GDPR v pracovnoprávnych vzťahoch - kde sú hranice medzi právom zamestnávateľa a ochranou súkromia zamestnanca?

Ochrana osobných údajov v pracovnoprávnych vzťahoch sa stala imanentnou súčasťou každého zamestnávateľa, ktorý vystupuje v pozícii prevádzkovateľa podľa GDPR. Zamestnávateľ spracúva osobné údaje o svojich zamestnancov bez ohľadu na to, či mu tieto osobné údaje poskytli samotní zamestnanci z dôvodu uzatvorenia pracovnoprávneho vzťahu, alebo ich zamestnávateľ vytvoril v rámci plnenia pracovných úloh zamestnancov. V ére digitalizácie a dátovej spoločnosti hodnota osobných údajov ako obchodného aktíva neustále rastie, čo si musia uvedomiť aj zamestnávatelia a zaistiť ich precíznu bezpečnosť pred zneužitím, odcudzením alebo ich stratou.

Za posledné mesiace sa zvýšilo povedomie o ochrane osobných údajov z dôvodu pripravovanej novej legislatívy v tejto oblasti, t. j. nový zákon o zabezpečení ochrany fyzických osôb pri spracúvaní osobných údajov a o zmene a doplnení niektorých zákonov, ktorý by mal nadobudnúť účinnosť od 1. januára 2026. Zamestnávatelia by mali zostať v strehu, a aktualizovať svoju GDPR a pracovnoprávnu dokumentáciu, ak vo svojich interných predpisoch odkazujú na zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.[1]

Povinnosti zamestnávateľa pri spracúvaní osobných údajov zamestnancov

Zákonník práce neustanovuje rozsah osobných údajov, ktoré je zamestnávateľ povinný spracúvať, ba dokonca neuvádza ani dobu uchovávania týchto osobných údajov. V čl. 11 Základných zásad Zákonníka práce sa len vágne uvádza, že zamestnávateľ môže o zamestnancovi zhromažďovať len osobné údaje súvisiace s kvalifikáciou a profesionálnymi skúsenosťami zamestnanca. Ďalej uvádza, že môže spracúvať osobné údaje, ktoré sú významné z hľadiska práce, ktorú má zamestnanec vykonávať, vykonáva alebo vykonával pre zamestnávateľa. Zákonník práce nezakotvuje legálne definície, čo sa rozumie pod pojmami kvalifikácia a profesionálne skúsenosti, čiže ich rozsah môže byť v tomto široký. Z uvedeného možno tvrdiť, že nie je jednoznačné o aké konkrétne osobné údaje ide a ani v akom rozsahu môžu byť zo strany zamestnávateľa spracúvané.

V Zákonníku práce sa ďalej spomínajú osobné údaje v § 58a Zákonníka práce, kde sa iba neurčito uvádza, že zamestnávateľ alebo agentúra dočasného zamestnávania sú povinní poskytnúť také osobné údaje na žiadosť od užívateľského zamestnávateľa, aby mohol skontrolovať dodržiavanie povinnosti mzdových podmienok dočasne prideleným zamestnancom. V § 130a Zákonníka práce možno nájsť obdobu predchádzajúcej vety, keď subdodávateľ je povinný na základe žiadosti poskytnúť dodávateľovi služby údaje vrátane osobných údajov zamestnanca v rozsahu nevyhnutnom na overenie skutočností rozhodujúcich pre vyplatenie mzdy.

Nesmieme opomenúť, že Zákonník práce zakotvuje, aké obligatórne náležitosti musí obsahovať dohoda o dočasnom pridelení podľa § 58a ods. 2 Zákonníka práce, a to v rozsahu osobných údajov, keď možno identifikovať osobu zamestnanca: meno a priezvisko, dátum a miesto narodenia, miesto trvalého pobytu dočasne prideleného zamestnanca. Po nedávnym novelách Zákonníka práce sa zakotvilo, že v prípade príspevku na športovú činnosť dieťaťa musí byť na daňovom doklade uvedené meno a priezvisko dieťaťa, čiže zamestnávateľom vznikol nový účel spracúvania osobných údajov, za ktorých môžu spracúvať osobné údaje detí svojich zamestnancov. Obdobne sa táto situácia premietla aj v prípade poskytovania rekreačných poukazov alebo príspevok na rekreáciu, keď sa okruh dotknutých osôb rozšíril aj na rodičov zamestnanca. Tieto osobné údaje doteraz zamestnanec vo svojich interných systémoch nemusel spracúvať, čím sa mu rozšírili účely spracúvania o nové účely a kategórie dotknutých osôb.

Paragrafové znenie § 43 Zákonníka práce definuje podstatné náležitosti pracovnej zmluvy, ktorá musí nevyhnutne obsahovať identifikačné údaje na zamestnávateľa a zamestnanca, hoci jednoznačne neuvádza o aké konkrétne osobné údaje má ísť. Z aplikačnej praxe vyplynulo, že na uzatvorenie pracovného pomeru postačuje tento rozsah osobných údajov na strane zamestnanca: meno a priezvisko, titul, adresa trvalého pobytu, prípadne adresa prechodného pobytu, dátum narodenia, číslo bankového účtu. Ak by existovali zamestnanci s rovnakým menom a priezviskom a dátumom narodenia, v takom prípade sa môže pridať ďalší odlišovací znak, najčastejšie sa uvádza pridelené osobné číslo zamestnanca u zamestnávateľa.

Zamestnávateľ spracúva osobné údaje zamestnancov v rôznych interných systémoch, napríklad mzdový program, GPS aplikácia, účtovný program, monitorovacie zariadenia a pod. Z tohto dôvodu je zamestnávateľ povinný pri spracúvaní osobných údajov zamestnancov dodržiavať zásady spracúvania osobných údajov podľa GDPR, konkrétne:

• zásadu zákonnosti, spravodlivosti a transparentnosti podľa čl. 5 ods. 1 písm. a) GDPR, keď zamestnávateľ v právnom postavení prevádzkovateľa, je povinný spracúvať osobné údaje zamestnancov výlučne na jasne a konkrétnych definovaných právnych základoch, napríklad plnenie zmluvy (pracovná zmluva, dohoda o brigádnickej práci študentov, dohoda o hmotnej zodpovednosti, a pod.), plnenie zákonnej povinnosti (napríklad zdravotné a sociálne odvody) alebo oprávnený záujem (napríklad rôzne benefity, kontrolný mechanizmus). Spracúvanie osobných údajov musí byť spravodlivé, čo znamená, že údaje sa nesmú použiť spôsobom, ktorý by zamestnanec nemohol očakávať. Významnú úlohu zohráva najmä transparentnosť, keď je zamestnávateľ povinný informovať zamestnanca o všetkých aspektoch spracúvania osobných údajov vrátane účelu, právneho základu a doby uchovávania. Informácia o spracúvaní osobných údajov by mala byť v slovenskom jazyku, za predpokladu, že u zamestnávateľa nepracuje nejaká národnostná menšina, v takom prípade je zamestnávateľ povinný preložiť informáciu o spracúvaní osobných údajov do jazyku, ktorému zamestnanec rozumie. Tieto informácie o spracúvaní osobných údajov by mali byť písané jednoduchým jazykovým štýlom, tak aby tomu zamestnanci porozumeli.
• zásadu obmedzenia účelu podľa čl. 5 ods. 1 písm. b) GDPR, keď je zamestnávateľ povinný spracúvať osobné údaje zamestnancov len na špecifikované a legitímne účely. Z uvedeného vyplýva, že osobné údaje získané na jeden účel (napríklad na vedenie personálnej agendy) nemožno použiť na iný nesúvisiaci účel (napr. na marketingové aktivity). Zamestnávateľ je povinný zabezpečiť, aby sa osobné údaje spracúvali len v nevyhnutnom rozsahu, aký je stanovený pre daný účel.
• zásadu minimalizácie údajov podľa čl. 5 ods. 1 písm. c) GDPR, pri ktorej musí zamestnávateľ dbať na to, aby rozsah spracúvaných osobných údajov bol adekvátny, relevantný a obmedzený na nevyhnutný rozsah vo vzťahu k účelom, na ktoré sa spracúvajú. V aplikačnej praxi to znamená, že pri výbere uchádzačov o zamestnanie nemožno žiadať  osobné údaje nad rámec požiadaviek ustanovených Zákonníkom práce[2].
• zásadu správnosti podľa čl. 5 ods. 1 písm. d) GDPR, pri ktorej má zamestnávateľ povinnosť prijať také opatrenia na zabezpečenie správnosti a aktuálnosti osobných údajov zamestnancov. Osobné údaje, ktoré sú z hľadiska účelov spracúvania nepresné, sa musia bezodkladne vymazať alebo opraviť v interných systémoch u zamestnávateľa. V tomto kontexte možno poukázať, že zamestnanci majú povinnosť podľa § 81 písm. g) Zákonníka práce písomne oznamovať zamestnávateľovi bez zbytočného odkladu všetky zmeny, ktoré sa týkajú pracovného pomeru a súvisia s jeho osobou, najmä zmenu jeho mena, priezviska, trvalého pobytu alebo prechodného pobytu, adresy na doručovanie písomností, zdravotnej poisťovne, a ak sa so súhlasom zamestnanca poukazuje výplata na účet v banke alebo v pobočke zahraničnej banky, aj zmenu bankového spojenia.
• zásadu minimalizácie uchovávania podľa čl. 5 ods. 1 písm. e) GDPR, pričom v praxi prichádza k zamieňaniu tejto zásady so zásadou minimalizácie údajov. Osobné údaje zamestnancov možno uchovávať po dobu, ktorá je nevyhnutná na splnenie účelov. Po uplynutí tejto doby musia byť údaje bezpečne zlikvidované alebo anonymizované, za predpokladu, že nejde o údaje ktoré majú trvalý archivačný charakter. Zamestnávateľ je povinný rešpektovať lehoty ustanovené osobitnými právnymi predpismi, ako je napríklad podľa § 6 ods. 1 písm. n) zákona č. 124/2006 Z. z. o bezpečnosti a ochrane zdravia pri práci a o zmene a doplnení niektorých zákonov v z.n.p. viesť a uchovávať predpísanú dokumentáciu, záznamy a evidenciu súvisiacu s bezpečnosťou a ochranou zdravia pri práci päť rokov odo dňa, kedy bol v nich vykonaný posledný záznam, ak osobitný predpis neustanovuje inak.
• zásadu integrity a dôvernosti podľa čl. 5 ods. 1 písm. f) GDPR, z ktorej vyplýva, že zamestnávateľ je povinný prijať vhodné technické a organizačné opatrenia, aby zabezpečil ochranu osobných údajov pred neoprávneným alebo nezákonným spracúvaním, stratou, zničením alebo poškodením.
• zásadu zodpovednosti podľa čl. 5 ods. 2 GDPR, pri ktorej zamestnávateľ nesie plnú zodpovednosť za dodržiavanie všetkých uvedených zásad. Táto zásada ukladá prevádzkovateľovi povinnosť nielen dodržiavať GDPR, ale aj preukázať, že to aj v rámci svojho interného prostredia aj dodržiava. To znamená viesť kompletnú GDPR dokumentáciu, ako sú záznamy o spracovateľských činnostiach, interné smernice a vykonávať pravidelné školenia a interné audity na preverenie správnosti nastavených procesov.

 Zamestnávateľ pri spracúvaní osobných údajov je povinný vyhotoviť interné dokumenty, s ktorými musí svojich zamestnancov oboznámiť, aby ich riadne dodržiavali a postupovali podľa nich. Bez riadneho informovania zamestnancov nemožno očakávať, že budú vedieť, čo sa od nich očakáva. V tabuľke uvádzame povinnú dokumentáciu, ktorú musí zamestnávateľ vyhotoviť z hľadiska GDPR, ako aj Zákonníka práce.

Ďalej si rozoberieme praktické príklady rozhodovania dozorných orgánov ohľadom spracúvania osobných údajov zo strany prevádzkovateľa.

Rozhodnutie Španielskeho Úradu na ochranu osobných údajov[3]

Španielsky Úrad na ochranu osobných údajov (ďalej len „španielsky úrad“) sa zaoberal situáciou, ktorá sa týkala citlivých údajov zamestnancov. Španielsky úrad sa zameral na posúdenie údajného porušenia predpisov o ochrane osobných údajov zo strany spoločnosti, ktorá spracúvala osobné údaje v mene prevádzkovateľa.

Priebeh a zistenia prípadu

Mestská polícia nahlásila incident, pri ktorom boli na verejnom priestranstve vedľa prevádzkovateľovho vozidla, nájdené lekárske správy zamestnancov. Lekárske správy obsahovali citlivé informácie ohľadom údajov týkajúcich sa zdravia a zároveň boli neoprávnene sprístupnené.

Spoločnosť, ktorá sa dopustila incidentu nereagovala na žiadosti o poskytnutie informácie od španielskeho úradu a ani nepodala písomné vyjadrenie.

Porušenia GDPR

Španielsky úrad identifikoval tieto porušenia ochrany osobných údajov:

• porušenie čl. 32 GDPR – čo predstavuje, že daná spoločnosť nezaviedla primerané technické a organizačné opatrenia, aby sa zabezpečila dôveryhodnosť a integrita spracúvaných osobných údajov,
• porušenie čl. 33 GDPR – predmetná spoločnosť si nesplnila ani svoju zákonnú povinnosť oznámiť porušenie ochrany osobných údajov do 72 hodín od zistenia incidentu,
• porušenie čl. 34 GDPR – spoločnosť tento incident neoznámila dotknutým osobám, ktorých údaje boli dotknuté, a to aj napriek vysokému riziku pre ich práva a slobody.

Uložené sankcie / nápravné opatrenia

Napriek závažnosti a uvedeným porušeniam ochrany osobných údajov španielsky úrad uložil len pokarhanie. Na druhú stranu však nariadil spoločnosti, aby do jedného mesiaca od doručenia rozhodnutia prijala všetky potrebné a relevantné bezpečnostné opatrenia, aby zamedzila opakovaniu podobných incidentov a zároveň potvrdila zavedené postupy na oznámenia porušenia ochrany osobných údajov na dozorný orgán, ako aj dotknutým osobám.

Rozhodnutie Talianskeho úradu na ochranu osobných údajov[4]

V tomto prípade sa Taliansky úrad na ochranu osobných údajov (ďalej len „taliansky úrad“) zaoberal hodnotiacimi dotazníkmi zamestnancov, ktorí sa vrátili do práce po dovolenke. Podnet na prešetrenie dozornému orgánu podal príslušný odborový zväz, v ktorom spochybňovali zákonnosť takéhoto spracúvania.

Priebeh a zistenia prípadu

Zamestnávateľ požiadal zamestnancov, aby po návrate z dovolenky podstúpili rozhovory so svojimi nadriadenými. Cieľom tohto pohovoru bolo podporiť zamestnancov pri návrate na ich pracovisko a získať informácie o možných nedostatkoch pracovného prostredia s cieľom ich neskoršieho riešenia. Obsahom rozhovoru boli otázky smerované na informácie ohľadom dovolenky, či sa im zhoršil zdravotný stav a pod. Prevádzkovateľ uviedol, že účasť na rozhovore bola na dobrovoľnej báze.

Získané odpovede boli ručne prepísané a poskytnuté HR oddeleniu, ktoré ich posúdilo a malo zvážiť ďalšie kroky na riešenie akýchkoľvek problémov. Takéto rozhovory sa uchovávali maximálne desať rokov.

Porušenia GDPR

Taliansky úrad vyhodnotil predmetné spracúvanie osobných údajov a dospel k týmto záverom a porušeniam ochrany osobných údajov:

• neexistencia platného právneho základu v podobe súhlasu podľa čl. 6 a 9 GDPR, kedy taliansky úrad vylúčil súhlas ako platný právny základ, pretože vzťah zamestnávateľa (nadriadeného zamestnanca) a zamestnanca je vzťahom podriadenosti, čo bráni slobodnému udeleniu súhlasu. Navyše, spracúvanie citlivých údajov si vyžaduje osobitné podmienky, ktoré neboli splnené. Odvolávanie sa na alternatívne právne základy (zákonná povinnosť, oprávnený záujem) bolo zamietnuté, pretože prevádzkovateľ si musí určiť právny základ pred spracúvaním a nemôže ho dodatočne meniť alebo používať ako „zálohu“.
• porušenie zásady transparentnosti podľa čl. 5 ods. 1 písm. a) a čl. 13 GDPR – taliansky úrad počas preskúmania prípadu zistil, že informačná povinnosť neposkytovala dostatočné a konkrétne informácie o spracúvaní osobných údajov, ktoré boli získavané počas rozhovorov,
• porušenie zásady minimalizácie údajov podľa čl. 5 ods. 1 písm. c) GDPR – získavanie takého rozsahu osobných údajov v rámci rozhovoru sa považuje za neprimeraný a nepotrebný na splnenie zákonnej povinnosti – zabezpečenia zdravia zamestnancov, ba dokonca niektoré osobné údaje už boli  spracúvané na HR oddelení, čoho následkom bola duplicita takéhoto konania,
• porušenie zásady minimalizácie údajov podľa čl. 5 ods. 1 písm. e) GDPR, v ktorom bolo skonštatované, že lehota desať rokov je veľmi neprimeraná, prevádzkovateľ nevedel preukázať jasne interné pravidlá a zabezpečiť informovanosť u zamestnancov.

Zaujímavosťou je, že v tomto prípade súčasťou porušenia bolo aj poukázanie na talianske pracovné právo, ktoré umožňuje získavať len tie osobné údaje, ktoré sú relevantné na posúdenie spôsobilosti zamestnanca na prácu. Rozhovory zbierali aj informácie, ktoré neboli relevantné. Aj slovenské pracovné právo vo svojich základných zásada v Zákonníku práce uvádza, že zamestnávateľ má spracúvať len tie osobné údaje, ktoré potrebuje na náplne práce.

Uložené sankcie / nápravné opatrenia

Taliansky úrad udelil prevádzkovateľovi pokutu vo výške 50 000 eur, pričom prevádzkovateľovi nariadila vymazanie všetkých zozbieraných údajov so spomínaných rozhovorov.

Záver

Tento článok nemal zacieľ vymenovať všetky povinnosti, ktoré vyplývajú zamestnávateľovi z právnych predpisov, či už z hľadiska ochrany osobných údajov alebo z pracovného práva. GDPR by nemalo pre zamestnávateľov predstavovať len súbor pravidiel, ktoré musí dodržiavať, ale predovšetkým motivovať zamestnávateľov k zodpovednejšiemu prístupu k ochrane osobných údajov. Úspešná implementácia všetkých povinností zamestnávateľov bude predstavovať efektívny nástroj na ochranu svojich práv, ale aj práv zamestnancov.