Mnogi kadrovniki se glede GDPR ujamejo v past

Pred skorajda dvema letoma, 25. maja 2018, se je v državah članicah EU začela uporabljati uredba GDPR oziroma Splošna uredba EU o varstvu podatkov, ki določa nova, enotna pravila glede varstva osebnih podatkov v EU. Kot ocenjuje odvetnik Matija Jamnik, ki se pri svojem delu pogosto srečuje z vprašanji, povezanimi z GDPR, so zahteve nove Splošne uredbe v povprečju bolj resno obravnavala večja podjetja in tista, ki so del globalnih korporacij, a tudi med njimi so »redka tista, ki so se dejansko zakopala pod površino«. S stališča GDPR je posebej zanimivo kadrovsko področje, pravi Jamnik in opozarja, da si bodo kadrovniki  »morali stalno postavljati vprašanja, kot so: Ali res potrebujemo vse te podatke? Ali za za zbiranje nekih podatkov sploh obstaja pravna podlaga? Kaj s podatki počne naše zunanje računovodstvo ali nek drug ponudnik?«

Z Matijo Jamnikom smo se o kadrovskem vidiku GDPR pogovarjali pred seminarjem Kako kadrovnik poskrbi za skladnost z GDPR in kako preveri skladnost zunanjih ponudnikov storitev?, na katerem si bo 24. aprila letos prizadeval osvetliti ključne dileme s področja varstva osebnih podatkov, s katerimi se vsakodnevno srečujejo kadrovniki.

Gospod Jamnik, kateri podatek, kljub nasprotnemu vsesplošnemu prepričanju, ni osebni podatek zaposlenega?

»Vsak podatek, ki se nanaša na določenega ali določljivega zaposlenega, torej tudi podatek, ki ga samega zase ni mogoče pripisati določenemu zaposlenemu (pač pa šele v kombinaciji z ostalimi podatki), je osebni podatek. Če podatke uspemo (zares!) učinkovito anonimizirati, torej prekiniti možnost določljivosti posameznika, šele lahko govorimo o ne-osebnih podatkih. Npr. agregirana statistika, za celotno podjetje, o prihodih in odhodih na in z delovnega mesta bi se lahko štela za ne-oseben podatek, ker se nanaša na nekega točno določenega zaposlenega.«

Kako so se po vaši oceni podjetja v dobrem letu in pol, odkar velja uredba GDPR, prilagodila na vse novosti s področja varstva osebnih podatkov – nasploh in posebej na kadrovskem področju? Opažate kakšne razlike glede na tip podjetja (‘domača’/del globalnih korporacij, majhna/velika, branža …?

»Večja podjetja in tista, ki so del globalnih korporacij, so v povprečju zahteve GDPR vzela bolj resno. Pri čemer nas je presenetilo, da so mnoga podjetja v sklopu korporacij dobila zgolj navodilo, naj področje uredijo in o tem pošljejo izjavo, niso pa prejela nobenih smernic in pomoči s strani central. So pa tudi med večjimi podjetji redka tista, ki so se dejansko zakopala pod površino, to je, šla dlje od “friziranja” dokumentov. Po logiki: toliko, da lahko nekaj pokažemo inšpektorjem. Seveda ne moremo vseh metati v isti koš. Tudi med manjšimi podjetji so mnoga razumela, da je skrb za osebne podatke del imidža podjetja ali pa, da si napak na tem področju enostavno ne morejo privoščiti. Kadrovsko področje je s stališča GDPR posebej zanimivo, ker se mnogi kadrovniki ujamejo v past, da za večino osebnih podatkov zbiranje in obdelavo tako in tako ne le dopušča, pač pa celo zahteva zakonodaja – in s tem je zgodba bolj ali manj zaključena. Saj s podatki “ne delamo nič takega”.«

Mnoga slovenska podjetja so del globalnih korporacij, ki regijsko urejajo posamezne funkcije, tudi HR. Komu smemo zaupati v hrambo in obdelavo osebne podatke zaposlenih (pa tudi druge vrste osebnih podatkov, ki jih podjetje morda zbira), ali je v zvezi s tem še kaj nejasnosti?

»Tudi GDPR dopušča “outsourcing” funkcij ali opravil v zvezi s hrambo in drugo obdelavo osebnih podatkov. Le da precej zaostruje pogoje za izbiro in nadzor teh t.i. pogodbenih obdelovalcev. Samo zato, ker je pogodbeni obdelovalec podjetje iz skupine, GDPR ne podeljuje nobenih odpustkov. Pri korporacijah pogosto prihaja tudi do mešanja vlog, ko denimo centrala določene podatke (glede katerih je upravljavec družba v skupini) ali za določen namen obdeluje kot čisti pogodbeni obdelovalec, določene podatke pa obdeluje za lastne potreb, npr. za planiranje izdatkov za plače, kontroling ipd. torej nastopa kot (skupni) upravljavec.«

Čeprav se GDPR uporablja že skoraj leto in pol in ga je v svojo zakonodajo vpeljala že velika večina držav članic EU, Slovenije še ni med njimi. Je pa konec novembra 2019 Informacijski pooblaščenec izdal prenovljene smernice na področju varstva osebnih podatkov v delovnih razmerjih. Je v teh smernicah kaj presenetljivega; kaj, kar odstopa od dotedanje prakse?

»V smernicah je Informacijski pooblaščenec obdelal tudi dokaj “sodobne” izzive, ki se tičejo uporabe e-pošte, službenih telefonov in (nadzora) spleta. Kakšnih posebnih presenečenj pa ni. Mogoče je zanimivo, da v nekoliko večji meri tolerira osebno privolitev zaposlenega kot pravno podlago za obdelavo osebnih podatkov, kot v svojem mnenju nekdanja Delovna skupina 29 (WP29, zdajšnji Evropski odbor za varstvo podatkov, EDPB).«

Česa se po vaših izkušnjah kadrovniki v naših podjetjih premalo zavedajo?

»Dejstva, da je varovanje osebnih podatkov proces, ki mora stalno potekati v skladu s splošnimi načeli, npr. z načelom minimizacije oziroma najmanjšega obsega podatkov: vsebinsko, količinsko, časovno in funkcionalno. Kadrovniki si bodo morali stalno postavljati vprašanja, kot so: Ali res potrebujemo vse te podatke? Ali za za zbiranje nekih podatkov sploh obstaja pravna podlaga? Kaj s podatki počne naše zunanje računovodstvo ali nek drug ponudnik?«

Odvetniku in direktorju Odvetniške pisarne Jamnik d.o.o. Matiji Jamniku smo postavili tudi nekaj povsem konkretnih vprašanj:

Kdaj, če sploh, lahko nadziramo elektronsko pošto in drugo e-komunikacijo zaposlenih?

»Če strogo sledimo na tem področju super strogi Ustavi (“Samo zakon lahko predpiše, da se na podlagi odločbe sodišča za določen čas ne upošteva varstvo tajnosti pisem in drugih občil …, če je to nujno za uvedbo ali potek kazenskega postopka ali za varnost države.”), potem brez sodne odredbe nikoli. Informacijski pooblaščenec to strogo razlago sicer nekoliko “rahlja” in se sklicuje na zakoniti interes delodajalcev, a veliko vprašanje je, koliko bi taka stališča prestala sodno kontrolo.«

Kako je z lokacijskim sledenjem zaposlenim (trgovski potniki, poštarji, redarji, zaposleni v čistilnih servisih), sledenjem njihovi storilnosti (različne mobilne aplikacije), registracijo prisotnosti na delovnem mestu …?

»Zakon o delovnih razmerjih vsebuje generalno klavzulo, da se osebni podatki zaposlenih lahko obdelujejo, če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Potrebno, ne nujno potrebno. Stvar dejanskih okoliščin ali pa tudi razlagalne “inovativnosti” delodajalca pa je, ali je v konkretnem primeru npr. sledenje potrebno ali ne. Če ni, je treba iskati drugo pravno podlago, verjetno privolitev, izjemoma morda zakoniti interes (preprečevanje kraje tovora ali prevoznega sredstva). Če pravne podlage ne najdemo, obdelave ne smemo izvajati. Evidentiranje delovnega časa? Prepričan sem, da je potrebno. Je potrebno za to uporabiti prstni odtis ali sken očesne mrežnice? Najbrž bo dovolj kartica. Smo imeli primere, ko so delavci goljufali in je nekdo z njihovimi karticami evidentiral še sodelavce? Potem morda lahko razmišljamo še o čem drugem kot o karticah. Kar hočem reči, je, da na področju varstva osebnih podatkov in GDPR ne obstajajo instant rešitve in odgovori.«

Kako GDPR vpliva na nekatere aktivnosti internega komuniciranja (družinski pikniki, ‘dedek mraz’ za otroke zaposlenih, pošiljanje čestitk ob rojstnem dnevu …)?

»Če piknika ne organizira delodajalec, gre za uporabo osebnih podatkov za zasebne namene, kar “pade ” izven GDPR. Obdarovanje otrok, čestitke ipd. – potrebno bo pridobiti privolitev, z opozorilom, da v delovnem razmerju morda ne bo enostavno dokazati, da je bila zares dana prostovoljno.«

Neredka je praksa, ko zaposleni zasebni telefon (in telefonsko številko) uporabljajo v službene namene – kaj GDRP narekuje v zvezi s tem?

»Po eni strani gre za vprašanje, ali so osebni podatki, ki se nahajajo na telefonu (kontaktni podatki določenih oseb), zadostno in primerno varovani. Po drugi strani pa gre za obdelavo osebnega podatka (zasebne telefonske številke) zaposlenega. Če se ta uporablja za nujno komuniciranje (npr. preverjanje, ali zaposleni, ki zamuja, pride na delo), gre po mojem mnenju za podatek oziroma obdelavo, ki je potrebna za izvrševanje delovnega razmerja. Za karkoli več bo potrebno najti drugo pravno podlago ali pa se take komunikacije vzdržati.«

Deli:

Povezana vsebina

Prijavite se na novice

Prijavite se in ne zamudite dogodka in vsakodnevnih novic