Čo je GDPR?

GDPR (General Data Protection Regulation) je nariadenie Európskej únie, ktoré od mája 2018 jednotne upravuje ochranu osobných údajov fyzických osôb v celej EÚ. Toto nariadenie stanovuje pravidlá pre spracúvanie osobných údajov a definuje práva dotknutých osôb, teda tých, ktorých údaje sa spracúvajú.

Právny rámec GDPR na Slovensku

Nariadenie GDPR je priamo uplatniteľné vo všetkých členských štátoch EÚ vrátane Slovenska. Na národnej úrovni ho dopĺňa zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý upravuje špecifické podmienky platné pre slovenské prostredie. Dozorným orgánom je Úrad na ochranu osobných údajov Slovenskej republiky, ktorý kontroluje dodržiavanie pravidiel a rieši podnety dotknutých osôb.

Pojem „smernica GDPR“ sa v bežnej komunikácii niekedy nesprávne používa ako synonymum. Z právneho hľadiska ide o nariadenie, nie smernicu – nariadenie je záväzné priamo, zatiaľ čo smernica vyžaduje transpozíciu do národného práva.

GDPR v pracovnoprávnych vzťahoch

V oblasti ľudských zdrojov sa GDPR dotýka prakticky všetkých procesov, pri ktorých dochádza k spracúvaniu osobných údajov zamestnancov alebo uchádzačov o prácu.

Typické situácie zahŕňajú:

• Nábor a výberové konania – uchovávanie životopisov, poznámky z pohovorov
• Personálna agenda – pracovné zmluvy, mzdové údaje, hodnotenia výkonu
• Dochádzka a prístupové systémy – evidencia pracovného času
• Interná komunikácia – firemné e-maily, komunikačné platformy
• Ukončenie pracovného pomeru – archivácia dokumentácie

Aktuálne znenie GDPR ustanovuje niekoľko zásad spracúvania údajov: zákonnosť, spravodlivosť, transparentnosť, obmedzenie účelu, minimalizácia údajov, správnosť, obmedzenie uchovávania, integrita a dôvernosť.

GDPR dokumentácia a povinnosti

Organizácie spracúvajúce osobné údaje musia viesť príslušnú GDPR dokumentáciu. Medzi základné dokumenty patrí záznam o spracovateľských činnostiach, ktorý obsahuje prehľad všetkých účelov a typov spracúvaných údajov. Ďalej ide o informačné povinnosti voči dotknutým osobám, interné smernice o ochrane údajov a v relevantných prípadoch aj posúdenie vplyvu na ochranu údajov.

Pri niektorých typoch spracúvania je potrebné ustanoviť zodpovednú osobu (Data Protection Officer), ktorá dohliada na súlad s nariadením.

Práva zamestnancov podľa GDPR

Zamestnanci ako dotknuté osoby majú podľa nariadenia GDPR viaceré práva. Patrí medzi ne právo na prístup k vlastným údajom, právo na opravu nesprávnych údajov, právo na výmaz za určitých podmienok, právo na obmedzenie spracúvania a právo na prenosnosť údajov. Uplatnenie týchto práv má svoje zákonné obmedzenia, najmä ak ide o údaje potrebné na plnenie zákonných povinností zamestnávateľa.

GDPR v kontexte IT

V IT prostredí má nariadenie GDPR špecifický význam vzhľadom na charakter práce s dátami. IT oddelenia často zabezpečujú technické opatrenia na ochranu údajov – šifrovanie, prístupové práva, zálohovanie či bezpečnostné audity. Developeri pracujúci na aplikáciách spracúvajúcich osobné údaje musia zohľadňovať princípy privacy by design a privacy by default už vo fáze návrhu.

Zdroje a odkazy

Použité zdroje:

• EUR-Lex – Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR): https://eur-lex.europa.eu/legal-content/SK/TXT/?uri=CELEX:32016R0679
• Slov-Lex – Zákon č. 18/2018 Z. z. o ochrane osobných údajov: https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/18/

Odporúčané zdroje:

• Úrad na ochranu osobných údajov Slovenskej republiky: https://dataprotection.gov.sk