GDPR po skončení pracovného pomeru

Európske nariadenie, známe ako GDPR, sa od mája 2018 uplatňuje nielen pri spracovávaní osobných údajov pred uzavretím pracovného pomeru či počas jeho trvania, ale aj po jeho skončení. Kedy môže zamestnávateľ uchovávať osobné údaje bývalého zamestnanca a po akú dobu?

Každý zamestnávateľ musí pre správne fungovanie svojej firmy spracúvať určité osobné údaje zamestnancov. Hlavným účelom spracúvania osobných údajov zamestnancov v pracovnoprávnych vzťahoch je nutnosť zamestnávateľa plniť povinnosti vyplývajúce z uzavretia pracovnej zmluvy a osobitných zákonov (napr. viesť mzdovú agendu). Počas trvania pracovného pomeru tak zamestnávateľ spracúva osobné údaje svojich zamestnancov spravidla na základe toho, že:

  • spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, teda zamestnanec (čl. 6 bod 1 písm. b/ GDPR),
  • spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa, teda zamestnávateľa (čl. 6 bod 1 písm. c/ GDPR).

Spracúvanie osobných údajov po skončení pracovného pomeru je často oblasťou, ktorú zamestnávatelia podceňujú. Zamestnanec už síce pre zamestnávateľa nepracuje, ten však naďalej archivuje jeho osobný spis s osobnými údajmi, ktoré získal počas trvania pracovného pomeru. Zamestnávateľ si musí byť vedomý, že takýto postup môže byť v rozpore s GDPR a novým zákonom o ochrane osobných údajov, v dôsledku čoho mu môžu hroziť nemalé pokuty.

Čo s osobnými údajmi po skončení pracovného pomeru?

Ak zanikol pracovný pomer, zamestnávateľ musí zvážiť:

  1. bezodkladný výmaz/likvidáciu osobných údajov (spravidla vtedy, keď zanikli všetky účely pre spracúvanie údajov) alebo
  2. existenciu nejakého účelu, pre ktorý by sa osobné údaje bývalého zamestnanca mohli ešte ďalej spracúvať, resp. uchovávať.

Výmaz osobných údajov po skončení pracovného pomeru

Čl. 17 GDPR zakotvil právo dotknutej osoby na výmaz osobných údajov, tzv. právo „na zabudnutie“. Podľa neho je prevádzkovateľ povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z ustanovených dôvodov (napr. keď osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali).

To znamená, že pokiaľ zanikli všetky účely pre spracúvanie osobných údajov bývalého zamestnanca, zamestnávateľ ich musí po skončení pracovného pomeru bezodkladne vymazať. Vymazanie osobných údajov znamená, že zamestnávateľ musí fyzicky zlikvidovať všetky papierové dokumenty obsahujúce osobné údaje (tzv. skartácia) a tiež vymazať osobné údaje vedené elektronicky zo všetkých elektronických systémov vrátane záloh. Výmaz osobných údajov je potrebné realizovať bez možnosti ich obnovenia.

Medzi dokumenty, ktoré treba po skončení pracovného pomeru zlikvidovať patrí napríklad životopis, motivačný list alebo kópie osobných dokladov (občianskeho preukazu), tiež osobné údaje o rodinných príslušníkoch bývalého zamestnanca, ktoré boli potrebné pre účely poskytovania zamestnaneckých benefitov.

Spracúvanie (uchovávanie) osobných údajov po skončení pracovného pomeru

Ak po skončení pracovného pomeru existuje nejaký účel, pre ktorý by sa osobné údaje bývalého zamestnanca mohli ďalej spracúvať, zamestnávateľ ich môže spracúvať, ale iba v obmedzenom rozsahu. Zamestnávateľ teda nemôže po zániku pracovnej zmluvy spracúvať (uchovávať) osobnú zložku zamestnanca v celom rozsahu. Uchovávať sa môžu len nevyhnutné dokumenty pre plnenie konkrétneho účelu spracúvania osobných údajov. Najčastejšie pôjde o údaje, ktoré sa týkajú mzdovej agendy a ktoré sa vzťahujú k daňovej povinnosti bývalého zamestnanca.

V tomto prípade je vždy nutné, aby zamestnávateľ určil druh spracúvaných osobných údajov, t. j. ktoré údaje budú ďalej spracúvané a vymedzil účel ich spracúvania. Pri kontrole zo strany Úradu na ochranu osobných údajov SR to musí vedieť preukázať. Osobné údaje v žiadnom prípade nie je možné spracúvať len preto, že by sa niekedy v budúcnosti mohli zamestnávateľovi hodiť.

Článok pokračuje pod reklamou

Účelom spracúvania osobných údajov po skončení pracovného pomeru je napríklad:

  • archivovanie – zamestnávateľ je podľa viacerých zákonov povinný niektoré dokumenty obsahujúce osobné údaje bývalého zamestnanca archivovať po určitú dobu (napr. podľa zákona č. 595/2003 Z. z. o dani z príjmov musí uchovávať mzdové listy po dobu ustanovenú osobitným predpisom, ktorým je zákon č. 431/2002 Z. z. o účtovníctve; zákon o účtovníctve však neustanovuje konkrétnu povinnú dobu uchovávania mzdových listov, preto je potrebné, aby ju určil zamestnávateľ v registratúrnom pláne - najlepšie je určiť pomerne dlhú dobu úschovy, aj niekoľko desiatok rokov; spravidla sa uchovávajú počas doby ustanovenej podľa toho, akú funkciu plnia pri vedení účtovníctva) - v tomto prípade je spracúvanie nevyhnutné na splnenie zákonnej povinnosti zamestnávateľa,
  • obhajoba právnych nárokov v prípade budúceho súdneho sporu s bývalým zamestnancom (napr. ak by bývalý zamestnanec žaloval zamestnávateľa o náhradu škody/ujmy, môže zamestnávateľ za účelom dokazovania v takomto konaní uchovávať potrebné dokumenty po dobu plynutia premlčacej doby – objektívna premlčacia doba je tri roky, ale odporúča sa uchovanie údajov až po dobu štyroch rokov) - v tomto prípade je spracúvanie nevyhnutné na účel oprávneného záujmu zamestnávateľa.

Príklad:

Spoločnosť AB s.r.o., ktorá vlastní e-shop, zamestnáva päť zamestnancov. S jedným zo zamestnancov, Ivanom Bystrým, bol ukončený pracovný pomer výpoveďou zo strany zamestnávateľa (zo zákonného dôvodu). Spoločnosť AB s.r.o. ako zamestnávateľ si následne urobila zoznam všetkých dokumentov obsahujúcich osobné údaje tohto zamestnanca a tie, ktoré nepodliehajú zákonnej archivačnej povinnosti, bezodkladne fyzicky zlikvidovala a vymazala z elektronických systémov. Pre prípad budúceho súdneho sporu o neplatnosti rozviazania pracovného pomeru bude spoločnosť AB s.r.o. uchovávať potrebné dokumenty (napr. výpoveď).

Pokuta za porušenie povinnosti podľa GDPR

Ak zamestnávateľ po skončení pracovného pomeru naďalej spracúva osobné údaje zamestnanca, ktoré mal bezodkladne vymazať (napr. archivuje jeho životopis) alebo ich spracúva bez vymedzenia konkrétneho účelu, porušuje základné zásady ustanovené v GDPR.

Tým sa zamestnávateľ vystavuje hrozbe udelenia pokuty až do výšky 20 000 000 eur alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Viac podobných článkov nájdete na www.podnikajte.sk


Firmy môžu prísť o cookies: poskytovateľ cookie líšt čelí žalobe

Belgický dozorný orgán rozhodol, že cookie lišta od IAB Europe je v rozpore s GDPR, čo môže ovplyvniť aj slovenských prevádzkovateľov webov. Ako sa vyhnúť problémom?

Prenos osobných údajov z EÚ do USA: porušuje známa služba GDPR?

Európske dozorné orgány sa začínajú zaoberať prenosmi osobných údajov európskych užívateľov do USA. Do pozornosti sa dostala predovšetkým služba Google Analytics.

Cookies od 1.2.2022: odborníci o dopade nových pravidiel na podnikanie

Odborníci o tom, ako nový zákon o elektronických komunikáciách ovplyvní online podnikanie, aké zmeny treba zaviesť do konca januára a či to zvládnu aj podnikatelia bez pomoci programátora.

Cookies a pravidlá ich spracúvania od 1.2.2022

Za porušenie nových pravidiel spracúvania cookies hrozí sankcia do 10 % z obratu. Na čo dať pozor, ako po novom súhlas získať a ako dlho ho možno uchovať? Odpovede na praktické otázky.
To najlepšie z Podnikajte.sk do vašej schránky