Ochrana osobných údajov v informačnom systéme Personálna a mzdová agenda

O tých informačných systémoch, ktoré nepodliehajú oznamovacej povinnosti alebo osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu.

Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) na svojej webovej stránke (www.dataprotection.gov.sk) upozorňuje: „Informačný systém osobných údajov Mzdy a personalistika nepodlieha oznamovacej povinnosti na základe § 34 ods. 2 písm. d) zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov; je potrebné o ňom viesť iba evidenciu (evidenčný list). Evidenčný list prevádzkovateľ na Úrad na ochranu osobných údajov Slovenskej republiky nezasiela, necháva si ho u seba.“

Prevádzkovateľ môže spracúvať osobné údaje len prostredníctvom osôb, ktoré majú postavenie oprávnených osôb. Výber svojich oprávnených osôb je v kompetencii prevádzkovateľa – štatutára.

Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21 citovaného zákona. Napríklad v informačnom systéme Personalistika a mzdy: personalistka, mzdárka, štatutár, asistentka, vedúci oddelení, majstri (dochádzka, OČR, dovolenka, priepustky a podobne). Oprávnenou osobou nemusí byť iba osoba, ktorá má prístup do automatizovanej časti informačného systému, ale aj taká, čo má prístup iba k listinnej podobe, napríklad práve vedúci zamestnanci, ktorí pripravujú podklady pre odmeny svojich podriadených, podpisujú dovolenky a podobne.

Je dôležité vedieť, čo sa rozumie pod pojmom spracúvanie, pretože podľa toho si prevádzkovateľ vie povedať, kto je jeho oprávnená osoba. Spracúvaním osobných údajov sa rozumie vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie.

Fyzická osoba, ktorá spĺňa podmienky oprávnenej osoby zadefinované v zákone, sa stáva oprávnenou osobou až dňom jej písomného poučenia.

Poučenie oprávnených osôb od účinnosti nového zákona o ochrane osobných údajov, t. j. od 1. júla 2013, má tieto zákonom stanovené náležitosti uvedené v § 21 ods. 3 citovaného zákona:

a) identifikačné údaje prevádzkovateľa;

b) titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie a podpis oprávnenej osoby;

c) titul, meno, priezvisko, pracovné zaradenie alebo funkciu a podpis toho, kto vykonal poučenie;

d) prevádzkovateľ je oprávnenú osobu povinný poučiť o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie pred uskutočnením prvej operácie s osobnými údajmi. Poučenie obsahuje najmä rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov;

e) deň poučenia a

f) deň, odkedy osoba prestala byť oprávnenou osobou; tento údaj doplní prevádzkovateľ po ukončení jej činnosti ako oprávnenej osoby.

Poučenie oprávnených osôb od 15. apríla 2014 nemusí mať takéto náležitosti, ale podľa novely zákona účinnej od tohto dátumu: „Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť záznam, ktorý je povinný na požiadanie úradu hodnoverne preukázať“. Z uvedeného vyplýva, že poučenie by nemuselo mať písomnú podobu, ale mohlo by byť aj v automatizovanej podobe a napr. oprávnená osoba zakliknutím potvrdí, že sa s poučením oboznámila a tento spôsob sa bude uchovávať.

Zákon výslovne vymenúva aj okolnosti, za ktorých je prevádzkovateľ povinný opätovne poučiť svoju oprávnenú osobu, a to vtedy, ak došlo k podstatnej zmene jej pracovného, služobného alebo funkčného zaradenia, a tým sa významne zmenil obsah náplne jej pracovných činností alebo sa podstatne zmenili podmienky spracúvania osobných údajov alebo rozsah spracúvaných osobných údajov v rámci jej pracovného, služobného alebo funkčného zaradenia.

Súčasťou poučenia oprávnených osôb môže byť aj poučenie o mlčanlivosti. Nový zákon o ochrane osobných údajov stanovuje, že oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť. Podľa § 22 ods. 3 sú povinné zachovávať mlčanlivosť o osobných údajoch aj iné fyzické osoby, ktoré prišli do styku s osobnými údajmi, napríklad v rámci výkonu svojho zamestnania pri zavádzaní nových informačných technológií alebo údržby technického zariadenia u prevádzkovateľa alebo sprostredkovateľa (napríklad v zmluve so spoločnosťou, ktorá nám poskytla program na vedenie mzdovej agendy, prevádzkovateľ uvedie, že táto spoločnosť bude dodržiavať bezpečnosť a mlčanlivosť pri spracúvaní osobných údajov a svoje oprávnené osoby poučí o právach, povinnostiach, zodpovednosti a mlčanlivosti).

Napríklad:

Je spoločnosť Vema, a. s., Brno, resp. iný poskytovateľ a správca softvéru na spracovanie miezd na základe zmluvy o poskytovaní aplikačných služieb uzavretej so zamestnávateľom sprostredkovateľom osobných údajov v zmysle zák. č. 122/2013 Z. z. o ochrane osobných údajov? Mzdy v programe Vema spracúvajú zamestnanci zamestnávateľa.

Zákon o ochrane osobných údajov považuje za sprostredkovateľa každého, kto spracúva osobné údaje v mene prevádzkovateľa, v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve. Z informácií uvedených v otázke vyplýva, že spoločnosť Vema je poskytovateľom softvéru, na ktorom spracúva prevádzkovateľ prostredníctvom svojich oprávnených osôb mzdy a personalistiku. Napriek tomu, že je možné, aby v prípade poruchy kontaktoval firmu Vema a jeho zamestnanci prevádzkovateľovi prípadné nedostatky odstránili, títo sa z pohľadu zákona považujú iba za iné fyzické osoby a spoločnosť Vema a. s. nie je z pohľadu zákona o ochrane osobných údajov sprostredkovateľom. Spoločnosť Vema a. s. nie je na účel zákona o ochrane osobných údajov považovaná za sprostredkovateľa, keďže nespracúva osobné údaje v mene prevádzkovateľa, pretože konkrétne spracúvanie osobných údajov v informačnom systéme vykonávajú zamestnanci prevádzkovateľa, a teda jeho oprávnené osoby.

V zmysle § 22 zákona o ochrane osobných údajov majú takéto osoby povinnosť zachovávať mlčanlivosť o osobných údajoch, s ktorými prídu do styku. Tieto údaje nesmú využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nesmú zverejniť a nikomu poskytnúť ani sprístupniť. Povinnosť mlčanlivosti trvá aj po skončení pracovného pomeru týchto osôb.

Spoločnosť, ktorá poskytuje IT servis, je považovaná za príjemcu; pozri vzor evidenčného listu.

Oprávnené osoby sú povinné získavať iba tie osobné údaje, ktoré im osobitné zákony umožňujú a tie nesmú zverejňovať a ani poskytovať žiadnym neoprávneným osobám.

Vzor poučenia oprávnenej osoby je zverejnený na www.dataprotection.gov.sk.

Poznámka redakcie:
§ 21 až § 22 zákona č. 122/2013 Z. z.

Prevádzkovateľ je povinný dotknutej osobe/zamestnancovi poskytnúť pri získavaní jej osobných údajov nasledovné informácie:

a) identifikačné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol vymenovaný,

b) identifikačné údaje sprostredkovateľa; to neplatí, ak prevádzkovateľ pri získavaní osobných údajov nepostupuje podľa § 8,

c) účel spracúvania osobných údajov,

d) zoznam osobných údajov alebo rozsah osobných údajov podľa § 10 ods. 4 prvá veta a

e) doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a podmienky spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov v rozsahu najmä

1. preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom k tomu subjektu, v mene ktorého koná; oprávnená osoba je povinná takejto žiadosti dotknutej osoby bez zbytočného odkladu vyhovieť,
2. poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje; ak prevádzkovateľ získava osobné údaje dotknutej osoby na základe súhlasu dotknutej osoby podľa § 11, oznámi jej aj čas platnosti súhlasu a ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo zákona, prevádzkovateľ oznámi dotknutej osobe právny základ, ktorý jej túto povinnosť ukladá, a upovedomí ju o následkoch odmietnutia poskytnúť osobné údaje,
3. tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
4. okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
5. formu zverejnenia, ak majú byť osobné údaje zverejnené,
6. tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční prenos osobných údajov,
7. poučenie o právach dotknutej osoby.

Uvedené informácie môžu byť uvedené v pracovnej zmluve, v dotazníku alebo v samostatnom dokumente; pozri vzor.

Prevádzkovatelia vedením personálnej a mzdovej agendy poverujú externé firmy, ktoré spracúvajú osobné údaje v ich mene. Táto spolupráca sa uskutočňuje na základe zmluvy. Z pohľadu zákona o ochrane osobných údajov dochádza k zmluvnému vzťahu medzi prevádzkovateľom a sprostredkovateľom (napr. na účely zabezpečenia vedenia personálnej a mzdovej agendy, ukladania, archivovania a likvidácie dokumentov, zabezpečenia pracovnej zdravotnej služby a za dohľad nad pracovným prostredím, zabezpečovania stravovania prostredníctvom stravných lístkov, zabezpečenia komplexných služieb na úseku BOZP). Nie vždy ide o sprostredkovateľa, napríklad ak si v prípade zabezpečovania stravovania prostredníctvom stravných lístkov objednám stravné lístky a nič viac, tak nejde o sprostredkovateľa, ale ak si objednám stravné lístky a zašlem menný zoznam zamestnancov, aby mi ich externá firma rozdelila do balíčkov, tak už ide o sprostredkovateľa. Vždy je potrebné pri identifikácii, či ide o sprostredkovateľa alebo prevádzkovateľa (a teda tretiu stranu), si položiť otázku: V mene koho spracúva uvedený subjekt osobné údaje? V mene prevádzkovateľa? Vo svojom mene?

Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ. Prevádzkovateľom je každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene.

Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve. Ak bol sprostredkovateľ poverený spracúvaním osobných údajov, rozumie sa tým kontinuálny prechod spracúvania osobných údajov na sprostredkovateľa. Sprostredkovateľ vykonáva všetky úkony smerujúce na dosiahnutie účelu spracúvania v mene prevádzkovateľa. V prípade, že sprostredkovateľ má osobné údaje z informačného systému poskytovať inému prevádzkovateľovi, je oprávnený tak učiniť, len ak mu to vyplýva z písomnej zmluvy. To platí aj na sprístupňovanie, zverejňovanie, likvidáciu, prípadne iné spracovateľské operácie s osobnými údajmi. Na zabezpečenie týchto úloh musí zmluva obsahovať konkrétne vymedzenie rozsahu a podmienok, za ktorých sa spracúvanie osobných údajov vykonáva.

Prevádzkovateľ je povinný dbať pri výbere sprostredkovateľa najmä na jeho odbornú, technickú, organizačnú a personálnu spôsobilosť zabezpečiť spracúvanie osobných údajov v súlade s týmto zákonom. Prevádzkovateľ nemôže zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb. To znamená, že sprostredkovateľ musí mať vypracované bezpečnostné opatrenia (bezpečnostný projekt, bezpečnostnú zmluvu, základnú dokumentáciu) a tiež poučené oprávnené osoby o právach, povinnostiach, zodpovednosti a o mlčanlivosti.

Náležitosti zmluvy

Nový zákon o ochrane osobných údajov prináša novinku, a tou sú zákonom stanovené náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom. Zmluva musí mať tieto zákonom stanovené náležitosti:

a) údaje o zmluvných stranách;

1. titul, meno, priezvisko, dátum narodenia a adresu trvalého pobytu, ak ide o fyzickú osobu,
2. názov, právnu formu, adresu sídla a identifikačné číslo, ak ide o právnickú osobu,
3. obchodné meno, adresu miesta podnikania a identifikačné číslo, ak ide o fyzickú osobu – podnikateľa,

b) deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov v mene prevádzkovateľa (napr. odo dňa podpisu zmluvy alebo odo dňa podpísania zmluvy o vedení personálnej a mzdovej agendy 11. 11. 1111),

c) účel spracúvania osobných údajov,

d) názov informačného systému (POZOR, tu sa uvedie názov informačného systému, ktorý má prevádzkovateľ uvedený na evidenčnom liste),

e) zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno nahradiť rozsahom osobných údajov podľa § 10 ods. 4,

f) okruh dotknutých osôb,

g) podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými údajmi (napr. spôsob odovzdávania osobných údajov emailom, poštou, osobne alebo čo sa bude diať s dokumentáciou po skončení zmluvného vzťahu),

h) vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa § 8 ods. 2 prvej vety,

i) súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom inej osoby, ak postupujú podľa § 8 ods. 5,

j) dobu, na ktorú sa zmluva uzatvára,

k) dátum uzatvorenia zmluvy a podpisy zmluvných strán.

Ak sprostredkovateľ spracúva osobné údaje v mene prevádzkovateľa, je povinný podľa § 8 ods. 8 citovaného zákona dodržiavať povinnosti ustanovené prevádzkovateľovi v § 5 ods. 1, § 6 ods. 2 písm. c) až i), § 6 ods. 4, § 19 až § 26, ak zákon o ochrane osobných údajov neustanovuje inak.

Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a rovnako aj sprostredkovateľ. Prevádzkovateľ (pokiaľ si v zmluve so sprostredkovateľom nedohodne inak) je povinný vytvoriť také podmienky fungovania nimi prevádzkovaného informačného systému, ktoré zaručia ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Prevádzkovateľ je povinný splniť súčasne všetky uvedené bezpečnostné opatrenia, nielen niektoré z nich. Bezpečnostné opatrenia treba prijať nielen v rozsahu technických a organizačných, ale aj personálnych opatrení na zabezpečenie ochrany spracúvaných osobných údajov.

V závislosti od rizikovosti spracúvania osobných údajov je nevyhnutné, aby prevádzkovateľ a sprostredkovateľ zdokumentovali prijaté bezpečnostné opatrenia v tzv. bezpečnostnej dokumentácii informačného systému ochrany osobných údajov. Bezpečnostná dokumentácia prijatých bezpečnostných opatrení má tri formy:

• dokumentácie v základnom rozsahu,
• primerané technické, organizačné a personálne opatrenia podľa § 19 ods. 1 cit. zákona
• a bezpečnostný projekt.

Toto platilo do 15. apríla 2014: „Povinnosť zdokumentovať prijaté bezpečnostné opatrenia vo forme bezpečnostnej smernice vzniká:

• pri spracúvaní osobných údajov v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou (tzv. online režim),
• alebo pri spracúvaní osobitnej kategórie osobných údajov (citlivé údaje ako rodné číslo, zdravotný údaj a pod.) v informačnom systéme neprepojenom s verejne prístupnou počítačovou sieťou (tzv. offline režim).“ Od 15. apríla 2014 má prevádzkovateľ prijať primerané technické, organizačné a personálne opatrenia, čo to je zákon a ani vyhláška č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení neustanovujú. Predpokladá sa, že úrad bude uvedenú vyhlášku práve z toho dôvodu novelizovať. Stále však zostáva pôvodná verzia, ktorá je časťou bezpečnostného projektu.

Povinnosť zdokumentovať prijaté bezpečnostné opatrenia vo forme bezpečnostného projektu vzniká:

• pri spracúvaní osobitnej kategórie osobných údajov (citlivé údaje ako rodné číslo, zdravotný údaj a pod.) v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou (tzv. online režim),
• alebo pri spracúvaní osobných údajov v informačnom systéme, ktorý slúži na zabezpečenie verejného záujmu.

Bezpečnostný projekt sa skladá z:

• bezpečnostného zámeru,
• analýzy bezpečnosti informačného systému a
• bezpečnostnej smernice.

Povinnosť prijať bezpečnostné opatrenia vo forme dokumentácie v základnom rozsahu vznikne, ak prevádzkovateľ alebo sprostredkovateľ nemá povinnosť zdokumentovať prijaté bezpečnostné opatrenia vo forme bezpečnostnej smernice alebo bezpečnostného projektu. Ide o prípady, keď sa spracúvajú „bežné“ osobné údaje v informačnom systéme neprepojenom s verejne prístupnou počítačovou sieťou (tzv. offline režim). To, akú formu bezpečnostnej dokumentácie prevádzkovateľ vypracuje, záleží od toho, či si osobné údaje v informačnom systéme Personalistika a mzdy spracúva sám alebo prostredníctvom sprostredkovateľa; pozri bod 4 tohto článku. Ako pomôcka môže slúžiť uvedená tabuľka, podľa ktorej prevádzkovateľ zistí, aké bezpečnostné opatrenia má prijať, ak spracúva osobné údaje prostredníctvom sprostredkovateľa. Pozor, prevádzkovateľ je vždy povinný mať vypracovanú minimálne základnú dokumentáciu.

Poznámka redakcie:
§ 19 ods. 1 a 3 zákona č. 122/2013 Z. z.