GDPR (General Data Protection Regulation) je nové nariadenie EÚ o ochrane osobných údajov, ktoré na konci mája 2018 začne platiť na území celej Európskej únie vrátane Islandu, Nórska a Lichtenštajnska.

Toto nariadenie postupne vytvára zamestnávateľom nejednu vrásku na čele, pretože im prinesie viacero relatívne zložitých povinností voči osobám (v tomto kontexte zamestnancom), o ktorých vedú a spracovávajú ich osobné údaje.

 

GDPR všeobecne

GDPR (General Data Protection Regulation) je Všeobecné nariadenie Európskeho parlamentu a rady (EÚ) o ochrane osobných údajov fyzických osôb pri spracovávaní osobných údajov. Toto nariadenie ruší a zároveň nahrádza doterajší zákon o ochrane osobných údajov (122/2013 Z.z.)

GDPR nariadenie sa týka každého, kto akýmkoľvek spôsobom spracováva alebo zhromažďuje osobné údaje fyzických osôb.

GDPR nadobúda účinnosť do 25. mája 2018, dovtedy by mala mať každá organizácia implementované opatrenia pre zosúladenie s GDPR. V prípade porušenia GDPR hrozí pokuta až 20 mil. € alebo 4% z ročných tržieb.

GDPR zavádza nové práva pre fyzické osoby, ktoré sú povinnými pre organizácie. Výrazný dopad na bežné procesy organizácie majú najmä: právo na námietku, právo na zabudnutie, právo na prenosnosť údajov, právo na prístup k osobným údajom.

Pojmy pre účely tohto dokumentu:

Osobný údaj: Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Pseudonymizácia: Je spracúvanie osobných údajov takým spôsobom, že osobné údaje je možné priradiť konkrétnej dotknutej osobe iba s použitím dodatočných informácií. GDPR požaduje, aby sa tieto dodatočné informácie uchovávali oddelene so sprísnenými oprávneniami.

Anonymizácia: Je taká zmena osobných údajov, po ktorej už nie je možné spätne identifikovať fyzickú osobu. Anonymizované údaje pohľadu GDPR nie sú osobnými údajmi. Ide o nevratný proces.

 

Náš tím zložený z vývojárov a HR špecialistov spojil pri tejto téme sily s odborníkmi na právnu stránku GDPR z advokátskej kancelárie SLAMKA & partners a spoločne sa tejto téme už niekoľko mesiacov aktívne venuje. Z tejto spolupráce vznikol aj tento text, v ktorom nájdete odpovede na kľúčové otázky súvisiace s agendou GDPR – od všeobecného predstavenia témy, až po konkrétne otázky súvisiace s implementáciou v SAP HR v praxi.

 

Ako splniť sprísnené podmienky o prístupe oprávnených osôb k osobným údajom zamestnancov? Akým spôsobom môžu firmy zozbierať a poskytnúť zamestnancovi všetky osobné údaje, ktoré o ňom vedú a spracovávajú? Ako sa vysporiadať s nutnosťou archivovať údaje o zamestnancovi, ktorý opustil pracovný pomer a pritom zároveň splniť povinnosť o vymazaní týchto údajov?

 

Toto je iba niekoľko otázok, na ktoré budú musieť firmy do mája nájsť odpovede, aby zosúladili svoje procesy s GDPR.

 

Oblasť otázok: Organizácia ako celok

 1. Čo je prvým krokom prípravy na GDPR?
  1. Prvým krokom je analýza jednotlivých oblastí v podniku (napr. na ktoré činnosti a agendy firma používa osobné údaje, kde sa osobné údaje ukladajú, ako sú zabezpečené a zálohované, kto má k osobným údajom prístup a ako je tento prístup riadený). Na základe tejto analýzy sa zmapujú a identifikujú všetky osobné údaje ktoré firma spracúva, či už v elektronickej (informačné systémy) alebo papierovej forme. Tieto výstupy slúžia ako podklad pre ďalšiu realizáciu a rozhodovanie v procese implementácie GDPR.

 2. Akým spôsobom dokážeme zistiť, aké osobné údaje spracúvame?
  1. Jediným riešením je zmapovanie a analýza prostredia organizácie (procesy, údajové úložiská, oprávnenia, pracovné postupy, právne dokumenty, atď).

 3. Počuli sme právnický výklad GDPR, ktorého implementácia by pre našu organizáciu bola príliš náročná. Musíme naozaj pristúpiť ku všetkým opatreniam, ktoré nám boli prezentované?
  1. Nevieme presne, čo ste počuli, ale nariadenie GDPR je v niektorých bodoch veľmi všeobecné, a preto sa môže stať, že niektoré výklady sa môžu líšiť v závislosti od konkrétneho prípadu a spoločnosti, na ktorý je výklad zameraný. Prijaté organizačné opatrenia budú vyžadovať určitú náročnosť, ale miera zložitosti závisí hlavne od právnej analýzy, Vašich business požiadaviek a schopnosti implementačného tímu.

 4. Ako si môžeme byť istí, že opatrenia, ktoré v súvislosti s GDPR implementujeme, budú dostatočné?
  1. Ak ten, kto Vám vypracoval právny výklad GDPR, vykonal právny audit a navrhol opatrenia téme GDPR rozumie a prebral právnu a hmotnú zodpovednosť za súlad Vašej organizácie s GDPR a Vaša organizácie tieto opatrenia dôsledne implementovala, v takom prípade sú s najväčšou pravdepodobnosťou opatrenia implementované vo Vašej organizácii dostatočné. Teda ako najbezpečnejšie riešenie odporúčame spoluprácu s právnickou kanceláriou, ktorá preberie za implementáciu GDPR vo Vašej organizácii právnu zodpovednosť.

 5. Kto je to zodpovedná osoba alebo tzv. DPO (Data Protection Officer)?
  1. osoba povinná plniť podľa nariadenia o ochrane osobných údajov (GDPR) dohľad nad ochranou osobných údajov a konať v tejto súvislosti
  2. Zodpovedná osoba môže byť členom personálu spoločnosti, alebo to môže byť externá osoba poverená plniť úlohy zodpovednej osoby na základe zmluvy o poskytovaní služieb.
  3. Zodpovednou osobou je oprávnená vymenovaná osoba určená na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany osobných údajov a na základe spôsobilosti plniť úlohy, ktoré jej zákon stanovuje.

 6. Za akých podmienok musíme nominovať zodpovednú osobu (DPO – Data Protection Officer)?
  1. Ak organizácia spĺňa aspoň jednu z troch nasledovných podmienok (čl.37 GDPR):
   1. Organizácia má viac ako 250 zamestnancov
   2. Organizácia spracováva osobné údaje vo veľkom rozsahu
   3. Spracovávanie osobných údajov je hlavná činnosť organizácie (napr. e-shop)
  2. Podľa odhadov profesijných organizácií tak bude Európa v najbližších dvoch rokoch potrebovať okolo 28-tisíc odborníkov k obsadeniu pozícií Data Protection Officer.

 7. Kedy môže v praxi dôjsť ku kontrole súladu s GDPR zo strany Úradu na ochranu osobných údajov a k prípadným pokutám? Bude to relevantné k 25.05.2018?
  1. K 25.05.2018 si každá dotknutá osoba môže začať uplatňovať svoje práva. Ide napríklad o právo na prístup k osobným údajom, právo na námietku, právo na vymazanie (právo na zabudnutie), právo na obmedzenie spracúvania, ako aj právo na prenosnosť. Tieto práva musia byť zo strany organizácie zabezpečené. Úrad na ochranu osobných údajov spravidla začína vykonávať svoju kontrolnú činnosť až na základe podnetu o porušení práv ustanovených v GDPR, no tento fakt nevylučuje možnosť Úradu konať aj z vlastnej iniciatívy.

Oblasť otázok: HR

 1. Aké osobné údaje zamestnancov nesmieme ako firma evidovať, aby sme boli v súlade s GDPR?
  1. Nesmiete evidovať tie osobné údaje, k spracovaniu ktorých nemáte dostatočný dôvod (neexistuje právny základ, alebo iný oprávnený záujem). Vždy musí byť jasne definovaný účel, pre ktorý sú osobné údaje uchovávané. Taktiež platí zásada minimalizácie spracovávania osobných údajov, zákonnosť, správnosť a dôvernosť spracúvania osobných údajov. Z tohto dôvodu je v rámci prípravy na GDPR potrebné verifikovať používané údaje v HR procesoch a uistiť sa, že nie je presiahnutá nevyhnutnosť spracovávania a uchovávania osobných údajov. Vhodnou prípravou je revízia existujúcich HR procesov.

 2. Musíme sa ako firma zaoberať oprávneniami a prístupmi našich zamestnancov k osobným údajom, keď sme v súlade s aktuálnou legislatívou(zákon 122/2013 Z.z.)?
  1. Áno, odporúčame Vám zaoberať sa touto témou. V prvom kroku je potrebné vykonať minimálne revíziu jednotlivých právomocí a prístupov k osobným údajom dotknutých osôb, aby ste vedeli kto má aké práva na prístup k osobným údajom a či sú tieto práva opodstatnené. Je pravdepodobné, že po tejto revízii bude potrebné sprísniť prideľovanie prístupov a možno zúžiť rozsah oprávnení. Osoby, ktoré sú v kontakte s osobnými údajmi dotknutých osôb musia byť poučené o jej právach a svojich povinnostiach pri spracovávaní osobných údajov; poučenie obsahuje najmä vymedzenie rozsahu ich oprávnení, povolených činností a podmienok spracovávania osobných údajov.

 3. Je nutné okrem aktualizovanej bezpečnostnej smernice urobiť aj dodatky k pracovným zmluvám?
  1. Áno, rozsah týchto dodatkov závisí od odporúčaní právnika vzhľadom k miere implementácie úprav vnútropodnikových procesov.

 4. Čo musíme ako firma urobiť s fotkami, videonahrávkami a inými multimediálnymi záznamami zamestnancov?
  1. GDPR poníma tieto údaje ako osobné údaje, lebo sú priamo spojiteľné s fyzickou osobu, a preto je ich spracovávanie a uchovávanie možné len počas doby, kedy na ich spracovávanie a uchovávanie existuje právny základ. GDPR nedefinuje podmienky alebo dôvody uchovávania týchto údajov, preto je potrebné právne vysvetlenie Vášho konkrétneho prípadu.

 5. Zmení GDPR proces náboru nových zamestnancov? Aké zmeny budeme musieť aplikovať?
  1. Vo Vašej organizácii bude potrebné právne ošetriť dôvody uchovávania osobných údajov uchádzačov po ukončení náboru v prípade neprijatia, ak k ich uchovávaniu dochádza.
  2. Môže byť potrebné upraviť pracovné zmluvy zamestnancov zapojených do náborového procesu tak, aby vyhovovali právnemu výkladu GDPR platnému pre Vašu organizáciu.

 6. Čo s OÚ uchádzača v prípade neprijatia?
  1. V prípade neprijatia uchádzača musia byť osobné údaje, ktoré firma nadobudla, vymazané alebo anonymizované. No ak firma chce aj naďalej tieto informácie uchovávať, musí od fyzickej osoby získať jednoznačný, transparentný a dobrovoľný súhlas k dlhšiemu udržiavaniu osobných údajov, kde bude okrem iného definované na akú dobu budú tieto osobné údaje uchované a za akým účelom.
  2. Dáta uchádzačov odporúčame preniesť do elektronickej formy v informačnom systéme (napr. SAP), aby mohli byť pred vypršaním dohodnutých lehôt automaticky pripomenuté potreby obnovenia súhlasov dotknutých osôb, alebo aby boli po vypršaní dohodnutých lehôt osobné údaje automaticky anonymizované alebo vymazané. Odporúčame informácie o vykonaní takýchto krokov zdokumentovať.

 7. Aké kroky budeme musieť vykonať po ukončení pracovného pomeru so zamestnancom? V čom je rozdiel oproti aktuálnemu stavu?
  1. GDPR prináša výrazný dopad práve na proces odchodu zamestnanca z organizácie a na spracovanie jeho osobných údajov po jeho výstupe. Osobné údaje vystúpeného zamestnanca je potrebné zaarchivovať tak, aby neboli dostupné a po uplynutí registratúrnych lehôt vymazať alebo anonymizovať.

 8. Koľko trvá implementácia GDPR v praxi? Koľko vlastných prostriedkov a časovej kapacity by sme mali vyhradiť pre takúto implementáciu v oblasti HR?
  1. Časový rámec je závislý na veľkosti a komplexnosti procesov spracovania osobných údajov vo Vašej organizácii. Odporúčame vykonanie právneho, procesného a technického auditu, ktorých výsledkom budú identifikované potreby zmien v neelektronizovaných (fyzických, „papierových“), tak aj v elektronizovaných procesoch. V závislosti od rozsahu potrebných zmien by mal byť implementačný tím schopný definovať finančné náklady, potrebu zdrojov a časový rámec implementácie pre Vašu spoločnosť.

Oblasť otázok: Technické aspekty

 1. Ktoré osobné údaje zamestnancov sme povinní po výstupe zamestnanca archivovať a ktoré, naopak, nesmieme?
  1. Po výstupe zamestnanca môžete archivovať tie jeho osobné údaje, pre ponechanie si ktorých existuje patričný právny základ. Ide napríklad o údaje, ktoré sú súčasťou registratúrneho záznamu, alebo o tie údaje, pre ktorých archiváciu existuje oprávnený záujem zamestnávateľa, v takom prípade ste však povinní proaktívne informovať dotknuté osoby o tejto skutočnosti.

 2. Akým spôsobom máme archivovať osobné údaje zamestnanca po jeho odchode tak, aby sme boli v súlade s GDPR?
  1. Nami odporúčaný postup je šifrovanie osobných údajov archivovaných zamestnancov. Existujú však aj iné možnosti, každá má však svoje špecifiká.

 3. Čo máme urobiť s osobnými údajmi vystúpených zamestnancov po uplynutí času archivácie (registratúrnych lehôt)? Musíme údaje vymazávať? Ako potom zabezpečíme historické a štatistické výkazníctvo?
  1. GDPR uvádza výmaz, ale aj anonymizáciu ako jeden z prostriedkov ochrany osobných údajov. Po uplynutí času potrebného pre archiváciu odporúčame možnosť anonymizácie. Anonymizované údaje už nie sú z pohľadu GDPR osobné údaje, a preto ich nie je potrebné nijako špeciálne spracúvať. Výhodou anonymizácie pred výmazom je dostupnosť historických údajov pre štatistické vyhodnocovanie a účely výkazníctva. V určitých prípadoch môže byť výmaz údajov vhodným riešením, a to hlavne ak už neexistuje naozaj žiadny dôvod k ich uchovávaniu.

 4. Odchádzajúci zamestnanec si uplatňuje právo na prenosnosť údajov k novému zamestnávateľovi. Ako vieme túto požiadavku splniť? Na aký rozsah a detail údajov má zamestnanec právo?
  1. Podľa GDPR má dotknutá osoba právo získať tie osobné údaje, ktoré sa týkajú jej a ktoré poskytla spoločnosti. Má právo získať ich v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte. Formát nie je presne stanovený. Jednoduchým riešením je automatizácia exportu osobných údajov použitím exportných nástrojov informačného systému, v ktorom sa tieto osobné údaje nachádzajú.

 5. Máme povinnosť umožniť prístup zamestnancovi k jeho osobným údajom?
  1. GDPR jasne uvádza povinnosť poskytnúť dotknutej osobe potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Dotknutá osoba má právo získať prístup k týmto osobným údajom a má právo získať aj informácie o účele spracovania, kategórii osobných údajov, zdroji týchto údajov a ďalšie špecifikované náležitosti ( §21 Zákona 18/2018 Z.z.).

 

Vzhľadom na komplexnosť témy GDPR sme niektoré odpovede v tomto texte formulovali všeobecne, pretože v praxi sa môžu mierne líšiť od prípadu k prípadu. Pre konkrétne odpovede pre Vašu organizáciu je teda ideálna konzultácia, pri ktorej prejdeme špecifiká Vašej situácie.

 

Špecializujeme sa na riešenia GDPR v oblasti SAP HR a v tejto téme Vám vieme pomôcť aj komplexne: od právneho auditu (v spolupráci s našou partnerskou advokátskou kanceláriou) až po nájdenie a implementáciu pre Vás najvhodnejšieho riešenia.

 

Ak vás táto téma zaujíma a chcete vedieť viac o tom,

ako sa vaša organizácia môže postaviť k GDPR, ozvite sa nám:


Kontaktná osoba:

Karol Höger

+421 910 908 610

 Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.

Vyplňte formulár a budeme vás spätne kontaktovať.

Vybrané referencie

 • RWE_1
 • adp_1
 • brtep_1
 • cargo_1
 • dtelecom_1
 • energoch_1
 • eon_1
 • fortischem_1
 • innogy
 • javys_1
 • kia_1
 • kooperativa_1
 • ksk_1
 • lidl_1
 • matador_1
 • mf_1
 • miba_1
 • mini1_1
 • mini2_1
 • ministhos_1
 • netgas_1
 • okte_1
 • orange_1
 • rwet_1
 • sca_1
 • seps_1
 • socka_1
 • spp_1
 • taba_1
 • takata_1
 • tsysems_1
 • viena_1
 • vse_1
 • ww_1
 • zentiva_1
 • zseh_1
 • zsr_1

Tento web používa súbory cookies. Prehliadaním webu vyjadrujete súhlas s ich používaním.