Čo je GDPR (General Data Protection Regulation)?

GDPR (General Data Protection Regulation) je priamo uplatniteľné nariadenie Európskej únie o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. Platí od 25. mája 2018 a stanovuje práva osôb, ktorých údaje sa spracúvajú, a povinnosti organizácií ako prevádzkovateľov či sprostredkovateľov. GDPR je skratka, ktorú bežne používa prax; otázka „čo je GDPR“ sa najčastejšie spája s náborom, pracovnými zmluvami a systémami HR.

V bežnej komunikácii sa používa aj označenie GDPR zákon, hoci právne ide o nariadenie EÚ. Pomenovanie smernica GDPR je nepresné; správny termín je nariadenie EÚ, často zvané aj ako nariadenie GDPR.

Právny rámec a kľúčové princípy GDPR

GDPR je Nariadenie (EÚ) 2016/679. Základné zásady uvádza čl. 5; právne základy spracúvania čl. 6; informačné povinnosti čl. 13 – 14; záznamy o spracovateľských činnostiach čl. 30; bezpečnosť spracúvania čl. 32; oznamovanie porušenia ochrany údajov čl. 33 – 34. Úplné GDPR znenie je dostupné na EUR-Lex (https://eur-lex.europa.eu/eli/reg/2016/679/oj). Na Slovensku rámec dopĺňa zákon č. 18/2018 Z. z. o ochrane osobných údajov (https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2018/18/20180525).

Hlavné zásady spracúvania podľa čl. 5:

• zákonnosť, spravodlivosť a transparentnosť
• obmedzenie účelu
• minimalizácia údajov
• presnosť
• obmedzenie uchovávania
• integrita a dôvernosť
• zodpovednosť (dokazovanie súladu)

Najčastejšie právne základy v HR sú: plnenie zmluvy (pracovná zmluva), splnenie zákonnej povinnosti (mzdová a daňová agenda), oprávnený záujem (napr. základná ochrana majetku primeraným spôsobom) a výnimočne súhlas (napr. talent pool po ukončení výberu). Vnútorná GDPR dokumentácia má preukazovať súlad – typicky zásady ochrany súkromia, záznamy o spracúvaniach, posúdenia vplyvu, zmluvy so sprostredkovateľmi a bezpečnostné opatrenia.

GDPR v HR praxi a IT prostredí

V nábore a zamestnaneckom cykle sa spracúvajú najmä identifikačné a kontaktné údaje, údaje o kvalifikácii a výkone, prípadne citlivejšie údaje (napr. zdravotné potvrdenia, ak to vyžaduje zákon). Používanie systémov ATS (applicant tracking system – systém na správu kandidátov) a HRIS (human resources information system – personálny informačný systém) vyžaduje zmluvné krytie so sprostredkovateľmi, nastavené prenosy do tretích krajín a primerané technické a organizačné opatrenia.

V IT kontexte je dôležitá kybernetická bezpečnosť, riadenie prístupov, šifrovanie, pseudonymizácia a logovanie prístupov. Pri nových projektoch s vysokým rizikom pre súkromie sa uplatňuje DPIA (data protection impact assessment – posúdenie vplyvu na ochranu údajov). Pri režime BYOD (bring your own device – používanie vlastných zariadení) je nevyhnutná politika oddelenia pracovných a súkromných dát, správa mobilných zariadení a pravidelný tréning používateľov.

Práva osôb a povinnosti zamestnávateľa podľa GDPR

Dotknuté osoby majú práva na prístup k údajom, opravu, vymazanie, obmedzenie spracúvania, prenosnosť, námietku a práva súvisiace s automatizovaným rozhodovaním. Prevádzkovateľ má povinnosť konať transparentne, poskytovať informácie zrozumiteľným jazykom a bez zbytočného odkladu riešiť žiadosti.

Zamestnávateľ ako prevádzkovateľ zabezpečuje primerané bezpečnostné opatrenia (čl. 32), uzatvára spracovateľské zmluvy s dodávateľmi, školí personál, sleduje lehoty uchovávania a má ustanovenú rolu DPO (data protection officer – zodpovedná osoba) tam, kde to vyžaduje zákon. Dôležitá je zásada minimalizácie: zbierať a ukladať len to, čo je nevyhnutné pre účel, a pravidelne prehodnocovať potrebu údajov v systémoch HR a IT.