Podnikatelé v rámci výkonu své činnosti získávají, zpracovávají a poskytují osobní údaje svých zaměstnanců jiným osobám v koncernu, a to i přes hranice, popř. je různými způsoby zveřejňují. Ve smyslu zákona č. 428/2002 Z.z., o ochrane osobných údajov jsou povinni je chránit a plnit všechny povinnosti, které jim tento zákon ukládá, což v praxi není vždy samozřejmostí.
Pojem osobní údaje definuje zákon jako údaje týkající se určené nebo určitelné fyzické osoby, kterou lze přímo či nepřímo identifikovat, zejména na základě jedné či více vlastností nebo znaků, které tvoří její fyzickou, fyziologickou, psychickou, mentální, ekonomickou, kulturní nebo sociální identitu. Co to však prakticky znamená je často sporné. Za osobní údaje, které se zpravidla mohou zpracovávat i bez souhlasu dotyčné osoby, např. v přímém marketingu apod., se považují titul, jméno, příjmení a adresa/bydliště fyzické osoby. Ve smyslu výkladu zákonné definice jsou však osobními údaji např. i číslo občanského průkazu, rodné číslo, údaj o mzdě zaměstnance, IP adresa osobního počítače fyzické osoby, SPZ auta, videonahrávka při sledování obchodních prostor a za určitých okolností i kresba dítěte. Rozhodujícím kritériem pro určení, zda jde o osobní údaj, je vždy určitelnost osoby v souvislosti s daným osobním údajem.
Podnikatel se v zásadě při jakémkoli zacházení s takovými osobními údaji stává ve smyslu platné právní úpravy zpracovatelem, který je povinen řídit se zákonnými pravidly. Za zpracování osobních údajů se totiž považuje zejména získávání, shromažďování, zadávání do systému, uspořádání, vyhledávání, používání, prohlížení, přemisťování, přeskupování, přenos, poskytování a zpřístupňování údajů.
Při obvyklém zpracování údajů není podnikatel povinen registrovat se na Úrade pre ochranu osobných údajov. Povinnost registrace má však v případě, že zpracovává osobní údaje prostřednictvím informačních systémů zcela nebo částečně automatizovanými prostředky zpracování. Podnikatel má i řadu jiných povinností, jejichž plnění u něj může úřad kdykoliv zkontrolovat.
Podnikatel je jako zpracovatel při zpracování osobních údajů povinen si ve většině případů ke zpracování osobních údajů vyžádat souhlas dotyčné osoby, vytvořit v rámci podniku konkrétní informační systémy, ve kterých budou tyto údaje zpracovávané (např. informační systém „klienti“, „kamerový systém“, „pacienti“, „smlouvy“, „personálně-mzdová agenda“ apod.). V rámci jednotlivých informačních systémů musí vést důkladnou evidenci a také určit, za jakým účelem jsou dotyčné osobní údaje zpracovávané.
Pro zaměstnavatele, kteří mají v pracovním poměru více než pět zaměstnanců, vyplývá povinnost určit pro zpracování osobních údajů tzv. odpovědnou osobu (pro každý informační systém zvlášť). Odpovědná osoba vede již zmíněnou evidenci a zajišťuje zacházení s osobními údaji. Tato povinnost vyplývá podnikateli nejpozději ode dne zahájení zpracování osobních údajů v informačních systémech. Zároveň má podnikatel povinnost odpovědnou osobu nahlásit Úradu pre ochranu osobných údajov a předložit její výpis z rejstříku trestů.
Podnikatel nese odpovědnost za bezpečnost osobních údajů a za tímto účelem je povinen jako zpracovatel pro konkrétní informační systémy přijmout vhodná technická, organizační a personální opatření, vypracovat bezpečnostní směrnici nebo bezpečnostní projekt, a to vždy v závislosti na tom, zda jsou získávané osobní údaje zpracovávané na počítači, který má možnost připojení na internet.
Kvůli bezpečnosti dat se zpravidla vyžaduje speciální souhlas úřadu při přeshraničních přenosech osobních údajů (vedle souhlasu dotyčné osoby), zejména v případech, pokud země, kam se údaje posílají, nezajišťuje přiměřenou úroveň ochrany (např. USA).
Společnosti nesmí zapomínat ani na dodržování maximální délky lhůty pro uchovávání osobních údajů a včas se postarat o jejich bezpečnou likvidaci.
Advokátní kancelář pro právní a daňové poradenství ve střední a východní Evropě bnt – pravda & partner, s.r.o.; autor: Mgr. Katarína Babiaková, LL.M., advokátka (katarina.babiakova@bnt.eu), tel: +421 257 88 00 88, bnt - Sovova Chudáčková & Partner, s.r.o., Cintorínska 7, SK-811 08 Bratislava 1, Slovensko.
