Ochrana osobných údajov je oblasť, ktorá je najmä v malých firmách často podceňovanou. Prinášame stručný prehľad povinností zamestnávateľa vo vzťahu k ochrane osobných údajov zamestnancov.
Právny rámec spracovania osobných údajov
Povinnosti zamestnávateľa v oblasti ochrany osobných údajov upravuje zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Zamestnávateľ je povinný rešpektovať právo zamestnancov na ochranu osobných údajov a je povinný postupovať v zmysle zákona o ochrane osobných údajov. Podmienkou pre spracovávanie údajov zamestnanca je právny základ spracovávania týchto údajov. Právnym základom sa rozumie dôvod či skutočnosť, ktorá umožňuje zamestnávateľovi robiť úkony (nakladať) s osobnými údajmi. Právnym základom pre získanie osobných údajov môže byť napríklad osobitný zákon (povinnosť) alebo súhlas zamestnanca (dobrovoľnosť). Aplikovať na to isté spracúvanie možno len jeden právny základ. Právnym základom teda môže byť napríklad Zákonník práce, zákon o sociálnom poistení, zákon o zdravotnom poistení, zákon o dani z príjmov. Pre lepšie porozumenie možno uviesť, že prihlasovanie zamestnanca do registra poistencov pre účely sociálneho poistenia je určené zákonom o sociálnom poistení (je to povinnosť zamestnávateľa). V takomto prípade sa nevyžaduje súhlas zamestnanca so spracovaním jeho osobných údajov a spracúvanie osobných údajov umožňuje zákon, teda zákon je právnym základom spracúvania osobných údajov. Zamestnávateľ má však povinnosť ešte pred získaním osobných údajov zamestnanca oznámiť zamestnancovi svoje identifikačné údaje (túto povinnosť si zamestnávateľ splnil uzatvorením pracovnej zmluvy a tieto informácie nemusí ďalej oznamovať), účel spracúvania osobných údajov, zoznam alebo rozsah osobných údajov, poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje, tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté prípadne ďalšie informácie podľa zákona o ochrane osobných údajov.
Ako môže zamestnávateľ osobné údaje zamestnanca použiť
Osobné údaje možno od zamestnancov získavať a spracovávať len na vymedzený alebo ustanovený účel. Vo vzťahu k zamestnancom je právnym základom spravidla zákonná právna norma. Účel je potrebné hľadať v nej. V prípade prihlásenia zamestnanca do registra poistencov je účelom toto prihlásenie. Rozsah a obsah spracovávaných osobných údajov musí zodpovedať účelu ich spracovávania a podmienke nevyhnutnosti dosiahnutia účelu. Ak vezmeme do úvahy opäť prihlásenie zamestnanca do registra poistencov rozsah a obsah osobných údajov je daný príslušným formulárom (Registračný list fyzickej osoby). Ak účel spracúvania osobných údajov prestane trvať (bol splnený, skončil) zamestnávateľ je povinný zlikvidovať tieto osobné údaje. Likvidácia má však svoje osobitosti, ktorým sa bližšie venujeme v časti o likvidácii.
Zaručenie, že uvedené úlohy (z hľadiska cieľa článku nie kompletne) budú vykonávané v intenciách zákona je povinnosťou zamestnávateľa ako prevádzkovateľa.
Zamestnávateľ môže zamestnancom spracovávať mzdy:
- vo vlastnej réžii vlastným zamestnancom (mzdová účtovníčka a pod.),
- dodávateľsky, ak je napríklad účtovníctvo outsourcované na iný subjekt.
Kedy legislatíva vyžaduje súhlas zamestnanca
V kontexte zákona o ochrane osobných údajov sa nevyžaduje súhlas zamestnanca (dotknutej osoby) so zverením osobných údajov dodávateľskému podniku, ktorý spracúva mzdy (prípadne celé účtovníctvo). S takýmto podnikom, externou účtovnou firmou (táto spracúva osobné údaje v mene zamestnávateľa), musí mať zamestnávateľ uzatvorenú písomnú zmluvu. Zamestnávateľ ako prevádzkovateľ je povinný pri výbere sprostredkovateľa dbať na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť bezpečnosť spracúvaných osobných údajov. Zamestnancovi je potrebné oznámiť skutočnosť, že jeho osobné údaje sú spracovávané sprostredkovateľom (externou firmou, ktorá spracúva mzdy), ak zamestnávateľ poveril spracovaním osobných údajov sprostredkovateľa až po získaní osobných údajov zamestnanca. Sprostredkovateľ (externá firma, ktorá spracúva mzdy) je povinná oznámiť zamestnancovi, že spracúva jeho osobné údaje vždy. Zamestnávateľ nemusí oznamovať zamestnancovi, že jeho osobné údaje spracúva sprostredkovateľ (externá firma, ktorá spracúva mzdy), ak tak už urobil sprostredkovateľ.
Zamestnávateľ môže svojich zamestnancov kontrolovať sledovaním pracovných telefonátov, emailov, kamerovým systémom, avšak zamestnanci musia byť o tejto skutočnosti vopred upovedomení.
Ako má vyzerať doklad o súhlase so spracúvaním osobných údajov sa dočítate v článku Doklady pri nástupe do zamestnania
Zamestnávateľ je povinný zabezpečiť informačný systém (tvoria ho osobné údaje zamestnancov) primeranými bezpečnostnými opatreniami, a to po technickej a organizačnej stránke ale aj personálnej stránke. Ak zamestnávateľ spracúva osobné údaje zamestnancov automatizovane napríklad pomocou počítača a vhodného softvéru (spracovanie miezd a iných personálnych dokumentov, formulárov) a tento počítač je pripojený k internetu, musí vypracovať bezpečnostnú smernicu. V nej zdokumentuje prijaté bezpečnostné opatrenia. Nevyhnutná je bezodkladná aktualizácia bezpečnostných opatrení, ktorá si tiež vyžaduje aktualizáciu bezpečnostnej smernice.
Zamestnávateľ je povinný po splnení účelu bez zbytočného odkladu zabezpečiť likvidáciu osobných údajov, ktoré spracovával.
Personálna a mzdová agenda zamestnávateľa je súčasťou jeho registratúry a aj keď skončí napríklad pracovný pomer, osobné údaje ktoré spracúval zlikviduje až po uplynutí lehoty ich uchovávania (archivácie). Nie každý dokument (registratúrny záznam) obsahujúci osobné údaje zamestnanca sa môže zlikvidovať. Niektoré zamestnávateľ odovzdá na archiváciu príslušnému štátnemu archívu s regionálnou územnou pôsobnosťou. Dokumenty obsahujúce osobné údaje zamestnanca, ktoré sa neodovzdávajú na archiváciu musí zamestnávateľ zničiť, aby nebolo možné identifikovať dotknutú osobu (zamestnanca).
Informácie o tom, či je mzda osobný údaj zamestnanca nájdete v článku Je mzda osobným údajom zamestnanca?