VPLIV SPREJETJA GDPR NA UPRAVLJANJE OSEBNIH PODATKOV ZAPOSLENIH
Ime zaposlenega, njegov naslov, številka transakcijskega računa, podatek o delovni dobi, ura prihoda in odhoda z delovnega mesta – to je le drobec iz množice osebnih podatkov, s katerimi dnevno upravlja vsak delodajalec. S 25. majem 2018 se na področju varstva osebnih podatkov obetajo korenite spremembe, saj se bo začela uporabljati Splošna uredba o varstvu osebnih podatkov (»GDPR«)1.
Slednja prinaša kar nekaj novosti, ki bodo vplivala na upravljanje podatkov zaposlenih, saj širi obseg pravic zaposlenih in določa nove obveznosti za delodajalce z namenom večje varnosti osebnih podatkov. Najpomembnejše med njimi predstavljamo v nadaljevanju.
Kako obdelovati osebne podatke zaposlenih?
Delodajalca, ki upravlja osebne podatke zaposlenih (upravljavec), zavezujejo osnovna načela GDPR:
- Osebne podatke delavcev je potrebno obdelovati zakonito, pošteno in na pregleden način (zakonitost, pravičnost in preglednost).
- Delodajalci lahko zbirajo osebne podatke delavcev zgolj za določene, izrecne in zakonite namene in jih ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (omejitev namena).
- Osebni podatki morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (najmanjši obseg podatkov).
- Osebni podatki delavcev morajo biti točni in posodobljeni (točnost).
- Podatki morajo biti hranjeni v obliki, ki dopušča identifikacijo delavcev in se lahko hranijo le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo (omejitev shranjevanja).
- Osebni podatki naj se obdelujejo na način, ki zagotavlja njihovo ustrezno varnost pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo (celovitost in zaupnost).
Ker morajo biti delodajalci, tj. upravljalci osebnih podatkov zmožni dokazati skladnost z zgoraj naštetimi načeli, priporočamo, da se vse ukrepe in ravnanja, ki so namenjeni varstvu osebnih podatkov, na ustrezen način dokumentira.
Kdaj je dovoljeno obdelovati osebne podatke zaposlenih?
Obdelava osebnih podatkov zaposlenih je dopustna le, če ima upravljavec zanjo zakonito podlago. GDPR podlag za obdelavo ne ureja bistveno drugače, kot dosedanji Zakon o varstvu osebnih podatkov2, in sicer se osebne podatke lahko obdeluje (i) na podlagi privolitve, (ii) če je obdelava potrebna za izvajanje pogodbe, (iii) za izpolnitev zakonske obveznosti upravljalca, (iv) za zaščito življenjskih interesov posameznika ali druge fizične osebe, (v) za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljalcu ali (vi) zaradi zakonitih interesov upravljavca ali tretje osebe.
GDPR državam članicam omogoča, da določijo podrobnejša pravila za zagotovitev varstva pravic in svoboščin zaposlenih3. Pri nas obdelavo osebnih podatkov na delovnopravnem območju ureja Zakon o delovnih razmerjih, ki v 48. členu določa, da se osebni podatki delavcev in kandidatov lahko obdelujejo le, če je to določeno z zakonom4 ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Osebna privolitev delavca bo še naprej dopustna le izjemoma, pod pogojem, da zavrnitev soglasja nima posledic na delovno razmerje oziroma na delavčev pravni položaj5 (npr. pridobitev podatkov o družinskih članih za potrebe organizacije (službenega) izleta).
Vgrajeno in privzeto varstvo osebnih podatkov
Vgrajeno varstvo osebnih podatkov od upravljavcev zahteva, da že v najzgodnejše faze priprav na obdelavo vključijo tehnične in organizacijske ukrepe, ki zagotavljajo učinkovito izvajanje načel varstva podatkov. Primer takšnega ukrepa je šifriranje, s katerim podatki postanejo neberljivi do te mere, da jih lahko dešifrirajo in berejo samo pooblaščene osebe.
V skladu z načelom privzetega varstva osebnih podatkov morajo upravljalci obdelovati samo podatke, ki so potrebni za vsak poseben namen obdelave, in sicer tako, da zmanjšajo količino zbranih podatkov, obseg njihove obdelave, obdobje hrambe ter njihovo dostopnost.
Pravice zaposlenih v zvezi z njihovimi osebnimi podatki
Kadar pride do kršitve varstva osebnih podatkov, mora upravljavec o njej uradno obvestiti nadzorni organ brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko dokaže, da ni verjetno, da bi kršitev varstva osebnih podatkov ogrožala pravice in svoboščine posameznikov.
Tako kot trenutno veljavni Zakon o varstvu osebnih podatkov (ZVOP-1), GDPR še naprej zagotavlja pravico do informiranosti, dostopa do osebnih podatkov, do popravka in do izbrisa osebnih podatkov (poznana tudi kot pravica do pozabe), vendar so te v primerjavi s trenutno ureditvijo bolj podrobno razdelane. Poleg tega pa GDPR razširja nabor pravic zaposlenih še na pravico do omejitve obdelave in pravico do prenosljivosti podatkov.
1. Pravica do omejitve obdelave
Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, če nastopijo določene okoliščine opredeljene v 18. členu GDPR. Če je bila obdelava omejena, upravljavec teh osebnih podatkov delavca ne sme več obdelovati, lahko jih le še shranjuje.
2. Pravica do prenosljivosti podatkov