Povinnosti zamestnávateľov vyplývajúce z ochrany osobných údajov

Zamestnávateľ vykonávajúci spracovanie miezd s personálnej agendy prichádzajúca do neustáleho kontaktu s osobnými údajmi jednotlivých zamestnancov. Preto musí pri svojej činnosti dodržiavať ustanovenia zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Dotknutou osobou na účely ochrany osobných údajov je každá fyzická osoba, ktorej sa osobné údaje týkajú. Dotknutou osobou môže byť výlučne len fyzická osoba, nie je pri to rozhodujúce, či ide o občana Slovenskej republiky alebo cudzinca. Ochrana súkromia a osobných údajov fyzických osôb pri ich spracúvaní predstavuje citlivú oblasť v rámci základných ľudských práv a slobôd garantovaných Ústavou slovenskej republiky. Osobné údaje sú vstupnou bránou do súkromia každého. Ich prípadné zneužitie môže mať negatívne následky pre celý život.

Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ. Spracúvanie možno vykonávať len spôsobom ustanoveným zákonom a v jeho medziach tak, aby nedošlo k porušeniu základných práv a slobôd dotknutých osôb, najmä k porušeniu ich práva na zachovanie ľudskej dôstojnosti alebo k iným neoprávneným zásahom do ich práva na ochranu súkromia.

Osobné údaje môže vo vlastnom mene spracúvať vždy len prevádzkovateľ. V záujme zachovania ochrany osobných údajov pri ich spracúvaní je prevádzkovateľ povinný najmä dodržiavať povinnosti:

• určiť kto je prevádzkovateľom, prípadne sprostredkovateľom a vymedziť ich vzájomný vzťah prostredníctvom písomnej zmluvy (§ 8),
• určite účel spracúvania osobných údajov, ak sa osobné údaje nespracúvajú na základe osobitného zákona,
• určite podmienky (prostriedky a spôsob) spracúvania osobných údajov,
• vymedziť zoznam osobných údajov, ktoré bude prevádzkovateľ získavať, ak osobné údaje nie sú spracúvané na základe osobitného zákona,
• dodržiavať základné zásady získavania a spracúvania osobných údajov (najmä § 6),
• získať súhlas dotknutej osoby na spracúvanie jej osobných údajov, pokiaľ zákon o ochrane osobných údajov neustanovuje, že osobné údaje sa spracúvajú bez súhlasu dotknutej osoby (§ 10 a § 11),
• splniť si informačnú povinnosť voči dotknutej osobe pred získaním jej osobných údajov (§ 15 ods. 1 až 3),
• prijať primerané bezpečnostné opatrenia a bezpečnostnú dokumentáciu (§19 a §20),
• poučiť svoje oprávnené osoby (§ 21),
• zachovávať mlčanlivosť (§ 22),
• dodržiavať podmienky a s tým súvisiace povinnosti pre poverenie zodpovednej osoby, pokiaľ sa prevádzkovateľ rozhodne, že výkonom dohľadu nad ochranou osobných údajov poverí zodpovednú osobu (§ 23 až § 26),
• oznámiť informačné systémy, prihlásiť informačné systémy na osobitnú registráciu alebo viesť o nich evidenciu (§ 33 až § 44).

Oprávnenou osobou je fyzická osoba, ktorá prichádza do kontaktu s osobnými údajmi u prevádzkovateľa v rámci plnenia svojich pracovných (služobných) povinností alebo odborného vzťahu s prevádzkovateľom (založeného napr. na základe poverenia, vymenovania, zvolenia alebo v rámci výkonu verejnej funkcie), a ktorá vykonáva prevádzkovateľom určené spracovateľské operácie s osobnými údajmi.

Prevádzkovateľ je povinný poučiť oprávnenú osobu o rozsahu jej oprávnení, povolených činností a podmienok spracúvania osobných údajov. Poučenie zodpovedá spracovateľským operáciám, ktoré fyzická osoba s osobnými údajmi vykonáva s ohľadom na svoju pracovnú pozíciu, poverenie alebo funkciu. O poučení prevádzkovateľ vyhotovuje záznam, ktorý je povinný na požiadanie úradu hodnoverne preukázať. Vzory záznamov o poučení zverejňuje úrad na ochranu osobných údajov.