Čo je ochrana osobných údajov?

Ochrana osobných údajov je súbor právnych, organizačných a technických pravidiel, ktorých cieľom je zákonné, spravodlivé a transparentné spracúvanie osobných údajov fyzických osôb. V HR praxi zahŕňa najmä údaje uchádzačov a zamestnancov – od životopisov a referencií cez mzdové a dochádzkové informácie až po hodnotenia výkonu či záznamy z prístupových systémov.

Podľa nariadenia GDPR (General Data Protection Regulation) sú osobné údaje akékoľvek informácie o identifikovanej alebo identifikovateľnej osobe. Kľúčové zásady sú: zákonnosť, účelové viazanie, minimalizácia údajov, presnosť, obmedzenie uchovávania, integrita a dôvernosť a zodpovednosť prevádzkovateľa.

Právny rámec: ochrana osobných údajov v HR

Hlavným predpisom je nariadenie (EÚ) 2016/679 – GDPR, najmä čl. 4 ods. 1 (definícia osobných údajov), čl. 6 (právne základy spracúvania), čl. 9 (osobitné kategórie údajov, napr. zdravie), čl. 13 – 14 (informačná povinnosť), čl. 30 (záznamy o spracovateľských činnostiach), čl. 32 (bezpečnosť spracúvania) a čl. 88 (spracúvanie v pracovnoprávnom kontexte). Úplné znenie: EUR-Lex.

Na Slovensku GDPR dopĺňa zákon č. 18/2018 Z. z. o ochrane osobných údajov, ktorý upravuje niektoré postupy, pôsobnosť dozorného orgánu a sankcie; znenie: Slov-Lex. Dohľad vykonáva Úrad na ochranu osobných údajov SR (dataprotection.gov.sk), ktorý publikuje metodiky pre zamestnávateľov.

V HR sa právny základ spracúvania typicky opiera o plnenie zmluvy (pracovná zmluva), zákonnú povinnosť (mzdová agenda), oprávnený záujem (napr. ochrana majetku pri prístupových logoch) a výnimočne súhlas (napr. dlhšie uchovanie životopisu po ukončení výberu). Súhlas v pracovnoprávnom vzťahu má byť používaný opatrne pre nerovnosť postavenia zamestnávateľa a zamestnanca.

• zásady spracúvania a dokumentované procesy
• jasné informačné doložky pre uchádzačov a zamestnancov
• záznamy o spracovateľských činnostiach
• primerané technické a organizačné opatrenia (šifrovanie, prístupové práva, školenia)
• definované retenčné lehoty a bezpečné likvidovanie údajov

Ako sa ochrana osobných údajov uplatňuje v IT a HR procesoch

V nábore zahŕňa správa životopisov a hodnotení v HR systémoch, oznamovanie informácií podľa čl. 13 GDPR a nastavenie retenčných lehôt pre neúspešných uchádzačov. V zamestnaneckom cykle ide o mzdové a dochádzkové systémy, lekárske prehliadky (osobitné kategórie údajov) a prístupové logy. Pri kamerových systémoch a monitoringu treba posúdiť primeranosť a informovať dotknuté osoby.

V IT prostredí sa ochrana osobných údajov opiera o bezpečnostné nastavenia nástrojov (HRIS – personálny informačný systém), segregáciu prístupov, auditné záznamy a šifrovanie. Pri režime BYOD (Bring Your Own Device) je kľúčová jasná interná politika, kontajnerizácia pracovných dát a možnosť vzdialeného vymazania. Pri vývoji softvéru sa uplatňuje princíp „privacy by design“ a „privacy by default“, teda začlenenie ochrany súkromia už do návrhu riešenia a predvolené nastavenia priaznivé pre súkromie.

Ochrana osobných údajov zamestnanca v praxi zahŕňa aj výber a dohľad nad spracovateľmi (napr. mzdová účtovná firma či náborová platforma), zmluvné krytie spracúvania, prenosy do tretích krajín a pravidelné školenia. Pri rizikových spracovaniach je vhodné posúdenie vplyvu na ochranu údajov (Data Protection Impact Assessment), najmä ak hrozí vysoké riziko pre práva a slobody osôb.

V súlade so zásadami minimalizácie a obmedzenia účelu by mali byť osobné údaje spracúvané len v rozsahu nevyhnutnom na dosiahnutie legitímneho cieľa. Transparentnosť podporuje zrozumiteľné vysvetlenie, aké osobné údaje sa zbierajú, na aké účely a ako dlho budú uchovávané.