Čo je GDPR (General Data Protection Regulation – ochrana osobných údajov)?

GDPR (General Data Protection Regulation), v slovenčine známe ako ochrana osobných údajov, je všeobecné nariadenie Európskej únie o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. Platí od 25. mája 2018 vo všetkých členských štátoch EÚ a priamo sa uplatňuje aj na Slovensku.

V praxi GDPR určuje, aké údaje o zamestnancoch, uchádzačoch a ďalších osobách môže organizácia zbierať, na aký účel, ako dlho ich môže uchovávať, komu ich môže posielať a aké technické a organizačné opatrenia musí prijať na ich ochranu. Upravuje aj práva dotknutých osôb – napríklad právo na prístup k údajom, ich opravu alebo výmaz.

Právny základ GDPR je nariadenie (EÚ) 2016/679 a na Slovensku sa dopĺňa najmä zákonom č. 18/2018 Z. z. o ochrane osobných údajov. Otázka „gdpr čo je“ tak v slovenskom prostredí znamená pochopiť kombináciu európskej a národnej úpravy, ktorá sa dotýka každého zamestnávateľa.

Aký význam má GDPR pre organizáciu?

GDPR pre organizáciu predstavuje povinnosť správať sa k osobným údajom zodpovedne a preukázateľne. To sa týka najmä personálnych údajov, miezd, hodnotiacich formulárov, dát z náborových systémov či interných komunikačných nástrojov.

Správne nastavené GDPR znižuje riziko únikov dát, pokút od dozorného orgánu a súdnych sporov so zamestnancami alebo kandidátmi. Zároveň pomáha budovať dôveru – ak organizácia zrozumiteľne vysvetlí, aké údaje zbiera a prečo, ľudia sa cítia bezpečnejšie a otvorenejšie spolupracujú.

V HR procesoch GDPR ovplyvňuje napríklad podobu pracovných zmlúv, informačných doložiek, súhlasov so spracovaním údajov, pravidlá používania pracovného e‑mailu či monitorovania pracoviska. V kontexte „gdpr slovensko“ ide aj o komunikáciu s Úradom na ochranu osobných údajov v prípadoch podnetov, kontrol alebo hlásenia bezpečnostných incidentov.

Čo GDPR znamená pre IT prax?

V IT prostredí sa GDPR premieta do toho, ako sú navrhnuté a prevádzkované systémy, ktoré spracujú osobné údaje – napríklad HR systémy, mzdové programy, náborové platformy či interné portály. GDPR vyžaduje, aby už pri návrhu systému boli zabudované princípy ochrany súkromia (tzv. „privacy by design“), napríklad minimálny rozsah zbieraných údajov alebo prísne prístupové práva.

IT tímy musia zabezpečiť šifrovanie citlivých údajov, bezpečné zálohovanie, logovanie prístupov a pravidelné testovanie bezpečnosti. Dôležitá je aj správa používateľských účtov, nastavenie rôznych úrovní oprávnení a pravidelné odoberanie prístupov ľuďom, ktorí už údaje nepotrebujú (napr. odchádzajúci zamestnanci).

Ak IT riešenie využíva cloud alebo externých dodávateľov, GDPR vyžaduje zmluvné ošetrenie postavenia sprostredkovateľa osobných údajov. Patria sem aj špecializované HR nástroje, ako sú ATS (nástroje na riadenie náboru) alebo HRIS (informačné systémy pre HR), ktoré musia spĺňať požiadavky ochrany osobných údajov pri spracovaní dát kandidátov a zamestnancov.

Čo GDPR znamená v praxi?

V každodennej praxi GDPR znamená, že údaje o zamestnancoch a uchádzačoch nemožno zbierať „pre istotu“, ale vždy len na jasne určený účel a v nevyhnutnom rozsahu. Personalista napríklad nemôže vyžadovať citlivé informácie, ktoré nesúvisia s pracovným miestom, alebo ich uchovávať dlhšie, než je potrebné.

GDPR tiež posilňuje pozíciu zamestnancov a uchádzačov, pretože im dáva právo pýtať sa, aké údaje o nich organizácia eviduje, žiadať ich opravu alebo výmaz, prípadne obmedziť ich spracúvanie. Organizácia musí vedieť tieto požiadavky vybaviť v zákonných lehotách a transparentne vysvetliť, ktoré údaje môže alebo musí naďalej uchovávať.

Vo firmách sa často zavádza zodpovedná osoba pre ochranu osobných údajov (tzv. DPO – osoba poverená dohľadom nad dodržiavaním GDPR), interné smernice, školenia a pravidelná kontrola dodržiavania pravidiel. V citlivejších prípadoch, napríklad pri rozsiahlej biometrickej kontrole prístupu, sa vyžaduje aj posúdenie vplyvu na ochranu údajov (DPIA – analýza rizík spracúvania osobných údajov).

Príklady z praxe

• Pri nábore firma v inzerciach a formulároch jasne uvádza, na aký účel spracúva životopisy a motivačné listy, ako dlho ich uchová a komu ich môže poskytnúť (napríklad manažérovi budúceho tímu).
• Pri monitorovaní priestorov kamerovým systémom organizácia označí monitorované priestory, spracuje vnútorné pravidlá, obmedzí prístup k záznamom a stanoví dobu ich uchovávania v súlade s GDPR.
• V HR systéme sú prístupové práva nastavené tak, že mzdové údaje vidí len mzdové oddelenie, manažéri majú prístup len k nevyhnutným informáciám o svojich ľuďoch a IT pravidelne kontroluje, či neexistujú neaktívne účty.
• Pri spolupráci s externou agentúrou práce organizácia uzatvára zmluvu o spracúvaní osobných údajov, v ktorej presne popíše, aké údaje agentúra spracúva, na aký účel a akými opatreniami ich chráni.
• V prípade bezpečnostného incidentu, napríklad straty notebooku s osobnými údajmi, firma má pripravený postup, ako incident analyzovať, zdokumentovať a podľa potreby nahlásiť dozornému orgánu a dotknutým osobám.