Prečo sú staré pracovné zmluvy v oblasti GDPR rizikom, ktoré nemôžete ignorovať

Mnohí zamestnávatelia sa mylne domnievajú, že ak raz podpísali s pracovníkom zmluvu, majú otázku ochrany osobných údajov vyriešenú navždy. Opak je však pravdou. Legislatívne prostredie, najmä po sprísnení pravidiel v rámci nariadenia GDPR a novely slovenského zákona o ochrane osobných údajov, prešlo zásadnou transformáciou. Staré pracovné zmluvy, ktoré vznikali pred rokom 2018 alebo tesne po ňom bez hlbšej analýzy, často obsahujú neplatné ustanovenia, nadbytočné súhlasy alebo úplne ignorujú informačnú povinnosť. V prípade kontroly z Úradu na ochranu osobných údajov sa takéto dokumenty stávajú priamym dôkazom o porušení zákona, čo môže viesť k likvidačným pokutám. Moderná personalistika si vyžaduje dynamický prístup, kde zmluva slúži len ako základ a detaily spracúvania údajov sú ošetrené v prepracovaných interných smerniciach. Tento článok vám ukáže, ako identifikovať kritické miesta vo vašej dokumentácii a ako ich uviesť do súladu s aktuálnymi štandardmi.

Prežitok menom „Súhlas so spracovaním osobných údajov“ v zmluve

Jednou z najčastejších chýb v starých zmluvách je zakomponovanie všeobecného súhlasu so spracovaním osobných údajov priamo do textu pracovnej zmluvy. Z hľadiska GDPR je takýto súhlas vo väčšine prípadov právne irelevantný a neplatný. Dôvodom je nerovnovážne postavenie zamestnávateľa a zamestnanca. Zamestnanec sa často cíti byť nútený súhlas podpísať, aby získal prácu, čím sa stráca atribút „dobrovoľnosti“, ktorý je pre platný súhlas kľúčový.

Väčšina operácií, ktoré personalisti vykonávajú, sa totiž neopiera o súhlas, ale o iné právne základy:

• Plnenie zmluvy: Spracúvanie mena, adresy či čísla účtu je nevyhnutné na to, aby ste zamestnancovi vyplatili mzdu.
• Zákonná povinnosť: Odvody do Sociálnej a zdravotnej poisťovne či daňové hlásenia musíte robiť zo zákona, súhlas k tomu nepotrebujete.
• Oprávnený záujem: Napríklad ochrana majetku zamestnávateľa prostredníctvom kamerového systému alebo monitoring firemných vozidiel.

Ak vo vašich zmluvách stále figuruje veta „Zamestnanec udeľuje súhlas so spracovaním všetkých svojich údajov“, vytvárate si právne vákuum. Pri audite by ste totiž mali preukázať, na aký konkrétny účel súhlas slúži, a ak ide o zákonnú povinnosť, súhlas tam nemá čo hľadať.

Chýbajúca alebo nedostatočná informačná povinnosť

GDPR kladie obrovský dôraz na transparentnosť. Zamestnanec musí presne vedieť, čo sa s jeho údajmi deje, komu sú poskytované a ako dlho budú uchovávané. Staré zmluvy na tento aspekt často úplne zabúdali. Podľa článku 13 nariadenia GDPR musí zamestnávateľ (ako prevádzkovateľ) poskytnúť zamestnancovi (dotknutej osobe) komplexné informácie už pri získavaní údajov.

Čo v starej zmluve obvykle chýba:

• Identifikácia zodpovednej osoby (DPO): Ak ju máte určenú, kontakt na ňu musí byť zamestnancovi známy.
• Doba uchovávania údajov: Už nestačí povedať „počas trvania pomeru“. Musíte definovať lehoty aj pre archiváciu po skončení pomeru (napr. mzdové listy 50 rokov).
• Práva zamestnanca: Právo na prístup, opravu, vymazanie (právo na zabudnutie) alebo právo na prenosnosť údajov.
• Informácia o prenose do tretích krajín: Ak využívate cloudové služby (napr. Office 365 alebo Google Workspace), údaje môžu opúšťať EÚ, čo si vyžaduje špeciálne ošetrenie.

Interné smernice ako nevyhnutný doplnok pracovnej zmluvy

Pracovná zmluva by nemala byť 50-stranovým dokumentom, ktorý obsahuje všetky detaily o GDPR. Práve naopak, osvedčenou praxou je mať v zmluve len stručný odkaz na Internú smernicu o ochrane osobných údajov. Tento prístup je výhodný najmä preto, že smernicu môžete aktualizovať jednostranne (v súlade so zákonom), zatiaľ čo zmenu zmluvy musíte so zamestnancom dohodnúť formou dodatku.

Interná smernica by mala podrobne pokrývať špecifické oblasti, ktoré sa v priebehu času menia:

1. Pravidlá monitorovania: Ak monitorujete e-maily, využívanie internetu alebo pohyb vozidiel cez GPS, smernica musí jasne definovať rozsah, účel a spôsob, akým sa zamestnanec o monitorovaní dozvie.
2. Používanie firemných zariadení: Ako sa nakladá s osobnými údajmi na firemných mobiloch a notebookoch.
3. Čistý stôl a čistá obrazovka: Inštrukcie, ako majú zamestnanci chrániť údaje klientov a kolegov vo fyzickej i digitálnej podobe.

Monitoring zamestnancov a ochrana súkromia

V súčasnej dobe home-officu a digitalizácie sa monitoring stal citlivou témou. Staré zmluvy túto oblasť nereflektujú vôbec, čo je pre zamestnávateľa nebezpečné. Podľa Zákonníka práce nesmie zamestnávateľ bez vážneho dôvodu narúšať súkromie zamestnanca na pracovisku ani v spoločných priestoroch. Ak je však kontrola nevyhnutná, musí byť vopred prerokovaná so zástupcami zamestnancov a zamestnanci o nej musia byť preukázateľne informovaní.

Oprávnený záujem zamestnávateľa na ochrane majetku musí byť vždy v rovnováhe s právom na súkromie. Ak napríklad nainštalujete kamery do kancelárií bez toho, aby ste vykonali tzv. test proporcionality a písomne o tom informovali zamestnancov v internej smernici, riskujete nielen pokutu od Úradu na ochranu osobných údajov, ale aj neplatnosť dôkazov v prípade súdneho sporu so zamestnancom (napr. pri výpovedi za krádež).

Ako postupovať pri audite a náprave dokumentácie

Ak ste zistili, že vaše dokumenty sú neaktuálne, postupujte systematicky. Prvým krokom je mapovanie tokov údajov (Data Mapping). Musíte vedieť, aké údaje zbierate (od rodného čísla až po fotografiu na ID kartu), prečo ich potrebujete a kde sú uložené. Následne prehodnoťte právne základy – všade, kde je to možné, sa vyhnite súhlasu a oprite sa o zákonnú povinnosť alebo plnenie zmluvy.

Druhým krokom je aktualizácia pracovných zmlúv. Odporúča sa pripraviť jednoduché dodatky, ktoré odstránia staré „súhlasové“ doložky a nahradia ich informáciou o tom, kde zamestnanec nájde aktuálne zásady spracúvania údajov. Tretím, a najdôležitejším krokom, je vypracovanie kvalitnej informačnej doložky a internej smernice. Tieto dokumenty by mali byť živé – pri každej zmene softvéru alebo zavedení nového dochádzkového systému ich musíte revidovať.

Nezabudnite ani na sprostredkovateľské zmluvy. Ak vám mzdy spracúva externá firma alebo využívate externého IT správcu, musíte mať s nimi uzatvorenú zmluvu o spracúvaní osobných údajov. Staré zmluvy s týmito partnermi často nespĺňajú náležitosti článku 28 GDPR, čo je ďalšie kritické miesto pri kontrole.

Správne nastavenie GDPR v pracovnoprávnych vzťahoch nie je len o formálnom splnení zákonnej povinnosti, ale predovšetkým o budovaní dôvery a profesionálnej kultúry vo vnútri firmy. Staré pracovné zmluvy sú skutočne časovanou bombou, pretože v momente konfliktu so zamestnancom sa každá nepresnosť v ochrane údajov stáva zbraňou v rukách protistrany. Moderný zamestnávateľ by mal vnímať ochranu údajov ako integrálnu súčasť svojho risk manažmentu. Revízia dokumentácie, odstránenie neplatných súhlasov a zavedenie transparentných interných smerníc sú investíciou, ktorá vás ochráni pred nečakanými sankciami, ktoré môžu dosiahnuť až 4 % z celkového celosvetového ročného obratu alebo 20 miliónov eur. Dôkladný audit by mal zahŕňať nielen zmluvy súčasných zamestnancov, ale aj uchádzačov o zamestnanie, ktorých údaje spracúvate v rámci náboru. Uistite sa, že vaše retenčné doby sú nastavené v súlade s osobitnými predpismi a že po ich uplynutí dochádza k bezpečnej likvidácii údajov. GDPR nie je jednorazový projekt, ale kontinuálny proces adaptácie na technologické a legislatívne zmeny. Ak máte pochybnosti o aktuálnosti svojich smerníc, konzultácia s právnym expertom na ochranu súkromia je najlepším spôsobom, ako predísť problémom skôr, než nastanú. Správne nastavené procesy vám v konečnom dôsledku ušetria čas pri komunikácii s úradmi a poskytnú vám právnu istotu, ktorú v dnešnom digitálnom svete potrebuje každé podnikanie bez ohľadu na jeho veľkosť.