Základné osobné údaje ako meno, priezvisko či dátum narodenia sú v pracovnej oblasti bežne spracúvanými osobnými údajmi. Aké ďalšie osobné údaje zamestnancov môžu zamestnávatelia spracúvať? Pozrite si stručný prehľad.
Nariadenie Európskeho Parlamentu a Rady (EÚ) 2016/679 pre ochranu osobných údajov, známe pod skratkou GDPR, ktoré je od 25. 5. 2018 účinné vo všetkých členských štátoch EÚ vrátane SR, definuje nové pojmy, zavádza nové práva pre fyzické osoby a povinnosti pre subjekty spracúvajúce osobné údaje fyzických osôb. Od konca mája 2018 sa tak na území členských štátov EÚ začal uplatňovať jednotný režim ochrany osobných údajov.
Osobné údaje podľa GDPR vo všeobecnosti
Podľa GDPR (čl. 4 bod 1) sú osobnými údajmi akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (tzv. dotknutá osoba). Inak povedané, osobnými údajmi sú také údaje/informácie, na základe ktorých možno fyzickú osobu identifikovať, prípadne aj také, na základe ktorých sa fyzická osoba stáva identifikovateľnou.
Medzi tie najzákladnejšie a najbežnejšie spracúvané osobné údaje patrí napríklad meno a priezvisko, adresa, telefónne číslo, e-mail (v tvare mena a priezviska), číslo preukazu totožnosti a iné.
Osobné údaje zamestnanca
Osobné údaje sú súčasťou každodennej reality v oblasti rôznych spoločenských vzťahov vrátane tých pracovnoprávnych. Legislatíva týkajúca sa ochrany osobných údajov ovplyvňuje každého zamestnávateľa. Príklad zamestnávateľa, ktorý by nespracúval osobné údaje zamestnancov neexistuje. Zamestnávatelia spracúvajú osobné údaje osôb už v situáciách, keď ešte ani nie sú zamestnancami (napr. pri výberovom konaní), ako aj v situáciách, keď už zamestnancami nie sú (napr. archivácia personálnych spisov). O ochrane osobných údajov v rámci výberového konania si môžete prečítať v článku Ochrana osobných údajov pri výbere nových zamestnancov.
Zákonník práce (čl. 11) ustanovuje, že zamestnávateľ môže o zamestnancovi zhromažďovať len osobné údaje súvisiace s kvalifikáciou a profesionálnymi skúsenosťami zamestnanca a údaje, ktoré môžu byť významné z hľadiska práce, ktorú zamestnanec má vykonávať, vykonáva alebo vykonával. Konkrétny rozsah takýchto osobných údajov však nešpecifikuje žiadny právny predpis. To, o ktoré konkrétne osobné údaje v konkrétnom prípade ide, vždy závisí od špecifických okolností toho ktorého prípadu, najmä od charakteru pracovnej pozície.
V praxi môže najčastejšie zamestnávateľ (prevádzkovateľ) prichádzať do kontaktu s týmito osobnými údajmi zamestnanca (dotknutej osoby):
Identifikačné údaje - meno, priezvisko, rodné priezvisko, prezývka, titul, dátum narodenia, miesto narodenia, rodné číslo, číslo občianskeho preukazu, číslo pasu alebo iného dokladu totožnosti, štátna príslušnosť, národnosť, fotografia.
Kontaktné údaje - adresa trvalého alebo prechodného pobytu alebo bydliska, telefónne číslo, e-mailová adresa, adresa na sociálnej sieti.
Prevádzkové údaje - register pracovného času (napr. údaje o čase, kedy zamestnanci začínajú a končia pracovnú zmenu, údaje o prestávkach alebo čase, ktorý nie je do pracovného času zahrnutý), pracovná funkcia (funkčné zaradenie), odborný útvar, identifikačné číslo, prístupový kód alebo heslo, online identifikátor, pracovná IP adresa.
Lokalizačné údaje - údaje určujúce geografickú polohu (napr. pri využívaní GPS lokalizátora), údaje v knihe jázd služobného vozidla.
Citlivé údaje - údaje o zdravotnom stave (napr. potvrdenie o tehotenstve, o invalidite, výsledky preventívnej lekárskej prehliadky vo vzťahu k práci, výsledky dychovej alebo krvnej skúšky na alkohol, údaje o psychickej pracovnej spôsobilosti), odtlačky prstov, scan sietnice, členstvo v odborovej organizácii, údaje o porušení predpisov trestného práva, priestupkového práva alebo občianskeho práva (napr. výpis alebo odpis z registra trestov). Citlivé osobné údaje sú také údaje, ktorých spracúvanie môže pre zamestnanca predstavovať vyššie riziko ohrozenia jeho práv a právom chránených záujmov.
Podľa GDPR medzi citlivé osobné údaje už viac nepatrí:
- fotografia, ak sa nespracúva niektorá z citlivých charakteristík na nej zachytená (napr. údaj o zdravotnom postihnutí),
- všeobecne použiteľný identifikátor (rodné číslo),
- vlastnoručný podpis, ak sa nespracúva niektorá behaviorálna charakteristika.
Údaje vytvárajúce ekonomickú identitu - údaj o mzde, číslo bankového účtu.
Údaje vytvárajúce sociálnu identitu - údaje o rodinnom stave (napr. sobášny list), počte detí, dosiahnutom vzdelaní.
Údaje vytvárajúce fyzickú alebo fyziologickú identitu - hlas pri monitorovaní telefónov, obraz na videozázname (napr. z pohovoru).
Údaje vytvárajúce mentálnu identitu - informácie o správaní a osobných vlastnostiach zapísané v pracovnom posudku.
Medzi osobné údaje sa zhŕňajú aj tzv. subjektívne informácie - názory alebo hodnotenia. Tento druh informácií predstavuje značnú časť osobných údajov spracovávaných v oblasti zamestnania (napr. „Denis je veľmi dobrým zamestnancom, preto si zaslúži povýšenie.“).
Dávame do pozornosti, že pri spracúvaní vyššie uvedených osobných údajov zamestnancov musí zamestnávateľ vždy posúdiť, či je nevyhnutné spracúvať konkrétny osobný údaj na daný účel. Ak je nevyhnutné, aby bol osobný údaj spracúvaný na daný účel, musí zamestnávateľ následne vybrať správny právny základ (právny titul) pre takéto spracúvanie (napr. spracúvanie na základe zákona alebo súhlasu zamestnanca). Pokiaľ by sa ale zamestnanec domnieval, že zamestnávateľ od neho požaduje a spracúva jeho osobné údaje nad rámec (teda aj keď to na daný účel nie je nevyhnutné), môže sa domáhať preskúmania postupu zamestnávateľa Úradom na ochranu osobných údajov.
Čo patrí do osobných údajov a naopak, čo nie bližšie približujeme v článku Čo (nie) je osobný údaj? Je ním fotografia, telefónne číslo alebo názov firmy? alebo Je mzda osobným údajom zamestnanca?