Tiskane izdaje
Petindvajseti maj je bil včasih dan mladosti. Veliko ljudi se spominja tistih socialističnih dni kot obdobje, ko so bili delavci spoštovani in so uživali veliko pravic. Nova kapitalistična doba, pravijo množice, je prinesla več zahtev in manj pravic za delavca. Ne glede na to, ali je ta argument pravilen ali ne, so dobre novice na vidiku za tiste, ki skrbijo za svoje pravice. Naslednji 25. maj bodo dobili vsi zaposleni nove pravice na področju zaščite osebnih podatkov. S tem dnem se namreč začne v Sloveniji neposredno uporabljati Splošna uredba o varstvu podatkov, najpomembnejši pravni instrument EU o varstvu osebnih podatkov. Pripravljen je tudi osnutek novega Zakona o varstvu osebnih podatkov kot del novega razvoja zagotavljanja varstva osebnih podatkov.
Pravice zaposlenih
Obstaja več načel o varstvu podatkov, ki veljajo za vse posameznike, na katere se podatki nanašajo, vključno za zaposlene, ki jih mora spoštovati vsak delodajalec. Zaposleni kot posamezniki, na katere se podatki nanašajo, imajo naslednje pravice: (1) pravico do obveščenosti, ki vključuje obveznost delodajalca, da zagotovi preglednost uporabe osebnih podatkov; (2) pravico do dostopa, ki zajema zahtevo za dostop do lastnih podatkov; (3) pravico do popravka podatkov, ki so netočni ali nepopolni; (4) pravico do izbrisa osebnih podatkov (»pravica do pozabe«); (5) pravico do omejitve obdelave osebnih podatkov in (6) pravico do prenosljivosti podatkov, ki zaposlenim omogoča, da pridobijo svoje osebne podatke v strukturirani, splošno uporabljani in strojno berljivi obliki in da te podatke posredujejo drugemu upravljavcu.
Podlage za obdelavo
Poleg zakonske podlage je ena izmed možnih podlag za zakonito obdelavo osebnih podatkov tudi privolitev zaposlenega, na primer, če delodajalec želi uporabiti osebne podatke zaposlenih za namene izven zaposlitvenega konteksta. V skladu z uredbo EU mora biti privolitev dana prostovoljno, izrecno, informirano in nedvoumno. Uredba izrecno navaja, da je treba upoštevati, ali je sklenitev pogodbe o zaposlitvi pogojena s privolitvijo k obdelavi podatkov, kadar to ni nujno za izvajanje pogodbe. Iz tega sledi, da če iz kakršnegakoli razloga delodajalec zaposlenim ne more ponuditi dejanske izbire glede uporabe njihovih podatkov, privolitev ne bo ustrezna osnova za obdelavo.
Poleg tega bo glede na neravnovesje moči med zaposlenimi in delodajalci domnevana privolitev težko predstavljala veljavno podlago za obdelavo podatkov zaposlenih. Obdelava osebnih podatkov je dovoljena le, če je to skladno s prvotnim namenom, za katerega so bili zbrani. Obdelava za drug namen zahteva nadaljnje zakonsko dovoljenje ali privolitev. Edina izjema od te zahteve je, če je drug namen združljiv s prvotnim namenom.
Kadar podatki niso več potrebni za namen, za katerega so bili zbrani, imajo zaposleni pravico, da se njihovi podatki izbrišejo kot del nove »pravice do pozabe«, razen če obstaja druga pravna podlaga za utemeljitev obdelave. Zato bi morali delodajalci poiskati druge osnove za zakonito obdelavo, da bi upravičili obdelavo podatkov zaposlenih, kot so »zakoniti interesi« ali »obdelava, potrebna za izvajanje pogodbe«. Poleg tega mora biti v smislu posebnih (prej občutljivih) osebnih podatkov vsaka privolitev za obdelavo »izrecna«, kar pomeni »z besedami«.
Druga podlaga, ki se pogosto uporablja kot podlaga za zakonito obdelavo podatkov, vključno s podatki o zaposlenih, so »zakoniti interesi« delodajalca, če ti prevladajo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo podatki. Uredba ponuja nekaj primerov »zakonitih interesov«, na primer: kadar je posameznik, na katerega se nanašajo osebni podatki, stranka upravljavca ali dela zanj; kadar je obdelava nujno potrebna za preprečevanje zlorab; zaradi zagotavljanja varnosti omrežij in informacij itd. Delodajalec lahko obdeluje osebne podatke v času veljavnosti pa tudi po prenehanju veljavnosti pogodbe, vendar za namene (1) uveljavljanja, izvajanja ali obrambo pravnih zahtevkov, (2) da bi zaščitil njegove pravice in interese ali tretjih oseb, (3) kadar je to treba zaradi izpolnjevanja zakonske obveznosti (4) ali za namene reorganizacije.
Nedavna sodna praksa Sodišča Evropske unije je jasno pokazala, da podjetje ne more preprosto trditi, da je izpolnilo pogoje »zakonitih interesov« le zato, ker je obdelava osebnih podatkov v njegovem ekonomskem interesu. Kljub temu komercialne koristi lahko zadoščajo in se štejejo kot zakoniti interes, razen če zaradi morebitne povzročene škode ne prevladajo posameznikove pravice in interesi. Zaradi tega je pomembno delovati pošteno, pregledno in odgovorno.
V primeru, da obstaja zakoniti interes za spremljanje zaposlenih, mora delodajalec zagotoviti popolno transparentnost glede vrste spremljanja in razlogov za spremljanje skupaj z ustreznimi zaščitnimi ukrepi, da bi zagotovili, da pravice zaposlenih ne prevladajo nad interesi delodajalca.
Rok hrambe
Ko delodajalci osebne podatke ne potrebujejo več za namen, za katerega so bili zbrani, jih morajo izbrisati, razen če imajo druge osnove za njihovo shranjevanje. Kar zadeva podatke zaposlenih, to pomeni, da je treba vzpostaviti reden postopek preverjanja in metodično čiščenje kadrovskih podatkovnih baz. 20. člen osnutka novega Zakona o varstvu osebnih podatkov določa, da mora biti obdobje hrambe osebnih podatkov omejeno na najkrajše možno obdobje. Če iz določb drugih zakonov ali iz vsebine poslovnih razmerij v zasebnem sektorju ni mogoče določiti roka hrambe osebnih podatkov, se določi rok hrambe pet let.
Za pojasnila glede roka hrambe se osnutek novega zakona nanaša na smernice Informacijskega pooblaščenca RS. Iz smernic izhaja, da delodajalec tudi po prenehanju delovnega razmerja obdeluje osebne podatke delavca, ki so potrebni zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z njim, vendar samo toliko časa, dokler stranki delovnega razmerja lahko uveljavljata svoje pravice.
Ko so poravnane vse obveznosti, ki izhajajo iz delovnega razmerja, je namen, zaradi katerega so se delavčevi osebni podatki zbirali, dosežen, zato mora delodajalec zbrisati in prenehati uporabljati vse delavčeve osebne podatke, razen tistih, za katere zakon določa, da se hranijo trajno (npr. pogodbe o zaposlitvi in M-obrazci).
Iz smernic Informacijskega pooblaščenca RS nadalje izhaja, da delodajalec ostale dokumente hrani glede na namen njihove obdelave (npr. dokumente v zvezi s kršitvami pogodbenih ali drugih obveznosti iz delovnega razmerja lahko hrani do izteka zastaralnih rokov s področja obligacijskega ali kaznovalnega prava (pet let), psihometrične teste, ki imajo glede na strokovno literaturo kratko dobo uporabnosti (približno dve leti), pa lahko uniči takoj po prenehanju delovnega razmerja).
Videonadzor zaposlenih
Osnutek novega Zakona o varstvu osebnih podatkov nadalje določa, da delodajalec lahko izvaja videonadzor dostopa v uradne poslovne prostore. O izvajanju videonadzora je treba pisno obvestiti vse zaposlene, ki opravljajo delo v nadzorovanem prostoru. Izvajanje videonadzora znotraj delovnih prostorov se lahko izvaja le v izjemnih primerih, kadar je to nujno potrebno za varnost ljudi ali premoženja ali za varovanje tajnih podatkov ter poslovne skrivnosti, tega namena pa ni možno doseči z milejšimi sredstvi. V tem primeru morajo zaposleni biti pred začetkom izvajanja videonadzora vnaprej pisno obveščeni o njegovem izvajanju.
Izrecno pa je prepovedano izvajati videonadzor v delovnih prostorih izven delovnega mesta, zlasti v garderobah, dvigalih, jedilnicah, čajnih kuhinjah in sanitarnih prostorih. Iz smernic Informacijskega pooblaščenca RS izhaja, da videonadzora ni dovoljeno postaviti izključno zaradi kontrole izrabe delovnega časa, ker ima delodajalec za ta namen praviloma na voljo številne in bistveno manj invazivne metode. Delodajalec mora vsakič, ko namerava uvesti ali dopolniti videonadzor, oceniti z vidika načela sorazmernosti, ali ga je res treba uvesti, in to obrazložiti v pisni odločitvi.
Osnutek novega zakona določa, da se za kršitev določb o videonadzoru pravna oseba ali samostojni podjetnik kaznujeta z globo od 4000 do 12.000 evrov, odgovorna oseba pravne osebe ali samostojnega podjetnika pa z globo od 800 do 2000 evrov.
Dokazovanje zakonitosti zbiranja, obdelave podatkov
Obseg procesov, ki jih mora delodajalec vzpostaviti za dokazovanje skladnosti zbiranja in obdelave osebnih podatkov, lahko vključuje: ocenjevanje sedanjih politik in praks varstva podatkov; ažuriranje pravilnika o varstvu osebnih podatkov; ugotavljanje, kje in zakaj se hranijo podatki o zaposlenim; ugotavljanje, ali je bila zaposlenim razložena obdelava njihovih podatkov vključno z razlogi za shranjevanje in prenos; imenovanje nekoga v organizaciji za nadzorovanje skladnosti poslovanja z reformami; vodenje ustrezne dokumentacije o obdelovalnih dejavnostih; ustvarjanje mehanizma za prepoznavanje kršitev, ravnanje z incidenti in poročanja o kršitvah itd.
Tako zaposleni kot delodajalci bi morali poznati pravila o varstvu osebnih podatkov. Delodajalci zato, ker pri nadzornem organu ne bo šale, zaposleni pa zato, ker gre za njihove temeljne pravice. Imamo le še šest mesecev časa, da se pripravimo na novo obdobje varstva osebnih podatkov.
Marko Sladojević, pravni svetovalec v Odvetniški pisarni Drolec Sladojević.
***
Prispevek je mnenje avtorja
