevyhnutné na to, aby ste mohli plniť svoje záväzky voči zamestnancovi
Zákonná povinnosť – niektoré údaje spracovávate preto, lebo vám to prikazuje zákon
Oprávnený záujem zamestnávateľa – v odôvodnených prípadoch, keď váš záujem prevažuje nad záujmom zamestnanca

Pozor na jeden rozšírený omyl: súhlas zamestnanca nie je univerzálnym riešením. Medzi zamestnávateľom a zamestnancom existuje nerovné postavenie. Zamestnanec, ktorý sa obáva o svoje pracovné miesto, len ťažko odmieta podpísať čokoľvek, čo mu predložíte. Práve preto súhlas v mnohých prípadoch ani nie je vhodným právnym základom. Pri každom spracovávaní musí byť jasné, o čo sa opiera.

Informačná povinnosť: kde firmy chybujú najčastejšie

Zamestnávateľ musí zamestnanca informovať o tom, aké údaje spracováva, na aký účel a na akom právnom základe, komu ich poskytuje, ako dlho ich uchováva a aké práva má zamestnanec ako dotknutá osoba.

Nestačí, ak zamestnanec pri nástupe podpíše trojstranový dokument plný právnického textu, ktorému nikto nerozumie. Informácie musia byť konkrétne, zrozumiteľné a aktuálne. Napríklad: „Vaše mzdové údaje poskytujeme externej účtovníckej firme XY na účely spracovania výplat. Tieto údaje uchovávame po dobu 10 rokov v súlade so zákonom.“ Takáto informácia má zmysel. Všeobecné poučenie bez väzby na reálne personálne procesy vás pred pokutou neochráni.

Osobný spis zamestnanca: čo tam patrí a čo nie

Osobný spis má obsahovať iba dokumenty a údaje súvisiace so vznikom, trvaním a skončením pracovného pomeru. Konkrétne sem patria pracovná zmluva a jej dodatky, doklady o kvalifikácii, mzdové a personálne dokumenty a zákonom vyžadované potvrdenia.

Čo do spisu nepatrí: nadbytočné kópie dokladov, súkromné poznámky bez väzby na pracovný pomer alebo údaje, ktoré nie sú nevyhnutné. Predstavte si HR manažéra, ktorý si do spisu prikladá poznámky z neformálnych rozhovorov o súkromnom živote zamestnanca. Takýto postup je v priamom rozpore so zásadou minimalizácie údajov. Každý dokument v spise by mal mať jasný účel, právny základ a určenú dobu uchovávania.

GDPR pri nábore: čo môžete od uchádzačov žiadať?

Výberové konanie je z pohľadu ochrany osobných údajov samostatná kapitola. Od uchádzačov môžete získavať iba informácie, ktoré súvisia s pracovným miestom a samotným výberovým konaním.

Zamestnávateľ nemá žiadať údaje o rodinných pomeroch, tehotenstve, náboženstve, politickej príslušnosti ani iné nesúvisiace informácie. Príklad: na pohovore sa pýtate kandidátky, či plánuje mať deti. Táto otázka priamo porušuje pravidlá ochrany osobných údajov a môže mať pre vás nepríjemné právne následky.

A čo so životopismi po skončení výberového konania? Nemôžete ich uchovávať neobmedzene. Aj pri nábore platí zásada minimalizácie a obmedzenia uchovávania.

Monitorovanie zamestnancov: kde sú hranice?

Kamery na pracovisku, GPS sledovanie, kontrola firemných e-mailov alebo internetu. To všetko je za určitých podmienok prípustné, ale len pri splnení zákonných požiadaviek.

Zamestnávateľ musí vedieť preukázať, prečo je monitoring potrebný, aký je jeho účel a prečo nestačí miernejší prostriedok. Firma, ktorá nainštaluje kamery do každej miestnosti vrátane oddychovej zóny bez toho, aby o tom informovala zamestnancov, koná neprípustne. Zásah do súkromia musí byť primeraný a zamestnanci musia byť o monitorovaní riadne informovaní.

Plošné sledovanie bez jasného odôvodnenia zákon neumožňuje. Ak zamestnávateľ zavádza kontrolný mechanizmus, musí jeho rozsah, spôsob a dobu trvania prerokovať so zástupcami zamestnancov, pokiaľ u neho pôsobia, a zamestnancov o tom informovať. Pri niektorých formách systematického monitoringu môže navyše vzniknúť povinnosť urobiť posúdenie vplyvu (DPIA).

Zdravotné údaje: prísnejší režim

Zdravotné údaje patria medzi osobitné kategórie osobných údajov a ich spracovávanie podlieha prísnejším pravidlám. Môžete ich spracovávať len vtedy, ak na to existuje osobitný právny dôvod, najmä podľa pracovnoprávnych, sociálnych alebo zdravotných predpisov.

Dôležité je vedieť, že spravidla nepotrebujete detailné informácie o zdravotnom stave zamestnanca. Ak zamestnanec požiada o prácu z domu zo zdravotných dôvodov, nepotrebujete poznať jeho diagnózu. Postačuje záver relevantný pre výkon práce, teda napríklad potvrdenie o zdravotnej spôsobilosti od lekára. Pri týchto údajoch je obzvlášť dôležitá dôvernosť a obmedzený prístup.

Ako dlho môžete údaje uchovávať?

Osobné údaje môžete uchovávať len po dobu nevyhnutnú na splnenie účelu, na ktorý boli získané. Ak dobu uchovávania určuje zákon, musíte sa riadiť touto lehotou. Ak zákonná lehota neexistuje, musíte si ju vedieť rozumne odôvodniť.

Mzdové listy uchovávate 10 rokov, pretože to vyžaduje zákon. Životopisy neúspešných uchádzačov však nemôžete držať v zásuvke päť rokov len preto, že „možno sa niekedy zídu.“

Práva zamestnanca, ktoré musíte rešpektovať

Zamestnanec má ako dotknutá osoba podľa zákona o ochrane osobných údajov tieto práva: právo vedieť, aké osobné údaje o ňom spracovávate, právo na prístup k údajom, právo na opravu, právo na výmaz alebo obmedzenie spracovávania v určitých prípadoch a právo namietať proti spracovaniu.

Tieto práva však nie sú absolútne, najmä ak údaje spracovávate na základe zákonnej povinnosti. Ak vás zamestnanec požiada o prístup k svojim údajom, nemôžete jeho žiadosť ignorovať. Musíte na ňu reagovať riadne a v zákonných lehotách.

Najčastejšie chyby zamestnávateľov

Na záver to najpraktickejšie: prehľad pochybení, ktorých sa firmy dopúšťajú opakovane.

Spracovávanie priveľkého množstva údajov
Nesprávne spoliehanie sa na súhlas zamestnanca ako právny základ
Nejasná alebo chýbajúca informačná povinnosť
Neprimeraný monitoring bez odôvodnenia
Príliš dlhé uchovávanie údajov bez pravidiel
Nedostatočné pravidlá pre zdravotné alebo iné citlivé údaje
Vedenie osobných spisov bez zásady minimalizácie
Zverejňovanie väčšieho rozsahu údajov, než je nevyhnutné

Väčšina pochybení nevzniká z jednej veľkej chyby. Vzniká z množstva malých nesprávnych postupov, ktoré sa časom nakopia a môžu vyústiť do pokuty alebo pracovnoprávneho sporu.

Ak vás táto téma zaujala, prečítajte si aj naše ďalšie články, kde prinášame zrozumiteľné odpovede na otázky, ktoré HR manažéri a konatelia riešia každý deň.

+421 918 987 886

Námestie Martina Benku 2, 811 07 Bratislava

Články

Prečítajte si novinky a aktuality z našej advokátskej kancelárie.