Nariadenie Európskeho Parlamentu a Rady známe pod skratkou GDPR, ktoré je od 25. 5. 2018 účinné, definuje nové pojmy, zavádza nové práva pre fyzické osoby a povinnosti pre subjekty spracúvajúce osobné údaje fyzických osôb. Od konca mája 2018 sa tak na území členských štátov EÚ začal uplatňovať jednotný režim ochrany osobných údajov.
Podľa GDPR sú osobnými údajmi akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (tzv. dotknutá osoba). Osobnými údajmi sú také údaje/informácie, na základe ktorých možno fyzickú osobu identifikovať, prípadne aj také, na základe ktorých sa fyzická osoba stáva identifikovateľnou.
Medzi najzákladnejšie a najbežnejšie spracúvané osobné údaje patrí meno a priezvisko, adresa, telefónne číslo, e-mail (v tvare mena a priezviska), číslo preukazu totožnosti a iné.
Zákonník práce stanovuje, že zamestnávateľ môže o zamestnancovi zhromažďovať len osobné údaje súvisiace so samotnou prácou, ktorú zamestnanec má vykonávať, vykonáva alebo vykonával. Konkrétny rozsah takýchto osobných údajov však nešpecifikuje žiadny právny predpis.
V praxi je možné tieto osobné údaje, ktoré sú spracúvané, rozdeliť do niekoľkých kategórii:
1) Identifikačné údaje – meno, priezvisko, rodné priezvisko, prezývka, titul, dátum narodenia, miesto narodenia, rodné číslo, číslo občianskeho preukazu, číslo pasu alebo iného dokladu totožnosti, štátna príslušnosť, národnosť, fotografia.
2) Kontaktné údaje – adresa trvalého alebo prechodného pobytu alebo bydliska, telefónne číslo, e-mailová adresa, adresa na sociálnej sieti.
3) Prevádzkové údaje – register pracovného času, pracovná funkcia, odborný útvar, identifikačné číslo, prístupový kód alebo heslo, online identifikátor, pracovná IP adresa.
4) Lokalizačné údaje – údaje určujúce geografickú polohu, údaje v knihe jázd služobného vozidla.
5) Citlivé údaje – údaje o zdravotnom stave, odtlačky prstov, scan sietnice, členstvo v odborovej organizácii, údaje o porušení predpisov trestného práva, priestupkového práva alebo občianskeho práva.
GDPR taktiež niektoré osobné údaje vylúčil a už ďalej medzi citlivé osobné údaje nepatria. Ide o tieto:
– fotografia, ak na nej nie je zachytená nejaká citlivá charakteristika
– všeobecne použiteľný identifikátor
– vlastnoručný podpis
6) Údaje vytvárajúce ekonomickú identitu – údaj o mzde, číslo bankového účtu.
7) Údaje vytvárajúce sociálnu identitu – údaje o rodinnom stave, počte detí, dosiahnutom vzdelaní.
8) Údaje vytvárajúce fyzickú alebo fyziologickú identitu – hlas pri monitorovaní telefónov, obraz na videozázname.
9) Údaje vytvárajúce mentálnu identitu – informácie o správaní a osobných vlastnostiach zapísané v pracovnom posudku.
Medzi osobné údaje sa zhŕňajú aj tzv. subjektívne informácie – názory alebo hodnotenia.
Pri spracúvaní osobných údajov zamestnancov musí vždy zamestnávateľ posúdiť, či je nevyhnutné spracúvať tie ktoré konkrétne osobné údaje, za akým účelom a tiež na základe akého právneho titulu.
V prípade, že by sa zamestnanec domnieval, že zamestnávateľ od neho požaduje osobné informácie, ktoré nepotrebuje alebo by nemal vedieť, môže sa domáhať preskúmania takéhoto konania zamestnávateľa, a to priamo Úradom na ochranu osobných údajov.