Ochrana osobných údajov

Od 1. januára 2026 by mal začať platiť nový zákon o ochrane osobných údajov, ktorý nahradí súčasný zákon č. 18/2018 Z. z. Dôvodom je potreba odstrániť aplikačné nedostatky a lepšie zosúladiť vnútroštátnu úpravu s GDPR. 

Cieľom tohto odborného článku je poukázať na doby uchovávania osobných údajov v personálnej agende, ktoré musia zamestnávatelia dodržiavať. Pri spracúvaní osobných údajov je dôležité dodržiavať zásady spracúvania osobných údajov vyplývajúce z čl. 5 nariadenia Európskeho parlamentu a Rady 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „nariadenie GDPR“), najmä zásadu minimalizácie uchovávania a minimalizáciu údajov v rámci personálnej agendy.

V dnešnej dobe je práca vykonávaná v nemanuálnych profesiách spojená najmä s prácou na počítači, a s tým súvisiacou e-mailovou komunikáciou cez pracovné e-mailové schránky, či už interne medzi zamestnancami a manažmentom, ako aj navonok s obchodnými partnermi a/alebo zákazníkmi.

Už pred uzatvorením pracovnej zmluvy majú budúci zmluvní partneri – zamestnávateľ a zamestnanec rôzne práva a povinnosti. Ide najmä o vzájomné informačné povinnosti, po splnení ktorých majú obe strany možnosť pracovnú zmluvu uzatvoriť, alebo naopak, ju neuzatvoriť a nevstúpiť do zmluvného vzťahu.

Neustály priemyselný vývoj spoločnosti má za následok čoraz častejšie korporátne zmeny podnikov. V mnohých prípadoch sú spoločnosti nútené reagovať na potreby trhu i vlastnú ekonomickú situáciu práve tým, že prevádzajú niektoré zložky svojho podnikania alebo prevádzajú podnik ako celok, či „len“ delegujú vybrané činnosti podniku na iný podnik a pod. Situácie, v rámci ktorých dochádza k prevodom zamestnávateľa, či jeho hospodárskej jednotky majú vlastnú právnu reguláciu (§ 27 a nasl. zákona č. 311/2001 Z. z. Zákonníka práce v znení neskorších predpisov, ďalej len ZP).

Počas trvania pracovného pomeru zamestnávateľ disponuje množstvom osobných údajov zamestnanca. Po skončení pracovného pomeru právny vzťah zamestnanca a zamestnávateľa zaniká, v databázach a informačných systémoch zamestnávateľa však množstvo osobných údajov zamestnanca ostáva. Predkladaný príspevok sa zameriava na právo zamestnanca byť u svojho bývalého zamestnávateľa zabudnutý vo vzťahu k používaniu informačných technológií, konkrétne e­mailovej adresy a obsahu e­mailového konta. Prís­pevok dáva odpovede na najčastejšie kladené otázky, t.j. či je zamestnávateľ povinný zrušiť pracovný e­mail zamestnanca po skončení pracovného pomeru a či dochádza k porušeniu ochrany osobných údajov, ak zamestnávateľ nezruší pracovný e­mail bývalého zamestnanca. Príspevok tiež vysvetľuje, ako sa môže bývalý zamestnanec domáhať porušenia ochrany osobných údajov v prípade, že zamestnávateľ nezruší jeho pracovnú e­mailovú adresu po skončení pracovného pomeru.

Právo zamestnávateľa na informácie o zamestnancovi verzus právo zamestnanca na ochranu súkromia. Ide o večnú dilemu o tom, kde začína právo jedného a končí právo toho druhého. Príspevok objasní, ako je to pri tzv. background check-u a čo uvedený pojem predstavuje v medziach pracovnoprávnych vzťahov.

Prezentácia sa venuje spracúvaniu osobných údajov osobitnej kategórie. Hlavná prezentácia je zameraná na: zdravotný stav ako osobitná kategória osobných údajov, aktuálne problémy primeranosti spracúvania osobných údajov počas mimoriadnej situácie. Diskusia k otázkam: Náhodné získavanie osobných údajov z hľadiska zamestnávateľa (napr. dotazníky, tlačivá) Pravidlá informačnej bezpečnosti, napr. spôsob posielania citlivých informácií elektronicky Možno informáciu o pozitívnom teste zamestnanca na koronavírus spracúvať? Čo predstavuje z hľadiska GDPR zlučiteľnosť účelov? Zisťovanie/preverovanie účasti zamestnanca u lekára Oprávnenosť spracúvania údajov o mieste dovolenky Komunikácia s lekárom Zamestnanec je na PN, no prispieva počas PN-ky na sociálne siete – možno jeho aktivitu na sociálnych sieťach považovať za porušenie liečebného režimu? Ako môže zamestnávateľ zamedziť rizikovej osobe vstup na pracovisko, ak sa nemôže pýtať na miesto pobytu na dovolenke? Zamestnávateľ umožňuje dobrovoľné testovanie zamestnancov na covid-19, môže údaje o pozitivite a negativite zamestnanca spracúvať a akým spôsobom? Čestné prehlásenie zamestnanca Môže zamestnávateľ požadovať od zamestnanca testovanie na covid-19 v prípade stretnutia s pozitívne testovaným zamestnancom?  Prezentujúci: Mgr. Tatiana Valentová Diskusiu moderuje: doc. JUDr. Marek Švec, PhD., LL.M.

Európsky výbor pre ochranu údajov prijal nové usmernenie o spracúvaní osobných údajov prostredníctvom kamerových zariadení. Usmernenie sprísňuje zaužívané postupy a detailnejšie popisuje spôsob správneho prevádzkovania kamerových systémov.  Právna úprava platí pre prevádzkovateľov, ktorí zhromažďujú a uchovávajú záznamy o osobách, ktoré vstupujú do monitorovaného priestoru a sú identifikovateľné. Ak osoby nie je možné identifikovať, monitorovanie nepodlieha právnej úprave GDPR.  V článku prinášame zhrnutie najpodstatnejších pravidiel týkajúcich sa informačnej povinnosti prevádzkovateľa a doby uchovávania kamerových záznamov. Plnenie informačnej povinnosti  Prevádzkovatelia kamerových systémov musia poskytnúť monitorovaným osobám informácie o spracúvaní ich osobných údajov (OÚ). Rozsah poskytovaných údajov je pomerne široký, preto viaceré predpisy EÚ odporúčajú zaviesť prevádzkovateľom tzv. viacvrstvový prístup. Prevádzkovateľ tak poskytuje povinné informácie vo viacerých fázach. Najdôležitejšie informácie by mali byť uvedené už na samotnom výstražnom označení – piktograme (tzv. prvá vrstva) a ďalšie informácie je vhodné poskytnúť inými prostriedkami, napr. na webovej stránke (tzv. druhá vrstva). Prvá vrstva Prostredníctvom prvej vrstvy informácií sa dotknutá osoba prvý krát dozvedá, že ju monitorujú. Preto je na informovanie vhodné použiť výstražné označenie s obrázkom kamery, ktorá upúta pozornosť dotknutej osoby. Tu však oznamovacia povinnosť prevádzkovateľa ani zďaleka nekončí. Preto nestačí vyvesiť v monitorovaných priestoroch len piktogram kamery s nápisom „priestor je monitorovaný kamerovým systémom“ (ako to veľa prevádzkovateľov stále robí). V monitorovaných priestoroch už nestačí vyvesiť len piktogram kamery s výstražným nápisom.

Dňa 25. 5. 2018 nadobudlo účinnosť Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. 4. 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len „nariadenie GDPR“).

Po potvrdení ochorenia COVID-19 aj na území Slovenskej republiky bolo prijatých množstvo opatrení, ktoré zasahujú nielen do pracovnoprávnych vzťahov. Jedným z týchto opatrení je aj ochrana zamestnancov pred šírením nákazy na pracovisku a s tým spojená ochrana verejného zdravia.

Po potvrdení ochorenia COVID-19 aj na území Slovenskej republiky bolo prijatých množstvo opatrení, ktoré zasahujú nielen do pracovnoprávnych vzťahov. Jedným z týchto opatrení je aj ochrana zamestnancov pred šírením nákazy na pracovisku a s tým spojená ochrana verejného zdravia.

Aké dokumenty (... súhlasy = napr. o spracovaní osobných údajov; alebo vyhlásenia = napr. o mlčanlivosti ... a iné) je potrebné vytvoriť / prijať pre novozvolených poslancov obecného zastupiteľstva a starostu. Napr.: Má sa pre zvolených poslancov spracovať súhlas so spracovaním osobných údajov?

1. Je možné s ohľadom na GDPR uverejňovať fotografie hrobových miest na našom virtuálnom cintoríne?  2. Na našej webovej stránke v spoločenskej rubrike uverejňujeme tohtoročných jubilantov v tvare MENO, PRIEZVISKO a MESIAC jubilea. Je možné v takomto tvare zverejňovanie s ohľadom na platnú GDPR?

Ako živnostník mám menší internetový obchod – eshop, pričom licenciu k webovému rozhraniu mám od českej spoločnosti. Nezamestnávam žiadnych zamestnancov. Podľa VOP pre použitie služby uvedenej spoločnosti „Poskytovatel prohlašuje, že postupuje v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, tzn. chrání osobní data objednatele před zneužitím a nikdy je neposkytuje 3. straně. Osobní data mohou být využita pouze poskytovatelem a to pro účely řádného fungování služby, přímé komunikace s objednatelem a pro statistického potřeby poskytovatele.“ Mám v tomto prípade povinnosť registrácie informačného systému osobných údajov alebo iné povinnosti v zmysle zákona o ochrane osobných údajov?

Vedeli by ste mi, prosím, vysvetliť ako má podnikateľ postupovať pri dodržaní zákona o ochrane osobných údajov, má sa registrovať, ked si vedie sám účtovníctvo a mzdovú evidenciu pre jedného zamestnanca? Registrovať informačný systém - to je účtovný program ? Máme účtovný program na JÚ a mzdy.

V maloobchodnej predajni spracúvame osobné údaje zákazníkov na účely uzatvárania zmlúv Quatro - predaj tovaru na splátky. Sme povinní registrovať takýto druh spracovania osobných údajov? Podlieha tento druh spracovania údajov registrácii informačného systému?

Našu ambulanciu navštevujú pacienti, ktorí podpísali Dohodu o zdravotnej starostlivosti, alebo ešte len majú v záujme zmeniť doterajšieho všeobecného lekára pre dospelých, ale aj takí, ktorí prídu len na jednorazové vyšetrenie. Na základe uvedeného by sme sa chceli poradiť ohľadom nasledovných problémov: Môžeme odmietnuť vyšetriť ,,nekapitovaného“  pacienta, ktorý sa dožaduje vyšetrenia a odmieta podpísať súhlas  so spracovaním svojich osobných  údajov  do databázy nemocničného informačného systému? Môžeme odmietnuť vyšetriť ,,nekapitovaného“  pacienta, ktorý odmietne podpísať informovaný súhlas? Je rozdiel v postupe, ak je pacient ,, kapitovaný“  a odmietne podpísať informovaný súhlas? Informovaný súhlas má byť podpísaný  pred vyšetrením alebo až po ňom?

Ako postupovať v prípade, ak pacient, ktorý prišiel iba na preventívnu prehliadku s laboratórnymi výsledkami, následne však nepríde pre hotový nález, nedvíha telefón a nie je ho možné kontaktovať, prípadne si vedome nechce prevziať nález a zatajuje sa? Ak je nález vážny a je nutné ho liečiť, akú ma lekár ďalšiu povinnosť, koho by mal kontaktovať, prípadne, aký je ďalší správny postup? Je nutné   v rámci ochrany osobných údajov vyžadovať súhlas pacienta na spracovanie jeho údajov v databáze nemocničného informačného systému? Z povahy práce poskytovateľa zdravotnej starostlivosti to vraj nevyplýva, ale poskytujeme predsa údaje poisťovniam ako tretej osobe a viacero životných poisťovní vyžaduje vypracovanie  a odosielanie nálezov pre plnenie poistení s tým, že im vraj klient dal splnomocnenie, no my sme ho nikdy nevideli a pod.  

Vykonávam povolanie lekára. Zamestnávateľ (fakultná nemocnica) si pre kontrolu dochádzky a pohybu osôb na pracovisku žiada odtlačok mojej ruky - prstov. Má právo zamestnávateľ žiadať moje biometrické údaje? Akým kontrolným mechanizmom mi vie zaručiť, že tieto údaje nebudú zneužité, resp. aj po rozviazaní pracovného pomeru použité ďalej? Existuje nejaká právna úprava, ktorá mi umožňuje požiadať  zamestnávateľa o napr. čipovú kartu (bez odtlačkov prstov?)