Súhlas so spracovaním osobných údajov a zamestnanci.

3. nov 2021

Nejeden zamestnávateľ ešte aj dnes vyžaduje po svojich zamestnancoch súhlas so spracovaním osobných údajov podľa nariadenia GDPR.

GDPR vstúpilo do platnosti 25.05.2018 a ochrana osobných údajov sa od tohto dátumu posunula zo „šuflíkovej“ podoby do reálnej formy. Takisto nastalo aj viacero zmien a nie všetky sú ešte aj dnes uplatňované správne. Medzi ne patrí aj súhlas vyžadovaný od zamestnancov.

Súhlas so spracovaním osobných údajov
Súhlas so spracúvaním osobných údajov musí byť slobodný, konkrétny, informovaný a jednoznačný prejav slobodnej vôle, ktorým subjekt (zamestnanec) dáva písomným prehlásením (súhlasom), či iným zjavným potvrdením zvolenie k spracovaniu svojich osobných údajov za jasne definovaným účelom. Súhlas musí byť prevádzkovateľ (zamestnávateľ) schopný doložiť a takisto musí byť odvolateľný.

Nakoľko je pracovnoprávny vzťah zo svojej podstaty vzťahom nadradenosti zamestnávateľa a podradenosti zamestnanca a tým pádom nemôžeme hovoriť o slobodnom prejave súhlasu, má súhlas v tomto vzťahu len minimálne zastúpenie. Vo väčšine spracovaní osobných údajov zamestnancov nejde o spracovanie na základe ich súhlasu, ale o spracovanie na základe iného právneho základu. Súhlas sa používa iba tam, kde nie je možné spracovanie ošetriť iným právnym základom.

Ako a na základe akého právneho základu osobné údaje zamestnancov spracúvať?
Zamestnávateľ spracúva osobné údaje zamestnancov na základe hneď niekoľkých dôvodov:

  • Plnenie zmluvných alebo predzmluvných vzťahov – tým je myslené uzavretie pracovnej zmluvy alebo dohody. Platí to aj v prípade výberového konania s uchádzačom o zamestnanie, kedy zamestnávateľ spracúva údaje nevyhnutné k podpisu pracovnej zmluvy – tu je potrebné pripomínať minimalizáciu spracovaných osobných údajov. Počas výberového konania by ste mali obmedziť spracúvanie na identifikačné a kontaktné údaje, údaje o vzdelaní a praxi. Nadbytočným a problematickým by napríklad bolo spracúvanie rodného čísla a informácie, či má uchádzač exekučné zrážky zo mzdy.
  • Nevyhnutné podľa osobitného zákona – to sú povinnosti vo vzťahu k odvodom do sociálneho a zdravotného poistenia, zálohy na daň, exekučné príkazy a výkon podľa rozhodnutia súdu. Tu už informácie o rodnom čísle a prípadných exekučných zrážkach zo mzdy zamestnávateľ potrebuje (ale to sa už nejedná o uchádzača o zamestnanie, ale o konkrétneho zamestnanca).
  • Oprávnený záujem zamestnávateľa – sem zaraďujeme napríklad kamerový systém k ochrane majetku zamestnávateľa, sprístupnenie osobných údajov zamestnancov pre materskú spoločnosť (zriaďovateľa), interný zoznam zamestnancov s kontaktnými údajmi pre zdieľanie na intranete, kontaktné údaje na blízke osoby zamestnanca pre prípad neočakávanie udalosti a podobne.

Kedy je súhlas nevyhnutný?

Určite je potrebné zabezpečiť si súhlas o ďalšom spracovaní údajov po ukončenom výberovom konaní u uchádzača, ktorý nebol vybraný, ale zamestnávateľ si jeho osobné údaje plánuje uchovať  v prípade uvoľneného pracovného miesta v budúcnosti. Tu už pôvodný právny dôvod (plnenie zmluvy) odpadá. Uchovávať takéto údaje aj naďalej je možné len so súhlasom uchádzača o zamestnanie. Uchováva sa po vopred definovanú dobu. Odporúča sa maximálne po dobu dvoch rokov. Potrebné zabezpečiť si súhlas je aj v prípade, že chcete zverejniť fotky svojich zamestnancov na webovej stránke.

Kedy je súhlas nadbytočný?
Ako už bolo spomenuté, stále sa v oblasti pracovnoprávnych vzťahov objavuje nesprávny postup zo strany zamestnávateľov. Vyžadovanie súhlasu so spracovaním osobných údajov, ako je napríklad e-mailová adresa a telefónne číslo, je nielen zbytočné, ale zároveň môže byť za tento postup vymeraná pokuta.

Zamestnávateľ údaje spracúva za účelom personálnej a mzdovej agendy bez súhlasu zamestnanca. Poskytovanie takýchto údajov nie je zo strany zamestnanca dobrovoľné, nevyhnutnosť je tu zaistená pre účel plnenia zmluvy, dodržania právneho záväzku alebo oprávnený záujem zamestnávateľa. Vyžadovanie súhlasu zamestnancov môže byť Úradom pre ochranu osobných údajov považované za mätúce či klamlivé a môže byť sankcionované podľa nariadenia GDPR.

Súhlasy sa stále ešte objavujú aj v pracovných zmluvách zamestnancov. Tu ale ide o nepochopenie podstaty spracúvania, nakoľko zamestnávateľ je povinný zamestnanca informovať o spracúvaní jeho osobných údajov. Takéto informovanie môže byť súčasťou pracovnej zmluvy, ale najčastejšie je to samostatný dokument, ktorý sa novému zamestnancovi predloží pri jeho nástupe alebo je súčasťou interných dokumentov, ktoré sú zamestnancom prístupné.

Ing. Lukáš Maliniak

konzultant informačnej bezpečnosti