oPeniazoch.sk, TMF Foto: SITA
Slovensko patrí medzi krajiny s prísnymi pravidlami ochrany osobných údajov, napriek tomu má ešte mnoho firiem tomto poli stále rezervy.
Osobné údaje sú veľmi citlivou a dobe internetu a sociálnych sietí aj veľmi zneužiteľnou informáciou. Veľa ich odovzdávame aj na pracovné účely, naše údaje často migrujú ďalej bez toho, aby sme presne vedeli ako a kam.
Po novom je povinnosť chrániť osobné údaje s tretími stranami zmluvou
Zákon o ochrane osobných údajov č. 122/2013 Z.z. sa zameriava napríklad na ich zber, ale i spracovanie v rôznych databázach, či ich uchovávanie a likvidáciu. Na konci júna 2015 uplynula lehota pre firmy, ktorým z akýchkoľvek dôvodov spracováva osobné údaje tretia strana. Úlohou bolo ošetriť túto spoluprácu v zmysle uzatvorenia zmluvy o spracovaní osobných údajov.
Ak napríklad vaša firma zabezpečuje svoje povinnosti na úseku bezpečnosti a ochrany zdravia zamestnancov pri práci, t.j. BOZP školenia, evidenciu pracovných úrazov, komunikáciu s poisťovňou a podobne, prostredníctvom externej firmy, musíte s ňou podľa zákona uzavrieť zmluvu o ochrane osobných údajov, ktoré jej poskytujete. „Externý dodávateľ totiž v rámci svojej činnosti spracúva vo vašom mene osobné údaje vašich zamestnancov. Tento zmluvný vzťah mal byť podchytený do dvoch rokov od účinnosti zákona, čo bolo presne v júni tohto roku. Mnohé obchodné spoločnosti však na tieto zmluvy pozabudli,“ pripomína Ján Šeliga, riaditeľ slovenskej pobočky spoločnosti TMF Group, ktorá poskytuje špecializované služby v oblastiach spracovania účtovníctva a daní, personalistiky a miezd, právnej administratívy, správy fondov a štruktúrovaného financovania. V prípade ak firmy zabudli na takéto zmluvy, hrozia im vysoké sankcie.
Aj pre jednoosobové eseročky
Pravidlá však neplatia len pre veľké firmy, ako si z praxe podnikatelia zákon vysvetlili. Stačí, ak ste konateľom jednoosobovej eseročky, prípadne máte čo i len jedného zamestnanca a svoje či zamestnancove osobné údaje poskytnete napríklad externému účtovníkovi, IT technikovi či pracovnej zdravotnej službe. Zamestnávatelia by nemali zabudnúť ani na to, že ak poskytujú osobné údaje svojich zamestnancov tretím osobám, sú im povinní túto skutočnosť oznámiť pri prvom kontakte s nimi, najneskôr však do troch mesiacov odo dňa poverenia.
Nezabudnite na žiadny systém či kartotéku, kde sa osobné údaje nachádzajú
V zmluve, ktorá musí byť s treťou stranou uzavretá ešte pred spracúvaním osobných údajov, musia byť uvedené aj informačné systémy, do ktorých bude mať tretia strana prístup, či už sú to papierové kartotéky alebo súbory v počítači. Na tieto systémy nadväzuje aj tzv. „dokumentácia bezpečnostných opatrení“, ktorá popisuje zabezpečenie spoločnosti, a to, ako sú osobné údaje chránené technicky či softvérovo. „Stretávame sa pomerne často s tým, že keď nás spoločnosti oslovia so zmluvami o spracovaní osobných údajov, prídeme na to, že nevedia, aké majú informačné systémy. Tým pádom nemajú ani správnu bezpečnostnú dokumentáciu ani poučenie zamestnancov,“ hovorí J. Šeliga.
Pokuta môže byť pre firmu až likvidačná
Samozrejme, aj keď firmy neposkytujú osobné údaje svojich zamestnancov tretím stranám, čiže robia si všetky úkony in-house, chrániť ich musia. Dokumentácia bezpečnostných opatrení a poučenie zamestnancov sú „povinnou jazdou“ pre všetkých zamestnávateľov. Tieto pravidlá vychádzajú z európskej legislatívy a Slovensko ich do svojich zákonov prenieslo v porovnaní s ostatnými členskými štátmi relatívne prísne. „Momentálne sa čaká na schválenie nariadenia Európskeho Parlamentu a Rady, ktoré by malo priniesť ďalšie zmeny v oblasti ochrany osobných údajov. No menej prísne to určite nebude,“ prezrádza J. Šeliga z TMF Group. Dodržiavanie zákona o ochrane osobných údajov má pod palcom Úrad na ochranu osobných údajov SR. Niektoré pokuty, ktoré udeľuje, sa môžu vyšplhať až do výšky 200 000 eur, čo môže byť pre množstvo firiem až likvidačnou záležitosťou.
