V akej pozícii je zamestnanec podľa GDPR?

Zamestnanec je u zamestnávateľa podľa GDPR jednak dotknutou osobou, ktorej osobné údaje zamestnávateľ spracúva, jednak poverenou osobou, ktorá má prístup k informačným systémom zamestnávateľa, kde sa spracúvajú osobné údaje iných fyzických osôb (dodávateľov, iných zamestnancov, klientov a pod.).

Zamestnanec ako dotknutá osoba

Zamestnávateľ potrebuje spracúvať určité osobné údaje zamestnancov vo vymedzenom rozsahu. Zamestnanec je tak dotknutou osobou podľa GDPR, ktorá má všetky práva, ktoré jej z tohto postavenia vyplývajú.
Predovšetkým si zamestnávateľ musí plniť voči zamestnancom informačnú povinnosť, t. j. informovať zamestnancov o spracúvaní ich osobných údajov.
Zamestnávateľovi vo vzťahu ku zamestnancom môžu vyplývať v závislosti od vykonávaných spracovateľských činností aj iné povinnosti, napr. pri monitorovaní zamestnancov, pri zverejňovaní ich fotografií a pod. Tento článok sa zameriava len na základné povinnosti, ktoré sa týkajú každého zamestnávateľa.

Čo musia obsahovať informácie o spracúvaní osobných údajov zamestnanca?

Informácie o spracúvaní osobných údajov zamestnancov musia obsahovať všetky informácie podľa článku 13 GDPR.
Ide o pomerne široké spektrum informácií, ako je:
a) totožnosť a kontaktné údaje prevádzkovateľa (zamestnávateľa);
b) kontaktné údaje zodpovednej osoby, pokiaľ je určená;
c) účely spracúvania osobných údajov, čiže všetky dôvody spracúvania osobných údajov;
d) ak sa spracúvanie zakladá na oprávnenom záujme, je potrebné uviesť tieto oprávnené záujmy (napr. ochrana majetku zamestnávateľa prostredníctvom kamerového systému);
e) príjemcovia alebo kategórie príjemcov osobných údajov, ktorí majú k týmto údajom prístup (napr. externá účtovná firma, poskytovateľ BOZP, IT podpora);
f) informácia o tom, či zamestnávateľ zamýšľa prenos osobných údajov do tretej krajiny, teda mimo EÚ;
g) doba uchovávania osobných údajov pri každej spracovateľskej činnosti;
h) existencia práva zamestnanca na prístup k údajom, právo na ich opravu, vymazanie, obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov;
i) informácia o práve podať sťažnosť dozornému orgánu;
j) informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov;
k) existencia automatizovaného rozhodovania vrátane profilovania a v týchto prípadoch zmysluplné informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.

Ako má byť informačná povinnosť zamestnancovi sprístupnená?

Informácie o spracúvaní osobných údajov musia byť formulovane jednoducho a zrozumiteľne, nemalo by teda ísť len o prepis právnych predpisov, ale o stručné vysvetlenie konkrétnych situácií.
Informácie by mali byť zamestnancom trvalo dostupné, napr. na nástenke na pracovisku, na internom úložisku údajov, na vyžiadanie na personálnom oddelení, zverejnením na webovej stránke, na firemnom intranete a pod.
Keď má zamestnávateľ sprístupnené informácie podľa odseku vyššie, v ďalších dokumentoch a formulároch, cez ktoré získava údaje zamestnancov, už môže len odkazovať na miesta, kde sú tieto informácie dostupné.
Informácie o spracúvaní osobných údajov zamestnávateľ v prípade potreby aktualizuje a zamestnancov o týchto zmenách informuje (napr. emailom, na školení, písomným dokumentom a pod.).

Ako preukázať plnenie informačnej povinnosti?

Zamestnávateľ ako prevádzkovateľ má v zmysle článku 5 ods. 2 GDPR, povinnosť preukázať súlad s GDPR, teda aj plnenie informačnej povinnosti vo vzťahu k zamestnancom.
Systém informovania zamestnancov môže byť závislý od počtu zamestnancov, počtu a lokalizácie prevádzok. Dôležité je zvoliť si systém, ktorý bude nastavený tak, aby sa táto povinnosť neopomínala.
Spôsoby na naplnenie tejto povinností môžu byť rôzny, napr.:
– podpísanie a založenie dokumentu za každého zamestnanca,
– sprístupnenie dokumentu v tlačenej forme (na personálnom oddelení pri podpise pracovnej zmluva) alebo v elektronickej verzii (napr. poslané emailom spolu so vstupným dotazníkom) a zdokumentovať vyhlásenie o oboznámení sa s informáciami o spracúvaní osobných údajov v pracovnej zmluve, na vstupnom dotazníku a pod.

Zamestnanec ako poverená osoba

Zamestnanci vo väčšine prípadov majú prístup k informačným systémom zamestnávateľa, aby mohli vykonávať svoje pracovné povinnosti a v týchto prípadoch sú poverenými osobami.
Zamestnávateľ ako prevádzkovateľ osobných údajov je povinný písomne zaviazať poverenú osobu mlčanlivosťou, ktorá je planá aj po ukončení pracovného pomeru. Takáto mlčanlivosť môže byť súčasťou pracovnej zmluvy, samostatného dokumentu alebo ako súčasť poverenia zamestnanca.
Súčasne musí mať zamestnanec ako poverená osoba písomné poverenie na prístup k určeným informačným systémom a poučenie ohľadom ochrany osobných údajov.

Písomné poverenie a poučenie zamestnanca by malo obsahovať minimálne:
– základné zásady spracúvania osobných údajov,
– práva a povinnosti poverenej osoby pri spracúvaní osobných údajov,
– pravidlá pri spracúvaní osobných údajov tzv. papierovou formou, čiastočne automatizovane a automatizovane, podľa toho, čo je relevantné,
– prípadne pravidlá pri práce na diaľku, ak sa vykonáva,
– zodpovednosť poverenej osoby za porušenie pravidiel a pokynov zamestnávateľa,
– odkaz na interné predpisy, ktoré upravujú detailné postupy pri ochrane osobných údajov u zamestnávateľa, napr. postupy pri vybavovaní žiadostí dotknutých osôb, oznamovaní a riešení porušenia ochrany osobných údajov, pri zavádzaní nových spracovateľských činnostiach a pod.
Súčasťou poverenia môže byť aj vyššie spomínané vyhlásenie o mlčanlivosti.

Aký je minimálny rozsah dokumentov pre zamestnancov v rámci GDPR?
– Informácia o spracúvaní osobných údajov zamestnanca
– Poverenie a poučenie poverenej osoby s odkazom aj na príslušné interné predpisy
– Mlčanlivosť poverenej osoby

Potrebujete pomôcť s dokumentáciou pre zamestnancov? Neváhajte nás kontaktovať na avris@avris.sk.