Jednou zo základných povinností agentúr dočasného zamestnávania (ďalej ako „ADZ“) v zmysle zákona o službách zamestnanosti je zabezpečovať ochranu osobných údajov dočasného agentúrneho zamestnanca podľa platnej právnej úpravy vrátane Všeobecného nariadenia o ochrane údajov, známeho ako GDPR.
Kontaktujte nás!
V prípade záujmu o právne služby v oblasti ochrany osobných údajov nás neváhajte kontaktovať na office@akmv.sk
Prevádzkovateľ
V zmysle GDPR je prevádzkovateľom fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov.
Ako vyplýva z uvedenej definície, v postavení prevádzkovateľa bude ADZ, ale aj užívateľský zamestnávateľ, keďže oba subjekty určujú účely, na ktoré sa spracúvajú osobné údaje.
Konkrétnymi účelmi spracúvania osobných údajov týkajúcimi sa činnosti ADZ môže byť napr. evidencia dočasne pridelených zamestnancov, plnenie povinností zamestnávateľa v oblasti miezd a personalistiky, evidencia dochádzky zamestnancov a i.
Povinnosti prevádzkovateľa
V súvislosti so spracúvaním osobných údajov zamestnancov, ale aj ďalších kategórií dotknutých osôb, majú ADZ aj užívateľskí zamestnávatelia viaceré povinnosti v oblasti ochrany osobných údajov. Ide napr. o nasledovné povinnosti:
- Splnenie si informačnej povinnosti voči dotknutým osobám – informačnú povinnosť voči dotknutým osobám si je prevádzkovateľ povinný splniť už pri prvom spracúvaní osobných údajov danej dotknutej osoby, povinný rozsah informačnej povinnosti je presne vymedzený v čl. 13 a čl. 14 GDPR.
- Spracúvanie osobných údajov vždy na určitom právnom základe – prevádzkovateľ nemôže spracúvať osobné údaje, pokiaľ na spracúvanie nedisponuje vhodným právnym základom, najčastejšími právnymi základmi, na základe ktorých ADZ spracúvajú osobné údaje sú: plnenie zákonnej povinnosti, plnenie zmluvy a predzmluvné opatrenia, oprávnený záujem prevádzkovateľa a súhlas.
- Dodržiavanie princípov spracúvania osobných údajov – ide o základné princípy spracúvania osobných údajov, ako napr. zásada minimalizácie spracúvania osobných údajov, zásada transparentnosti a i.
- Prijatie primeraných technických a bezpečnostných opatrení – každý prevádzkovateľ je povinný prijať opatrenia na ochranu osobných údajov v závislosti od konkrétnych okolností, medzi konkrétne opatrenia, ktoré môže prevádzkovateľ prijať patrí napr. primerané zabezpečenie technických zariadení, politika hesiel, bezpečnostné prvky pri vstupe do priestorov prevádzkovateľa, používanie antivírusového programu a i.
- Akceptovanie a dodržiavanie práv dotknutých osôb – prevádzkovateľ je povinný vybaviť napr. žiadosti dotknutých osôb o prístup k ich osobným údajom, žiadosti o výmaz údajov, žiadosti o obmedzenie spracúvania a i.
Interná dokumentácia k ochrane osobných údajov
GDPR priamo zakotvuje povinnosť prevádzkovateľa viesť záznamy o spracovateľských činnostiach, pričom stanovuje aj ich minimálne náležitosti. Okrem toho by internú dokumentáciu v závislosti od okolností mali tvoriť aj ďalšie dokumenty, ako napr. poverenia pre osoby, ktoré v rámci prevádzkovateľa osobné údaje spracúvajú, podklady preukazujúce splnenie si informačnej povinnosti, podklady preukazujúce udelenie súhlasov, ak sú potrebné, evidencia bezpečnostných incidentov, zmluvy o spracúvaní osobných údajov, testy proporcionality v prípade, ak prevádzkovateľ spracúva osobné údaje na základe oprávneného záujmu a iné dokumenty v závislosti od konkrétnych okolností.
Ako postupujeme pri implementácii pravidiel na ochranu osobných údajov u ADZ alebo užívateľského zamestnávateľa?
- zaslanie vstupného dotazníka (v prípade potreby spojené so vstupnou telefonickou, video alebo osobnou konzultáciou),
- vypracovanie vstupnej analýzy,
- vypracovanie internej dokumentácie, ktorá je potrebná na základe vstupnej analýzy, prípadne revízia a aktualizácia existujúcej dokumentácie,
- odporúčania k praktickej aplikácii pravidiel na ochranu osobných údajov,
- záverečná konzultácia.