Otázky a odpovede zo školenia k ochrane osobných údajov

Prinášame vám výber otázok a odpovedí zo školenia k ochrane osobných údajov, ktoré sa konalo 17. októbra 2017 v Trenčíne.  Na najbližšie školenie o zaužívaných, ale najmä o nových postupoch v spracúvaní osobných údajov môžete prísť  7. novembra do Trenčína.

Bude „po novom“ platný súhlas, ktorý používame v pracovných zmluvách?

Súhlas, ktorý bol udelený pre účinnosť nového nariadenia (GDPR), to znamená pred 25. májom 2018, bude považovaný za udelený v súlade s novým nariadením len v tom prípade, ak bol udelený v súlade so zákonom č. 122/2013 Z. z. Okrem iného to znamená, že:

  1. bol súhlas správne zvoleným právnym základom pre spracúvanie osobných údajov
  2. a dotknutá osoba bola dostatočne informovaná o tom, ako budú jej osobné údaje spracúvané.

K oprávneniu na spracúvanie osobných údajov zamestnanca zamestnávateľom z dôvodu pracovnoprávnych vzťahov ale súhlas potrebný nie je. Aj keď formulácia „nie je potrebný“ vyvoláva dojem akejsi možnosti pre jeho použitie. V kontexte pracovných zmlúv je však využitie súhlasu ako právneho základu pre získavanie a ďalšie spracúvanie osobných údajov zamestnanca v rozpore so zákonom č. 122/2013 Z. z., a preto jeho použite nebude v súlade ani s postupmi vyžadovanými po 25.máji 2018.

Právnym základom pre spracúvanie osobných údajov zamestnanca je v tomto prípade súbor osobitných zákonov (Zákonník práce, Zákon o sociálnom poistení, Zákon o zdravotnom poistení a pod.). Preto je použitie súhlasu so spracúvaním osobných údajov v pracovných zmluvách v rozpore so zákonom o ochrane osobných údajov.

Ako dlho máme uchovávať súhlasy zamestnancov s kopírovaním ich občianskych preukazov, ktoré nám udelia pri uzatváraní pracovných zmlúv?

Kopírovaniu úradných dokladov – ako jednému zo spôsobov získavania osobných údajov sa venuje zákon o ochrane osobných údajov v § 15. Všeobecne je ku kopírovaniu úradných dokladov nevyhnutný písomný súhlas dotknutej osoby alebo opora v osobitnom zákone, ktorý by bol právnym základom pre získanie osobných údajov  v takejto forme.  V § 15 však nachádzame ešte jednu výnimku, kedy je kopírovanie úradného dokladu možné vykonať bez súhlasu dotknutej osoby, a to v prípade, keď ide o získavanie osobných údajov na účely uzatvorenia pracovnoprávneho alebo obdobného vzťahu. To znamená, že z dôvodu zabezpečenia správnosti získaných osobných údajov zamestnanca (po novom budeme hovoriť o zásade presnosti) postupujeme bez jeho súhlasu. To ale neznamená, že  vyhotovené kópie je možné uchovávať počas celej doby trvania pracovného alebo obdobného vzťahu zamestnanca. Zamestnávateľ môže kópie uchovávať len počas nevyhnutnej doby. V opačnom prípade by porušoval zásadu minimalizácie uchovávania.

Čo s dokumentáciou, ktorá bola vypracovaná podľa zákona č. 122/2013 Z. z.?  Naozaj ju hodiť len do koša?

Určite nie. A to z nasledujúcich dôvodov:

Dokumentácia je obrazom prijatých bezpečnostných opatrení (technického a organizačného charakteru), ktorou prevádzkovateľ alebo sprostredkovateľ preukazuje, ako chráni spracúvané osobné údaje. Preukazuje ňou súlad s platným zákonom o ochrane osobných údajov.

V niektorých organizáciách sú bezpečnostné politiky už v dnešnej dobe nastavené tak prísne, že v mnohých ohľadoch sú na spracúvanie osobných údajov v zmysle nového nariadenie takmer pripravené. Prijaté bezpečnostné opatrenia majú samozrejme zdokumentované, poučili pracovníkov, udržujú bezpečnostné povedomie a úroveň zabezpečenia. Implementáciu nového nariadenia vykonajú len doplnením niektorých procesov spracúvania osobných údajov a aktualizáciou niektorých častí dokumentov.

Nové nariadenie nevyžaduje, aby prevádzkovateľ alebo sprostredkovateľ „nanovo“ zdokumentoval prijaté bezpečnostné opatrenia. Organizácia musí ale vedieť preukázať súlad s nariadením. Ak už v dnešnej dobe využíva dostatočné bezpečnostné prvky, nie je dôvod, aby vynakladala ďalšie finančné prostriedky na spracovanie novej dokumentácie.

Vezmime si len samotný bezpečnostný projekt. Jednou z jeho častí je analýza rizík, ktorou sú v organizácii odhalené nedostatky v spracúvaní osobných údajov a navrhnuté riešenia, ako procesy spracúvania osobných údajov upraviť, aby boli v súlade s legislatívou. Organizácia novým nariadením nemá zakázané týmto spôsobom zvyšovať úroveň bezpečnosti vo svojich podmienkach. Naopak, nariadenie je priam založené na vyhodnocovaní rizík na strane prevádzkovateľa, ako aj na strane dotknutej osoby. A ako inak odhaliť nedostatok, slabinu v systéme spracúvania alebo dopad pre dotknutú osobu, keď nevykonávame dôkladnú analýzu toho, ako osobné údaje spracúvame? Samozrejme, metodiku na vykonanie analýzy si môže organizácia zvoliť vlastnú, hlavne s ohľadom na veľkosť organizácie, kategóriu spracúvaných osobných údajov atď.

Áno, zmena legislatívy je dôvodom pre aktualizáciu dokumentácie. Rozhodne však nie je dôvodom pre jej skartáciu, ktorá by znamenala viac ako krok späť.

Tu uvediem jednoduchý príklad. Už dnes, podľa zákona č. 122/2013 Z. z. je vyžadované riadenie bezpečnostných incidentov. Okrem iného, firma by mala zdokumentovať jeho priebeh aj z toho dôvodu, aby sa v budúcnosti takýmto incidentom vyhla, aby sa z neho poučila. Má teraz tieto dôkazy a pre firmu veľmi dôležité informácie likvidovať lebo dochádza k zmene legislatívy? Určite nie.

Budú sa aj po novom oznamovať informačné systémy úradu?

Nie, povinnosť oznamovať informačný systému úradu už nebude. Čiastočne túto povinnosť nahrádza nová povinnosť viesť tzv. zoznam spracovateľských operácií. Táto nová povinnosť sa bude týkať nie len prevádzkovateľov informačných systémov, ale aj sprostredkovateľov. Zoznam spracovateľských operácií sa bude na požiadanie sprístupňovať Úradu na ochranu osobných údajov SR.

Ako dlho môžeme uchovávať údaje uchádzačov o zamestnanie?

Osobné údaje uchádzačov o zamestnanie sú vo firmách spracúvané v zmysle týchto dvoch právnych základov:

§  Na zavedenie predzmluvných a zmluvných vzťahov, a to v prípade, keď uchádzač reaguje na konkrétnu pracovnú pozíciu

§  Na základe súhlasu so spracúvaním osobných údajov uchádzača, a to v prípade, keď uchádzač nereaguje na konkrétnu pracovnú pozíciu – prevádzkovateľ si tvorí všeobecnú databázu uchádzačov o zamestnanie.

V prvom prípade, prevádzkovateľ likviduje osobné údaje uchádzača po ukončení výberového konania. V druhom prípade spracúva osobné údaje počas stanovenej doby trvania platnosti súhlasu (napríklad 1 rok). Počas tejto doby je však prevádzkovateľ povinný zabezpečiť aktualizáciu uchovávaných údajov, a to napríklad aktívnou komunikáciu s uchádzačom o zamestnanie.

V dochádzkovom systéme spracúvame fotografie našich zamestnancov. Potrebujeme k tomu ich súhlas?

V súčasnosti je zaužívanou praxou, že fotografie zamestnancov sú za účelom efektívneho vedenia dochádzky spracúvané na základe súhlasu zamestnanca.

Nové nariadenie však zvyšuje nároky na dodržiavanie základných atribútov udeleného súhlasu so spracúvaním, ktorými sú najmä: sloboda, konkrétnosť, informovanosť a jednoznačnosť. A práve sloboda resp. to, že súhlas musí byť prejavom vôle, ktorý jej slobodný nemusí byť v tomto prípade zabezpečený vzhľadom na nerovnováhu, ktorá je medzi prevádzkovateľom (zamestnávateľom) a dotknutou osobu (zamestnancom).

Odporúča sa preto preveriť, či sa zamestnanec môže skutočne dobrovoľne a slobodne rozhodnúť. Napríklad, či zamestnávateľ ponúka aj inú alternatívu pre zamestnanca v prípade, ak mu súhlas neudelí (využiť iný spôsob evidencie dochádzky bez toho, aby bola spracúvaná fotografia zamestnanca, napríklad pracovníkom recepcie, ktorý zamestnanca identifikuje).

Druhou možnosťou je zvoliť iný právny základ pre spracúvanie osobných údajov. Tým môže byť § 10 ods. 3 písm. g) zákona o ochrane osobných údajov. Prípadne podľa nového nariadenia – právny základ „oprávnený záujem“.

Môžeme kopírovať občianku, keď vyhotovujeme zmluvu s klientom? Alebo potrebujeme k tomu jeho súhlas?

Bez súhlasu je možné vyhotoviť kópiu úradného dokladu len vtedy, ak by existoval osobitný zákon, ktorý by to prevádzkovateľovi v rámci jeho činnosti umožňoval. Ak takýto osobitný zákon nie je, potom je písomný súhlas potrebný. Odporúča sa však zvážiť nevyhnutnosť rozsahu takto získaných osobných údajov. Či je napríklad skutočne nevyhnutné získavať aj fotografiu, ktorá sa na vyhotovenej kópii nachádza. V opačnom prípade totiž dochádza k porušeniu zásady minimalizácie údajov.

Keď prostredníctvom intranetu spracúvame fotografie zamestnancov, potrebujeme k tomu ich samostatný súhlas? Fotografie tam nie sú povinné, zamestnanci majú len možnosť si svoju fotografiu nahrať do systému.

Nie, v tomto prípade nie je potrebný samostatný súhlas k spracúvaniu fotografie.  Súhlas zamestnanca so spracúvaním jeho fotografie bol vyjadrený jeho konaním, a to tak, že svoju fotografiu do systému sám nahral. Je však dôležité zabezpečiť, aby bol zamestnanec v plnom rozsahu informovaný o tom, ako budú jeho osobné údaje prostredníctvom intranetovej siete spracúvané.

Môžeme v rámci organizačnej štruktúry, ktorú máme zverejnenú na firemnom webe uvádzať aj osobné číslo zamestnanca?  Je vôbec osobné číslo považované za osobný údaj?

Osobné číslo zamestnanca považujeme za osobný údaj. Je to z toho dôvodu, že konkrétny zamestnanec je identifikovateľný. To znamená, že existuje niekto (napríklad iný zamestnanec), kto ho dokáže len na základe osobného čísla označiť. Ak prevádzkovateľ zváži, že je nevyhnutné, aby osobné číslo bolo súčasťou zverejnenej organizačnej štruktúry v súvislosti s plnením pracovných povinností dotknutej osoby – zamestnanca, pričom rozsah takto spracúvaných osobných údajov nebude presahovať vymedzenie uvedené v § 12 ods. 3 zákona o ochrane osobných údajov, potom je možné osobné údaje spracúvať bez súhlasu zamestnanca.

Bude nutné aj po novom konkrétne určovať dobu platnosti spracúvaných osobných údajov z dôvodu zasielania ponúk e-mailom?

Nie, nariadenie neurčuje, aby súhlas obsahoval presnú informáciu o dobe jeho platnosti.  V rámci povinného informovania dotknutej osoby sa však odporúča, aby jej bolo oznámené ako dlho budú jej osobné údaje uchovávané. Ak to nie je možné dopredu určiť, potom uviesť informáciu o kritériách jej určenia.  (Napríklad v pätičke každej e-mailovej správy uviesť, že súhlas je možné kedykoľvek odvolať kliknutím na odkaz).

2018-12-02T19:32:20+00:00