Vpliv sprejetja GDPR na upravljanje osebnih podatkov zaposlenih
Čas branja 13 minIme zaposlenega, njegov naslov, številka transakcijskega računa, podatek o delovni dobi, ura prihoda in odhoda z delovnega mesta – to je le drobec iz množice osebnih podatkov, s katerimi dnevno upravlja vsak delodajalec. S 25. majem 2018 se na področju varstva osebnih podatkov obetajo korenite spremembe, saj se bo začela uporabljati Splošna uredba o varstvu osebnih podatkov (»GDPR«)1.
Slednja prinaša kar nekaj novosti, ki bodo vplivala na upravljanje podatkov zaposlenih, saj širi obseg pravic zaposlenih in določa nove obveznosti za delodajalce z namenom večje varnosti osebnih podatkov. Najpomembnejše med njimi predstavljamo v nadaljevanju.
Kako obdelovati osebne podatke zaposlenih?
Delodajalca, ki upravlja osebne podatke zaposlenih (upravljavec), zavezujejo osnovna načela GDPR:
• Osebne podatke delavcev je potrebno obdelovati zakonito, pošteno in na pregleden način (zakonitost, pravičnost in preglednost).
• Delodajalci lahko zbirajo osebne podatke delavcev zgolj za določene, izrecne in zakonite namene in jih ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni (omejitev namena).
• Osebni podatki morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (najmanjši obseg podatkov).
• Osebni podatki delavcev morajo biti točni in posodobljeni (točnost).
• Podatki morajo biti hranjeni v obliki, ki dopušča identifikacijo delavcev in se lahko hranijo le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo (omejitev shranjevanja).
• Osebni podatki naj se obdelujejo na način, ki zagotavlja njihovo ustrezno varnost pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo (celovitost in zaupnost).
Ker morajo biti delodajalci, tj. upravljavci osebnih podatkov zmožni dokazati skladnost z zgoraj naštetimi načeli, priporočamo, da se vse ukrepe in ravnanja, ki so namenjeni varstvu osebnih podatkov, na ustrezen način dokumentira.
Kdaj je dovoljeno obdelovati osebne podatke zaposlenih?
Obdelava osebnih podatkov zaposlenih je dopustna le, če ima upravljavec zanjo zakonito podlago. GDPR podlag za obdelavo ne ureja bistveno drugače, kot dosedanji Zakon o varstvu osebnih podatkov2, in sicer se osebne podatke lahko obdeluje (i) na podlagi privolitve, (ii) če je obdelava potrebna za izvajanje pogodbe, (iii) za izpolnitev zakonske obveznosti upravljalca, (iv) za zaščito življenjskih interesov posameznika ali druge fizične osebe, (v) za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljalcu ali (vi) zaradi zakonitih interesov upravljavca ali tretje osebe.
GDPR državam članicam omogoča, da določijo podrobnejša pravila za zagotovitev varstva pravic in svoboščin zaposlenih3. Pri nas obdelavo osebnih podatkov na delovnopravnem območju ureja Zakon o delovnih razmerjih, ki v 48. členu določa, da se osebni podatki delavcev in kandidatov lahko obdelujejo le, če je to določeno z zakonom4 ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Osebna privolitev delavca bo še naprej dopustna le izjemoma, pod pogojem, da zavrnitev soglasja nima posledic na delovno razmerje oziroma na delavčev pravni položaj5 (npr. pridobitev podatkov o družinskih članih za potrebe organizacije (službenega) izleta).
Vgrajeno in privzeto varstvo osebnih podatkov
Vgrajeno varstvo osebnih podatkov od upravljavcev zahteva, da že v najzgodnejše faze priprav na obdelavo vključijo tehnične in organizacijske ukrepe, ki zagotavljajo učinkovito izvajanje načel varstva podatkov6. Primer takšnega ukrepa je šifriranje, s katerim podatki postanejo neberljivi do te mere, da jih lahko dešifrirajo in berejo samo pooblaščene osebe.
V skladu z načelom privzetega varstva osebnih podatkov morajo upravljalci obdelovati samo podatke, ki so potrebni za vsak poseben namen obdelave, in sicer tako, da zmanjšajo količino zbranih podatkov, obseg njihove obdelave, obdobje hrambe ter njihovo dostopnost.