RGPD v HR: Spracovanie údajov zamestnancov

Všeobecné nariadenie o ochrane údajov (RGPD) sa neuplatňuje len na obchodné vzťahy medzi podnikom a jeho zákazníkmi: reguluje aj, a to veľmi presne, spracovávanie osobných údajov zamestnancov. Nábor, správa výplat, kontrola prístupu, hodnotenie výkonnosti, video dohľad… každá etapa životného cyklu pracovnej zmluvy generuje osobné údaje, ktoré musí zamestnávateľ spracovávať v prísnom súlade s európskym právom. S pokutami až do výšky 20 miliónov eur alebo 4 % celoročného celosvetového obratu je základ veľmi vážny. Tento článok podrobne opisuje aplikovateľné právne základy, praktické povinnosti HR oddielov a osvedčené postupy na zabezpečenie vašich spracovaní — vrátane dematerializácie HR dokumentov.

Právne základy spracovávania HR údajov

Právne základy podľa pracovného práva

RGPD uvádza šesť právnych základov pre spracovávanie osobných údajov (článok 6). V kontexte HR sú takmer systematicky používané tri z nich:

• Plnenie pracovnej zmluvy (čl. 6.1.b): predstavuje hlavný základ na správu výplat, sledovanie pracovného času, doručovanie výplatných listov alebo správu dovoleniek.

• Právna povinnosť (čl. 6.1.c): odôvodňuje spracovávanie prikazované pracovným zákonníkom alebo sociálnym právom, ako je deklarácia pred nástupu (DPAE), nominálne sociálne vyhlásenie (DSN) alebo vedenie jednotného registra personálu.

• Oprávnený záujem (čl. 6.1.f): môže zdôvodňovať určité spracovávanie bezpečnosti IT alebo prevenciu vnútorného podvodu, za predpokladu, že tento záujem nepreváži základné práva zamestnancov.

⚠️ Súhlas sa v kontexte pracovného vzťahu musí používať s krajnou obozretnosťou. CNIL pravidelne upozorňuje, že nerovnováha zakorenená vo vzťahu zamestnávateľ-zamestnanec činí súhlas zriedka „slobodným" v zmysle článku 7 RGPD. Použitie súhlasu na spracovávanie, ktoré by sa mohlo zakladať na inom právnom základe, vystavuje zamestnávateľa riziku prehodnotenia.

Osobitné kategórie údajov: posilnený režim

Určité údaje zbierané HR vzťahujú sa na režim „citlivých" údajov podľa článku 9 RGPD, ktorých spracovávanie je v zásade zakázané s výnimkami:

• Zdravotné údaje: pracovná neschopnosť, nezpôsobilosť určená pracovným lekárom, úpravy pracovného miesta pre postihnutie.

• Odborové údaje: členstvo v odbore, reprezentačné mandáty.

• Biometrické údaje: kontrola prístupu pomocou odtlačkov prstov alebo rozpoznávania tváre.

• Údaje týkajúce sa trestov: overovanie trestných registrov, povolené len v regulovaných sektoroch (bezpečnosť, starostlivosť o deti atď.).

Pre tieto kategórie musí zamestnávateľ identifikovať explicitného výnimku (čl. 9.2), vykonať analýzu dopad na ochranu údajov (AIPD) vo väčšine prípadov a často posúť CNIL pred nasadením.

Praktické povinnosti HR oddielov

Register spracovateľských činností

Každá organizácia zamestnávajúca viac ako 250 zamestnancov je povinná viesť register spracovateľských činností (čl. 30 RGPD). Pod touto hranicou povinnosť trvá, ak spracovávanie nie je príležitostné alebo sa týka citlivých údajov — čo je v HR takmer vždy prípad. Tento register musí dokumentovať:

• Účel každého spracovávania (napr. „správa výplatných listov")

• Kategórie dotknutých údajov

• Príjemcov (tretie strany, subdodávatelia, orgány)

• Lehoty uchovania

• Bezpečnostné opatrenia zavedené v praxi

CNIL poskytuje vzor registra na voľný stiahnutie. Jeho dôsledná údržba predstavuje prvú linku obrany pri kontrole.

Lehoty uchovania: často zanedbaný bod

Článok 5.1.e RGPD ukladá princíp obmedzenia uchovania: údaje sa nesmú uchovávať dlhšie, ako je potrebné na účel, pre ktorý boli zbierané. V HR sú odporúčané referenčné lehoty nasledujúce:

| Typ údajov | Odporúčaná lehota uchovania | |---|---| | Výplatný list | 5 rokov (občianskoprávna lúčka) | | Pracovná zmluva | 5 rokov po skončení zmluvy | | Údaje z náboru (kandidát neupokladnutý) | 2 roky najviac po poslednom kontakte | | Disciplinárny spis | Variabilná lehota podľa sankcie (max. 3 roky pre upozornenie) | | Údaje video dohľadu | 1 mesiac v štandardnom režime | | DSN a register personálu | 5 rokov po odchode zamestnanca |

Tieto lehoty musia byť zaznamenané v registri a uplatňované prostredníctvom postupov čistenia alebo definitívneho archívu.

Informovanie zamestnancov: často podceňovaná povinnosť

Článok 13 RGPD ukladá poskytnúť úplné informačné oznámenie dotknutým osobám pri zbieraní ich údajov. V HR by toto oznámenie malo byť v ideálnom prípade dodané:

• Už pri uchádzaní sa: na údaje zbierané počas náboru.

• Pri nástupe: zahrnuté do pracovnej zmluvy alebo priložené pri podpise.

• Počas pracovného vzťahu: pri každom novom spracovaní (napr. nasadenie biometrického bodávača).

Dematerializácia procesu onboarding, najmä prostredníctvom elektronického podpisu v HR, uľahčuje sledovateľnosť tohto dodania informácií: dátum čítania a podpisu oznámenia je viazaný na čas spoľahlivo, čo predstavuje cenný dôkazný prvok v prípade sporu.

Bezpečnosť HR údajov: technické a organizačné opatrenia

Šifrovanie, kontrola prístupu a izolácia

Článok 32 RGPD vyžaduje implementáciu bezpečnostných opatrení primeraných k riziku. Pri HR údajoch, ktoré sú svojou povahou citlivé a zamorené počas vniknutia, minimálne osvedčené postupy zahrnujú:

• Šifrovanie údajov v pokoji a v tranzite: súbory výplat, zmluvy a osobné spisy musia byť uložené šifrované (aspoň AES-256) a prenosované bezpečnými protokolmi (TLS 1.3).

• Riadenie prístupu podľa rolí (RBAC): len oprávnení HR správcovia majú prístup k údajom výplat; vedúci tímu má prístup len k údajom potrebným pre riadenie.

• Zaznamenávanie prístupu: každá konzultácia alebo zmena osobného spisu musí byť sledovaná s identifikátorom používateľa, dátumom a časom.

• Pseudonymizácia na analytické spracovávanie (HR dashboardy, štúdie odmeňovania).

Riadenie HR subdodávateľov

HR služby sa spolierajú na mnohých subdodávateľov: editori SIRH, poskytovatelia externalizovanej výplaty, školiace platformy, nástroje online náboru. Každý z týchto tretích strán musí mať zmluvu o subdodávateľstve v súlade s článkom 28 RGPD, ktorá presne špecifikuje:

• Povahu a účel subdodaného spracovávania

• Povinnosti subdodávateľa v bezpečnosti a dôvernosti

• Zákaz sub-subdodávky bez predchádzajúceho súhlasu

• Modalitu vrátenia alebo zničenia údajov po skončení zmluvy

Pri výbere poskytovateľa je vhodné tiež overiť, či sú jeho servery umiestnené v Európskom hospodárskom priestore (EHP) alebo či na transfery mimo EHP existuje adekvátny mechanizmus (štandardné zmluvné klauzuly, rozhodnutie o adekvátnosti).

Dematerializácia HR dokumentov a zhoda s RGPD

Rastúca digitalizácia HR procesov — elektronické pracovné zmluvy, dematerializované výplatné listy, dištančne podpísané dodatky — vyvolávajú špecifické otázky RGPD. Hoci elektronický podpis v súlade s eIDAS prináša bezspochybné záruky integrity a autenticity, zamestnávateľ musí zabezpečiť, aby používaná platforma:

• Nezberala nadbytočné údaje počas procesu podpisu (princíp minimalizácie, čl. 5.1.c)

• Uchovávala dôkazy o podpise (audit trail) v bezpečných podmienkach a počas vhodnej lehoty

• Umožňovala cvičenie práv podpisovateľov (prístup, opravu, vymazanie v právnych medziach)

Pre viac podrobností o zhode nástrojov podpisu pozrite kompletný sprievodca elektronickým podpisom od Certyneo, ktorý podrobne popisuje technické a právne kritériá na overenie pred nasadením.

Práva zamestnancov a ich účinné uplatnenie

Prehľad práv zaručených RGPD

Zamestnanci majú všetky práva podľa článkov 15 až 22 RGPD. V HR kontexte sú najviac cvičené nasledujúce práva:

• Právo na prístup (čl. 15): zamestnanec si môže požiadať kopiu všetkých údajov o ňom vedených zamestnávateľom, vrátane profesionálnych e-mailových výmen za určitých podmienok.

• Právo na opravu (čl. 16): oprava nepresných údajov (chyba v IBAN, chybne uvedený diplom atď.).

• Právo na vymazanie (čl. 17): v HR limitované zákonnými povinnosťami uchovania, ale uplatniteľné na nábor neúspešného kandidáta.

• Právo na námietku (čl. 21): môže sa uplatňovať proti spracovaniu založenému na oprávnenom záujme, ako určité spracovávanie sledovania.

• Právo na prenositeľnosť (čl. 20): uplatniteľné na údaje poskytnuté zamestnancom v rámci plnenia zmluvy.

Lehota odpovedania a vnútorné postupy

Zamestnávateľ má jeden mesiac na odpoveď na akúkoľvek požiadavku na cvičenie práv, lehota predĺžiteľná na tri mesiace pri zložitosti alebo vysokom objeme žiadostí (čl. 12.3). Na efektívne usporiadanie tohto spracovania sa odporúča:

• Určiť jediný kontaktný bod (DPO alebo HR referent RGPD) na prijímanie žiadostí

• Zriadiť vyhradený formulár dostupný zamestnancom

• Zdokumentovať každú žiadavku a jej odpoveď v registri žiadostí o uplatnenie práv

• Školiť HR manažérov rozpoznávať implicitné žiadavky (zamestnanec, ktorý si vyžaduje „svoj osobný spis", de facto cvičí svoje právo na prístup)

Rola DPO v spoločnosti

RGPD vyžaduje označenie Delegáta na ochranu údajov (DPO) v troch prípadoch (čl. 37): verejná autorita, spracovávanie v rozsiahlom rozsahu citlivých údajov alebo systematické sledovanie vo veľkom rozsahu. Mnohé spoločnosti s významným HR spracovaním spadajú pod túto povinnosť. DPO môže byť interný alebo externalizovaný; musí mať funkčnú nezávislosť a byť zaangažovaný do všetkých rozhodnutí ovplyvňujúcich ochranu údajov, vrátane nasadenia nových digitálnych HR nástrojov. Jeho úloha je poradná a nie rozhodovacia: konečná zodpovednosť ostáva na zodpovednom za spracovávanie, t.j. na zamestnávateľovi.

Právny rámec uplatniteľný na spracovávanie HR údajov

RGPD: základný text

Nariadenie (EÚ) 2016/679 Parlamentu a Rady z 27. apríla 2016 (RGPD) predstavuje regulačný základ spracovávania osobných údajov v Európe. Priamo sa uplatňuje vo všetkých členskych štátoch od 25. mája 2018 a zavádza sa na všetkých zamestnávateľov spracovávajúcich údaje zamestnancov žijúcich v EÚ bez ohľadu na národnosť spoločnosti. Hlavné články uplatniteľné v HR kontexte sú:

• Čl. 5: základné princípy (zákonnosť, lojalita, transparentnosť, minimalizácia, presnosť, obmedzenie uchovania, integritu a dôvernosť, zodpovednosť)

• Čl. 6: právne základy spracovávania

• Čl. 9: režim citlivých údajov

• Čl. 12 až 22: práva dotknutých osôb

• Čl. 24 až 32: povinnosti zodpovedného za spracovávanie a subdodávateľa

• Čl. 33-34: oznamovanie porušení údajov (72 hodín CNIL a informovanie osôb, ak vysoké riziko)

• Čl. 35: analýza dopadu (AIPD) povinná pre vysokoriziková spracovávanie

• Čl. 83: administratívne sankcie (až 20 M€ alebo 4 % celosvetového CA)

Francúzsky zákon o informatike a slobodách

V francúzskom práve zákon č. 78-17 zo 6. januára 1978 o informatike, súboroch a slobodách, upravený zákonom č. 2018-493 z 20. júna 2018 a nariadením č. 2018-1125 z 12. decembra 2018, doplňuje RGPD otváraním národných manévrovacích priestorov („otváracie klauzuly"). Medzi najdôležitejšie v HR: možnosť spracovávať odborové údaje v rámci riadenia reprezentačných inštitúcií personálu (čl. 9 zákona), alebo špecifické pravidlá spracovávania zdravotných údajov na pracovisku.

Pracovný zákonník a sociálna jurisprudencia

Pracovný zákonník ukladá povinnosti informovania a predchádzajúcej konzultácie Sociálneho a ekonomického výboru (CSE) pred nasadením akéhokoľvek sledovacieho alebo kontrolného zariadenia zamestnancov (čl. L. 2312-38). Nedostatok konzultácie vystavuje zamestnávateľa riziku neoprávnenosti zbieraných dôkazov a trestným sankciám.

Jurisprudencia Kasačného súdu pravidelne pripomína, že kontrolné nástroje (geolokácia, bodávač, softvér sledovania činnosti) musia byť primerané cieľu a nemôžu byť smerodajne použité na iné účely, ako sú tie deklarované zamestnancom a CNIL.

Elektronický podpis HR dokumentov: eIDAS a Občiansky zákonník

Pri dematerializácii pracovných zmlúv, dodatkov alebo disciplinárnych dokumentov musí zamestnávateľ dodržiavať Nariadenie (EÚ) č. 910/2014 eIDAS, ktoré definuje tri úrovne elektronického podpisu. Pre také podstatné dokumenty ako CDI pracovná zmluva alebo dohoda o ukončení je odporúčaná pokročilý elektronický podpis (či dokonca kvalifikovaný), aby sa zabezpečila identita podpisovateľa a integritu dokumentu. Občiansky zákonník v článkoch 1366 a 1367 potvrdzuje dôkazy elektronického spisu a elektronického podpisu, za predpokladu spoľahlivej identifikácie podpisovateľa a záruky integrity.

Sankcie CNIL v HR oblasti

CNIL vyhlasila viaceré významné sankcie za spracovávanie HR údajov: v roku 2022 bola spoločnosť odsúdená na pokutu 400 000 € za nadmerný dohľad zamestnancov v home office prostredníctvom softvéru na zaznamenávanie obrazovky. V roku 2023 spoločnosť bezpečnosti dostala pokutu 200 000 € za nadmerný zber biometrických údajov bez platného právneho základu. Tieto rozhodnutia ilustrujú rastúcu pozornosť regulátora v tejto oblasti.

Scenáre použitia: RGPD HR v praxi

Scenár 1 — Priemyselný stredný podnik so 450 zamestnancami uvedie proces náboru do zhody

Priemyselný podnik strednej veľkosti s približne 450 zamestnancami na troch lokalitách ročne prijal viac ako 3 000 spontánnych uchádzaní a reagoval na šesťdesiat ponúk zamestnaní. CV a motivačné listy boli uložené bez časového obmedzenia v zdieľanej poštovej schránke medzi šiestimi vedúcimi služieb. Kandidáti neboli informovaní o použití ich údajov.

Po audit RGPD boli nasledujúce kroky nasadené do šiestich mesiacov:

• Migrácia na ATS (Applicant Tracking System) certifikovaný ako RGPD kompatibilný, s automatickým čistením nevyužitých dosierov po 24 mesiacoch

• Pridanie informačného oznámenia RGPD do každého online formulára kandidáta

• Elektronický podpis ponúk a pracovných zmlúv prostredníctvom platformy kompatibilnej s eIDAS, čím sa skrátila lehota vrátenia podpísaných zmlúv z priemerne 8 dní na menej ako 48 hodín

• Aktualizácia registra spracovateľských činností s 12 novými HR spracovateľskými listami

Výsledok: žiadne CNIL žiadosti prijané v nasledujúcich 18 mesiacoch; odhadovaný zisk 1,2 FTE na administratívnej správe náboru vďaka dematerializácii.

Scenár 2 — Skupinový distribútor so 1 200 zamestnancami upravuje svoju politiku video dohľadu

Skupinu špecializovanú na potravinársku distribúciu nasadila systém video dohľadu pokrývajúci 34 predajní. Obrázky boli uchovávané 45 dní na niektorých miestach bez informácií uverejnených pre zamestnancov. Niekoľko senzorov trvale pokrývalo jednotlivé pracovné miesta, čím vzniklo riziko neprimeraneho sledovania.

Po sťažnosti zamestnanca pre CNIL sa spoločnosť zapojila do úpravy vrátane:

• Zníženie doby uchovania na 30 dní maximum na všetkých lokalitách

• Presunutie kamier aby sa vylúčil trvalý dohľad nad jednotlivými pracovnými miestami

• Konzultácia a súhlas centrálneho CSE pred akýmkoľvek novým nasadením

• Systematické informovanie zamestnancov prostredníctvom pracovných zmlúv a interného kódexu vylepeného na viditeľnom mieste

Výsledok: uzavretie sťažnosti CNIL bez sankcie; zlepšenie sociálnej klímy merané pri ročnom prieskume spokojnosti (+11 bodov v položke „dôvera voči zamestnávateľovi").

Scenár 3 — Konzultačná HR spoločnosť externalizujúca výplatu zabezpečuje transfery údajov

Spoločnosť špecializovaná na externalizáciu výplaty a správy personálu spravovala spisy zamestnancov pre dvadsať malých a stredných podnikov, čo predstavovalo približne 1 800 výplatných listov mesačne. Súbory výplat boli odoslané nešifrovaným e-mailom bez formalizovanej zmluvy o subdodávateľstve v zmysle článku 28 RGPD.

Spoločnosť vykonala kompletnú reformu svojich praktík:

• Podpis Dohôd o spracovaní údajov (DPA) kompatibilných s článkom 28 s každým z jej klientov prostredníctvom platformy pokročilého elektronického podpisu umožňujúcej sledovateľnosť

• Zavedenie zabezpečeného klientskeho portálu (šifrovanie TLS + dvojfaktorová autentifikácia) na odovzdávanie a načítavanie výplatných listov

• Hostovanie údajov na serveroch umiestnených vo Francúzsku, certifikovaných HDS na zdravotné údaje na pracovisko

• Redakcia politiky subdodávky upravujúcej recourse na tretie strany (editor softvéru výplaty, archivár)

Výsledok: 100 % zníženie prenosov HR údajov nešifrovaným e-mailom; nadobudnutie dvoch nových klientskych zmlúv, ktorých zhodou RGPD bol povinný výbeový kriterium na ich verejnej súťaži.

Záver

RGPD v HR nie je len ďalšou administratívnou záťažou: je to páka dôvery medzi zamestnávateľom a jeho spolupracovníkmi a faktor konkurencieschopnosti na trhu práce, kde je transparentnosť čoraz viac cenená. Aktualizovaný register spracovateľských činností, kontrolované lehoty uchovania, formalizované informovanie zamestnancov, posilnená bezpečnosť citlivých údajov a smluvne zaviazaní subdodávatelia: každý z týchto pilierov prispievajú k vybudovaniu HR politiky, ktorá je právna aj zodpovedná.

Dematerializácia HR dokumentov — zmluvy, dodatky, výplatné listy, informačné oznámenia — ponúka jedinečnú príležitosť skombinovať zhodu s RGPD a operačnú efektivitu, za predpokladu spoľahnutia sa na certifikované nástroje. Certyneo vás sprevádzame v tejto iniciatíve s riešením elektronického podpisu kompatibilným s eIDAS, navrhnutým pre HR tímy. Objavte naše ceny a spustite bezplatný pokus na Certyneo aby ste dnes zabezpečili svoje HR dokumenty.