V današnjem prispevku bomo spregovorili o temi, ki jo podjetniki pogosto zanemarjamo in to je obdelava osebnih podatkov, ki se odvija v okviru delovnih razmerij; v odnosu do naših zaposlenih. Če se je s prihodom GDPR priprava politik zasebnosti in soglasij dodobra usidrala v poslovni vsakdan pa je na drugi strani obdelava osebnih podatkov naših zaposlenih še vedno (pre)pogosto potisnjena na stranski tir.
Najprej si poglejmo osnovne obveznosti, ki jih imajo delodajalci do svojih zaposlenih na področju varstva osebnih podatkov. Vsak delodajalec je (skladno z GDPR in slovenskim ZVOP-2) prepoznan kot upravljavec osebnih podatkov, kar pomeni, da nosi odgovornost za obdelavo, ki jo izvaja v svojem podjetju. Posledično je potrebno zagotoviti, da so vsi podatki obdelani zakonito, da smo jim pripisali ustrezno pravno podlago, jih uporabljamo za vnaprej predpisane in zakonite namene ter da zbiramo tolikšen nabor podatkov, ki je nujno potreben za dosego cilja, ki ga zasledujemo. Gre torej za obveznosti, ki so v določeni meri enake tistim, ki jim ima posamično podjetje do svojih naročnikov, poslovnih partnerjev ipd., hkrati pa prihaja pri obdelavi osebnih podatkov zaposlenih do specifike, saj gre za neenakost moči strank. Delavec je, v odnosu do delodajalca, šibkejša stranka, kar je potrebno upoštevati tudi pri obdelavi osebnih podatkov. Kako se to odraža v praksi, si bomo pogledali v nadaljevanju tega prispevka.
Najprej pa si poglejmo nekaj tipičnih obdelav osebnih podatkov, ki se dogajajo v podjetjih in jih je potrebno ustrezno opredeliti. Prva takšna obdelava je zagotovo obdelava osebnih podatkov, ki izvira iz evidenc, ki so jih delodajalci dolžni voditi na podlagi Zakona o evidencah na področju dela in socialne varnosti (ZEPDSV); sem sodijo evidenca o zaposlenih delavcih, evidenca o stroških dela, evidenca o izrabi delovnega časa in evidenca o oblikah reševanja kolektivnih delovnih sporov pri delodajalcu. Te evidence so delodajalci dolžni voditi po zakonu, s tem pa tudi obdelujejo osebne podatke delavcev, saj brez obdelave ni mogoče voditi evidenc. Upoštevajoč navedeno je potrebno za posamično evidenco izbrati ustrezno pravno podlago in namen obdelave. V zgornjih primerih se delodajalci lahko naslonijo na zakon, saj ta veleva obdelavo in s tem posledično poda tudi ustrezno pravno podlago.
Kaj pa obdelave osebnih podatkov, kjer obdelave ne veleva zakonodaja?
Pri delodajalcih pogosto zasledimo prakso, da od svojih zaposlenih pridobijo soglasja (oz. privolitve) za določene obdelave osebnih podatkov, ki niso vnaprej predvidene z zakonodajo. Najpogosteje gre za naslednje primere: uporaba zasebne telefonske številke za službene namene, neposredna bremenitev plače zaradi plačila članarine v sindikat, zbiranje podatkov za organizacije izletov delodajalca, analize psihološkega profila, videonadzor pa tudi biometrični ukrepi, pri čemer privolitev ni vedno ustrezna pravna podlaga.
Privolitev delavca je veljavna le, če je dana prostovoljno, ob zadostnih informacijah, kaj točno takšna privolitev obsega, in ne sme biti pogojevana oziroma izsiljena
Privolitev delavca je veljavna le, če je dana prostovoljno, ob zadostnih informacijah, kaj točno takšna privolitev obsega (t.i. informirana privolitev) in ne sme biti pogojevana oziroma izsiljena. Prav slednje pa je še posebej pomembno v delovnem razmerju, kjer je potrebno upoštevati informacije o tem, da se delavec, v odnosu do delodajalca, šteje kot šibkejša stranka. Ker se delavec šteje za šibkejšo stranko, je mogoče privolitev kot pravno podlago za obdelavo osebnih podatkov v delovnem razmerju uporabiti zgolj kadar zavrnitev privolitve nima nikakršnih posledic na delovno razmerje zaposlenega. Pri tem je potrebno poudariti, da mora iti pri pridobivanju privolitve za t.i. resnično izbiro, kjer se zaposleni ne čuti ustrahovanega in ne čuti negativnih posledic, če privolitve ne poda.
Glede na zgoraj navedeno je obdelava osebnih podatkov na podlagi privolitve v delovnem razmerju omejena, zato je potrebno pred načrtovanjem nove obdelave osebnih podatkov premisliti ali je privolitev res prava izbira ali pa je morda ustreznejša katera izmed preostalih pravnih podlag, ki so na voljo po GDPR.
Zasebnost zaposlenih v delovnih razmerjih je nedvomno aspekt, ki ga je potrebno upoštevati, ko načrtujemo poslovne procese v naših podjetjih, pri čemer smo se v tem prispevku posvetili predvsem pridobivanju privolitev, ki se je z uveljavitvijo GDPR korenito spremenil in krepko zožal obseg veljavnosti privolitve v delovnem razmerju.
Avtorica prispevka Ana Antunićević je pravnica, ustanoviteljica in direktorica podjetja Consilium, pravno svetovanje.