• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Smernice pre školstvo

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma
Späť na Blog
, ,

GDPR v pracovnom cykle: Od prijatia CV po výpoveď zamestnanca

21. apríla 2026

Späť na Blog

Ochrana osobných údajov v pracovnoprávnych vzťahoch predstavuje komplexnú agendu, ktorá sa netýka len IT oddelení, ale predovšetkým personalistov a manažmentu firiem. V ére digitálnej transformácie a prísnej regulácie GDPR sa spracúvanie údajov o zamestnancoch stalo disciplínou, ktorá sprevádza jednotlivca od momentu, kedy pošle svoj životopis, až po obdobie niekoľkých desaťročí po skončení pracovného pomeru. Správne nastavenie procesov nie je len zákonnou povinnosťou, ale aj základom dôvery medzi zamestnávateľom a zamestnancom. Každá fáza tohto životného cyklu má svoje špecifiká, zákonné limity a riziká, ktoré pri zanedbaní môžu viesť k vysokým pokutám či súdnym sporom. V nasledujúcom texte sa podrobne pozrieme na to, ako správne aplikovať princípy ochrany súkromia v jednotlivých etapách zamestnaneckého pomeru, od prvého kontaktu až po finálnu archiváciu a likvidáciu údajov.

1. Nábor a výberové konanie: Kde sa začína zodpovednosť

Proces spracúvania osobných údajov sa nezačína podpisom pracovnej zmluvy, ale už v momente prijatia prvého životopisu. Zamestnávateľ v pozícii prevádzkovateľa musí mať jasne stanovený právny základ pre spracúvanie údajov uchádzačov. Vo väčšine prípadov ide o predzmluvné vzťahy, čo znamená, že na spracovanie bežných údajov v CV nepotrebujete explicitný súhlas, ak tieto údaje slúžia na posúdenie vhodnosti kandidáta na danú pozíciu.

Problém však nastáva v momente, ak si chcete životopis neúspešného kandidáta ponechať v databáze pre budúce potreby. Vtedy je súhlas so spracúvaním osobných údajov nevyhnutný. Tento súhlas musí byť slobodný, konkrétny a informovaný. Uchádzač musí presne vedieť, ako dlho budete jeho údaje uchovávať a aké má práva, vrátane práva na odvolanie súhlasu.

  • Minimalizácia údajov: Zamestnávateľ by nemal od uchádzačov vyžadovať informácie, ktoré nie sú relevantné pre výkon práce (napr. informácie o rodinnom stave, náboženskom presvedčení alebo politickej príslušnosti).
  • Transparentnosť: Už v inzeráte by mal byť odkaz na dokument, ktorý vysvetľuje, ako firma nakladá s osobnými údajmi uchádzačov.
  • Sociálne siete: Preverovanie kandidátov na sociálnych sieťach má svoje limity. Zatiaľ čo profesionálne siete ako LinkedIn sú akceptovateľné, hĺbkový monitoring súkromných profilov na Facebooku či Instagrame môže byť v rozpore s princípom proporcionality.

Vznik pracovného pomeru a informačná povinnosť

Akonáhle sa z uchádzača stane zamestnanec, objem spracúvaných údajov sa radikálne zvyšuje. Zamestnávateľ je povinný plniť si zákonné povinnosti voči sociálnej a zdravotným poisťovniam, daňovému úradu a ďalším inštitúciám. Tu sa ako právny základ využíva plnenie zákonnej povinnosti a plnenie zmluvy.

Kľúčovým dokumentom v tejto fáze je Informačná povinnosť pre zamestnancov. Zamestnanec musí byť jasne informovaný o tom:

  • Kto je prevádzkovateľom a na koho sa môže obrátiť (zodpovedná osoba – DPO).
  • Za akým účelom sa jeho údaje spracúvajú (mzdy, dochádzka, bezpečnosť).
  • Komu sú údaje poskytované (externá účtovná firma, IT podpora, štátne orgány).
  • Ako dlho budú údaje uchovávané.

Je dôležité rozlišovať medzi údajmi potrebnými pre zákon a údajmi, ktoré zamestnávateľ spracúva nad rámec zákona. Napríklad zverejnenie fotografie zamestnanca na firemnom webe alebo v rámci intranetu si spravidla vyžaduje dobrovoľný súhlas, ktorý nemožno vynucovať podpisom pracovnej zmluvy.

Monitoring zamestnancov: Tenká hranica medzi bezpečnosťou a súkromím

Sledovanie zamestnancov je jednou z najcitlivejších oblastí GDPR. Zamestnávateľ má právo chrániť svoj majetok a kontrolovať efektivitu práce, avšak toto právo nie je absolútne. Podľa Zákonníka práce a GDPR musí byť akýkoľvek monitoring nevyhnutný, primeraný a transparentný.

3.1 Kamerové systémy (CCTV)

Inštalácia kamier na pracovisku je prípustná len vtedy, ak sa sledovaný účel (napr. ochrana pred krádežami) nedá dosiahnuť inými, menej invazívnymi prostriedkami. Kamery nesmú monitorovať priestory určené na odpočinok, toalety alebo šatne. Zamestnanci musia byť o prítomnosti kamier jasne informovaní prostredníctvom piktogramov a detailných informácií v interných smerniciach.

3.2 Monitorovanie e-mailov a využívania internetu

Zamestnávateľ môže kontrolovať, či zamestnanci využívajú pracovné prostriedky na súkromné účely, ale nemal by čítať obsah súkromných správ, aj keď boli odoslané z pracovného e-mailu. Odporúča sa zaviesť jasnú politiku používania IT techniky, ktorá presne stanovuje pravidlá a informuje o rozsahu prípadnej kontroly.

3.3 GPS monitoring vozidiel

Pri služobných autách je GPS monitoring štandardom. Ak sa však auto využíva aj na súkromné účely, zamestnanec musí mať možnosť GPS sledovanie vypnúť (tzv. „privacy button“), aby nedochádzalo k zásahu do jeho súkromia mimo pracovnej doby.

Biometria a spracúvanie osobitných kategórií údajov

Využívanie odtlačkov prstov alebo skenu tváre pre dochádzkové systémy patrí pod spracúvanie osobitných kategórií osobných údajov (citlivé údaje). Podľa metodiky úradov na ochranu osobných údajov je biometria na účely evidencie dochádzky často považovaná za neprimeranú, ak existujú iné spôsoby (napr. čipové karty).

Spracúvanie biometrických údajov je možné len za veľmi prísnych podmienok, zvyčajne len vtedy, ak je to nevyhnutné na ochranu vysoko citlivých priestorov (napr. serverovne, sklady cenín). Zamestnávateľ by mal v takom prípade vždy vypracovať posúdenie vplyvu na ochranu údajov (DPIA).

Rovnako obozretne treba postupovať pri údajoch o zdravotnom stave. Zamestnávateľ by mal disponovať len informáciou o tom, či je zamestnanec spôsobilý na výkon práce, nie o jeho konkrétnej diagnóze. Lekárske posudky by mali byť uchovávané oddelene od bežného osobného spisu.

Ukončenie pracovného pomeru a „právo na zabudnutie“

Momentom výpovede alebo uplynutím výpovednej doby sa vzťah so zamestnancom nekončí z pohľadu archivácie údajov. Mnohí zamestnanci sa mylne domnievajú, že po odchode z firmy môžu žiadať o okamžitý výmaz všetkých svojich údajov. GDPR však uznáva, že zamestnávateľ má zákonné archivačné lehoty, ktoré sú nadradené právu na výmaz.

Po skončení pomeru musí zamestnávateľ vykonať revíziu údajov. Dokumenty, ktoré už nie sú potrebné (napr. záznamy o školeniach, kópie certifikátov, ktoré nesúvisia s nárokmi), by mali byť zlikvidované. Naopak, mzdové listy a dokumenty pre dôchodkové účely sa musia uchovávať desiatky rokov.

  • Mzdové listy: Archivácia po dobu 50 rokov.
  • Pracovné zmluvy a dohody: Archivácia 20 rokov po skončení pomeru.
  • Dane: Dokumentácia súvisiaca s daňami sa spravidla uchováva 10 rokov.

Je dôležité deaktivovať prístupy bývalého zamestnanca do všetkých systémov a zabezpečiť, aby jeho osobné údaje (ako je fotografia na nástenke „zamestnanec mesiaca“) boli odstránené z verejne prístupných miest.

Záver: Kontinuita ochrany údajov ako pilier firemnej kultúry

Implementácia GDPR v celom životnom cykle zamestnanca nie je jednorazový projekt, ale neustály proces, ktorý si vyžaduje pozornosť v každom kroku. Od prvotného záujmu uchádzača o prácu, kedy je nutné dbať na minimalizáciu zbieraných informácií a transparentnosť, až po dlhoročnú archiváciu mzdových podkladov, musí zamestnávateľ vystupovať ako zodpovedný správca zverených hodnôt. Správne nastavené procesy eliminujú riziko sankcií zo strany dozorných orgánov, ktoré môžu v prípade závažných porušení dosiahnuť likvidačné hodnoty. Okrem právnej istoty však dôsledné dodržiavanie pravidiel ochrany súkromia buduje aj pozitívny imidž zamestnávateľa na trhu práce. V dobe, kedy sú informácie o únikoch dát alebo neoprávnenom monitorovaní verejne dostupné, sa férový prístup k súkromiu stáva dôležitým benefitom. Zamestnávatelia, ktorí dokážu jasne komunikovať, prečo údaje potrebujú, ako ich chránia a kedy ich zlikvidujú, získavajú lojálnejších zamestnancov a stabilnejšie pracovné prostredie. Celý tento cyklus, od CV až po výpoveď, by mal byť zastrešený silnou internou smernicou a pravidelným vzdelávaním zodpovedných osôb, pretože ľudský faktor zostáva najčastejším zdrojom bezpečnostných incidentov. GDPR by sme preto nemali vnímať len ako byrokratickú záťaž, ale ako rámec pre modernú a rešpektujúcu personálnu politiku 21. storočia.

Kategórie:
Témy

autor

/ Blog /

Súvisiace články

, ,
Ako kyberzločinci používajú doxing na psychickú likvidáciu obetí a čo s tým môžete urobiť

autor

11. mája 2026

, ,
Prečo ransomvérový útok na Versailles navždy mení kybernetickú bezpečnosť v zdravotníctve: Už nejde len o dáta, ale o životy

autor

11. mája 2026

, ,
Čo vám nikto nepovie o ochromení Versailles: Ako ransomvér v roku 2022 takmer zastavil srdce francúzskej medicíny

autor

11. mája 2026

, ,
Čo vám nikto nepovie o GDPR v cirkvi: Sú vaše krstné listy a citlivé informácie skutočne v bezpečí?

autor

11. mája 2026

, ,
Skrytá pravda o vašich údajoch na súde: Prečo GDPR v praxi často zlyháva pri ochrane procesných strán

autor

11. mája 2026

, ,
Ako moderné firmy využívajú kamerové roboty bez toho, aby čelili likvidačným pokutám za porušenie GDPR

autor

11. mája 2026

Odoberajte novinky od osobnyudaj.sk

Vaša e-mailová adresa je u nás v bezpečí, prečítajte si naše podmienky zpracovania osobných údajov.