Pracovné agentúry pracujú s mimoriadne citlivými osobnými údajmi — rodné čísla, kópie občianskych preukazov, vodičských preukazov, zdravotných kariet a A1 formulárov. GDPR (General Data Protection Regulation) kladie na spracovanie týchto údajov prísne požiadavky, ktoré mnohé agentúry podceňujú.
Aké údaje pracovných agentúr spadajú pod GDPR
- Identifikačné údaje — meno, priezvisko, rodné číslo, dátum narodenia, adresa
- Kópie dokladov — občiansky preukaz, vodičský preukaz, poistná karta
- Pracovné dokumenty — A1 formuláre, pracovné zmluvy, výkazy hodín
- Finančné údaje — IBAN, IČO, DIČ, hodinová sadzba
- Kontaktné údaje — telefónne číslo, email
Všetky tieto údaje sú osobné údaje v zmysle GDPR. Kópie dokladov s fotografiou sú dokonca považované za citlivejšiu kategóriu.
Základné povinnosti agentúry
1. Právny základ spracovania
Musíte mať jasný právny základ pre spracovanie každého typu údajov. Pri pracovných agentúrach je to zvyčajne plnenie zmluvy (pracovná zmluva) a zákonná povinnosť (sociálne poistenie, A1 formuláre).
2. Bezpečnosť uloženia
Kópie dokladov nesmú ležať v zdieľanom priečinku na Google Drive, kam má prístup celá firma. GDPR vyžaduje primerané technické a organizačné opatrenia — šifrovanie, riadenie prístupu, zálohovanie a uloženie v rámci EÚ.
3. Riadenie prístupu
Nie každý zamestnanec agentúry potrebuje vidieť rodné číslo alebo kópiu občianskeho preukazu pracovníka. Prístup k citlivým údajom by mal byť obmedzený len na osoby, ktoré ich nevyhnutne potrebujú — typicky HR manažér a office manager.
4. Audit trail
GDPR vyžaduje, aby ste vedeli preukázať, kto a kedy pristúpil k osobným údajom. Ak príde kontrola z úradu na ochranu osobných údajov, musíte byť schopní ukázať logy prístupov.
5. Právo na výmaz a export
Každý pracovník má právo požiadať o kompletný výmaz svojich údajov alebo o export všetkých dát, ktoré o ňom evidujete. Musíte byť schopní to splniť v zákonnej lehote 30 dní.
Čo hrozí pri nedodržaní
Pokuty za porušenie GDPR môžu dosiahnuť až 20 miliónov EUR alebo 4 % ročného obratu firmy. V praxi sú pokuty pre menšie firmy nižšie, ale aj pokuta 5 000-50 000 € je pre agentúru citeľná. Navyše, únik osobných údajov poškodí reputáciu firmy.
Ako to riešiť správne
Ideálne riešenie je systém, ktorý má GDPR zabudované od základov:
- Dáta uložené v EÚ na šifrovaných serveroch
- Row-level security — každá organizácia vidí len svoje dáta
- Automatický audit log každého prístupu k dokladom
- Funkcia na kompletný export údajov pracovníka (JSON)
- Funkcia na trvalé vymazanie vrátane kópií dokladov
- Roly s rôznymi úrovňami prístupu (admin, team leader, pracovník)
Keď tieto funkcie máte v systéme, GDPR compliance nie je záťaž — je to len otázka správneho nastavenia.