GDPR po skončení pracovného pomeru

Európske nariadenie, známe ako GDPR, sa od mája 2018 uplatňuje nielen pri spracovávaní osobných údajov pred uzavretím pracovného pomeru či počas jeho trvania, ale aj po jeho skončení. Kedy môže zamestnávateľ uchovávať osobné údaje bývalého zamestnanca a po akú dobu?

Každý zamestnávateľ musí pre správne fungovanie svojej firmy spracúvať určité osobné údaje zamestnancov. Hlavným účelom spracúvania osobných údajov zamestnancov v pracovnoprávnych vzťahoch je nutnosť zamestnávateľa plniť povinnosti vyplývajúce z uzavretia pracovnej zmluvy a osobitných zákonov (napr. viesť mzdovú agendu). Počas trvania pracovného pomeru tak zamestnávateľ spracúva osobné údaje svojich zamestnancov spravidla na základe toho, že:

  • spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, teda zamestnanec (čl. 6 bod 1 písm. b/ GDPR),
  • spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa, teda zamestnávateľa (čl. 6 bod 1 písm. c/ GDPR).

Spracúvanie osobných údajov po skončení pracovného pomeru je často oblasťou, ktorú zamestnávatelia podceňujú. Zamestnanec už síce pre zamestnávateľa nepracuje, ten však naďalej archivuje jeho osobný spis s osobnými údajmi, ktoré získal počas trvania pracovného pomeru. Zamestnávateľ si musí byť vedomý, že takýto postup môže byť v rozpore s GDPR a novým zákonom o ochrane osobných údajov, v dôsledku čoho mu môžu hroziť nemalé pokuty.

Čo s osobnými údajmi po skončení pracovného pomeru?

Ak zanikol pracovný pomer, zamestnávateľ musí zvážiť:

  1. bezodkladný výmaz/likvidáciu osobných údajov (spravidla vtedy, keď zanikli všetky účely pre spracúvanie údajov) alebo
  2. existenciu nejakého účelu, pre ktorý by sa osobné údaje bývalého zamestnanca mohli ešte ďalej spracúvať, resp. uchovávať.

Výmaz osobných údajov po skončení pracovného pomeru

Čl. 17 GDPR zakotvil právo dotknutej osoby na výmaz osobných údajov, tzv. právo „na zabudnutie“. Podľa neho je prevádzkovateľ povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z ustanovených dôvodov (napr. keď osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali).

To znamená, že pokiaľ zanikli všetky účely pre spracúvanie osobných údajov bývalého zamestnanca, zamestnávateľ ich musí po skončení pracovného pomeru bezodkladne vymazať. Vymazanie osobných údajov znamená, že zamestnávateľ musí fyzicky zlikvidovať všetky papierové dokumenty obsahujúce osobné údaje (tzv. skartácia) a tiež vymazať osobné údaje vedené elektronicky zo všetkých elektronických systémov vrátane záloh. Výmaz osobných údajov je potrebné realizovať bez možnosti ich obnovenia.

Medzi dokumenty, ktoré treba po skončení pracovného pomeru zlikvidovať patrí napríklad životopis, motivačný list alebo kópie osobných dokladov (občianskeho preukazu), tiež osobné údaje o rodinných príslušníkoch bývalého zamestnanca, ktoré boli potrebné pre účely poskytovania zamestnaneckých benefitov.

Spracúvanie (uchovávanie) osobných údajov po skončení pracovného pomeru

Ak po skončení pracovného pomeru existuje nejaký účel, pre ktorý by sa osobné údaje bývalého zamestnanca mohli ďalej spracúvať, zamestnávateľ ich môže spracúvať, ale iba v obmedzenom rozsahu. Zamestnávateľ teda nemôže po zániku pracovnej zmluvy spracúvať (uchovávať) osobnú zložku zamestnanca v celom rozsahu. Uchovávať sa môžu len nevyhnutné dokumenty pre plnenie konkrétneho účelu spracúvania osobných údajov. Najčastejšie pôjde o údaje, ktoré sa týkajú mzdovej agendy a ktoré sa vzťahujú k daňovej povinnosti bývalého zamestnanca.

V tomto prípade je vždy nutné, aby zamestnávateľ určil druh spracúvaných osobných údajov, t. j. ktoré údaje budú ďalej spracúvané a vymedzil účel ich spracúvania. Pri kontrole zo strany Úradu na ochranu osobných údajov SR to musí vedieť preukázať. Osobné údaje v žiadnom prípade nie je možné spracúvať len preto, že by sa niekedy v budúcnosti mohli zamestnávateľovi hodiť.

Článok pokračuje pod reklamou

Účelom spracúvania osobných údajov po skončení pracovného pomeru je napríklad:

  • archivovanie – zamestnávateľ je podľa viacerých zákonov povinný niektoré dokumenty obsahujúce osobné údaje bývalého zamestnanca archivovať po určitú dobu (napr. podľa zákona č. 595/2003 Z. z. o dani z príjmov musí uchovávať mzdové listy po dobu ustanovenú osobitným predpisom, ktorým je zákon č. 431/2002 Z. z. o účtovníctve; zákon o účtovníctve však neustanovuje konkrétnu povinnú dobu uchovávania mzdových listov, preto je potrebné, aby ju určil zamestnávateľ v registratúrnom pláne - najlepšie je určiť pomerne dlhú dobu úschovy, aj niekoľko desiatok rokov; spravidla sa uchovávajú počas doby ustanovenej podľa toho, akú funkciu plnia pri vedení účtovníctva) - v tomto prípade je spracúvanie nevyhnutné na splnenie zákonnej povinnosti zamestnávateľa,
  • obhajoba právnych nárokov v prípade budúceho súdneho sporu s bývalým zamestnancom (napr. ak by bývalý zamestnanec žaloval zamestnávateľa o náhradu škody/ujmy, môže zamestnávateľ za účelom dokazovania v takomto konaní uchovávať potrebné dokumenty po dobu plynutia premlčacej doby – objektívna premlčacia doba je tri roky, ale odporúča sa uchovanie údajov až po dobu štyroch rokov) - v tomto prípade je spracúvanie nevyhnutné na účel oprávneného záujmu zamestnávateľa.

Príklad:

Spoločnosť AB s.r.o., ktorá vlastní e-shop, zamestnáva päť zamestnancov. S jedným zo zamestnancov, Ivanom Bystrým, bol ukončený pracovný pomer výpoveďou zo strany zamestnávateľa (zo zákonného dôvodu). Spoločnosť AB s.r.o. ako zamestnávateľ si následne urobila zoznam všetkých dokumentov obsahujúcich osobné údaje tohto zamestnanca a tie, ktoré nepodliehajú zákonnej archivačnej povinnosti, bezodkladne fyzicky zlikvidovala a vymazala z elektronických systémov. Pre prípad budúceho súdneho sporu o neplatnosti rozviazania pracovného pomeru bude spoločnosť AB s.r.o. uchovávať potrebné dokumenty (napr. výpoveď).

Pokuta za porušenie povinnosti podľa GDPR

Ak zamestnávateľ po skončení pracovného pomeru naďalej spracúva osobné údaje zamestnanca, ktoré mal bezodkladne vymazať (napr. archivuje jeho životopis) alebo ich spracúva bez vymedzenia konkrétneho účelu, porušuje základné zásady ustanovené v GDPR.

Tým sa zamestnávateľ vystavuje hrozbe udelenia pokuty až do výšky 20 000 000 eur alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Viac podobných článkov nájdete na www.podnikajte.sk


Čo (nie) je osobný údaj? Je ním fotografia, telefónne číslo alebo názov firmy?

Čo patrí medzi osobné údaje a čo nie nám prezradila senior právna expertka Lucia Semančínová z advokátskej kancelárie SEMANČÍN & PARTNERS.

GDPR v praxi – najčastejšie otázky

Vy sa pýtate, my odpovedáme. V rámci našej poradne Podnikajte s odborníkmi ste nám zaslali otázky k GDPR, teda nariadeniu o ochrane osobných údajov, ktoré je už rok v platnosti. Na otázky odpovedala senior právna expertka Lucia Semančínová z advokátskej kancelárie SEMANČÍN & PARTNERS.

Kontrola dodržiavania GDPR

Ako prebieha kontrola dodržiavania ustanovení GDPR a zákona o ochrane osobných údajov? Koľko kontrol bolo od účinnosti európskeho nariadenia vykonaných a aké, čo bude predmetom predmetom kontrol v roku 2019?

GDPR po roku: Ako sa e-shopy vysporiadali so zmenami?

Od 25. mája minulého roka je účinné nariadenie Európskej únie o ochrane osobných údajov známe pod skratkou GDPR. Ako firmy hodnotia tieto zavedené zmeny po roku?