Uredba o varstvu osebnih podatkov (GDPR) na kadrovskem področju
06. 06. 2018/Varovanje / varstvo osebnih podatkov (GDPR)
Tako kot na vsa področja poslovanja, po Splošna uredba EU o varstvu podatkov posegla tudi na kadrovsko področje, kjer bo s svojimi določili bolj dosledno uredila tisto, kar delodajalci sicer že poznajo in bi tudi morali imeti urejeno, pa je v resnici tako, da imajo nekateri urejeno malo manj, nekateri pa malo bolj. Zato si bomo v nadaljevanju pogledali nekaj bistvenih zadev, vezanih na obdelavo osebnih podatkov na kadrovskem področju:
Ker vemo, da delovno razmerje ni razmerje dveh avtonomnih strank, pač pa močnejše in šibkejše stranke, torej delodajalca in delavca, na tem področju veljata dve temeljni podlagi za obdelavo osebnih podatkov zaposlenega, to sta zakon, če pa zakonske podlage ni, pa osebna privolitev. Na kratko to pomeni, da delodajalec v svojih kadrovskih evidencah lahko obdeluje vse podatke zaposlenih, v kolikor ima zato zakonsko podlago, ki mu jo daje več področnih zakonov, med katerimi prednjačita ZDR-1 in ZEPDSV, v kolikor te podlage ni, pa potrebuje osebno privolitev zaposlenega. Ta privolitev je novost Splošne uredbe EU o varstvu podatkov, ki pa mora biti prostovoljna, ozaveščena in v obliki nedvoumno izraženega soglasja za obdelavo osebnih podatkov. Zaposleni ob dajanju tovrstne privolitve ne sme biti pod prisilo ali postavljen pred dejstvo, da v kolikor te privolitve ne podpiše, temu sledi izguba kakšne druge izmed njegovih pravic.
V kadrovski službi se bodo tako še naprej vodile različne evidence, ki jih zahteva ZEPDSV, kot so evidenca zaposlenih, evidenca stroškov dela, evidenca o izrabi delovnega časa, evidenca o oblikah reševanja kolektivnih sporov. Prav tako ni sprememb pri vodenju evidenc izvirnih dokumentov zaposlenega, pri čemer je potrebno poudariti, da se je treba izogibati hranjenju kopij osebnih dokumentov, saj lahko delodajalec fotografijo zaposlenega hrani le, če dokaže, da brez nje ne more uresničevati pravic in obveznosti iz delovnega razmerja.
Kar zadeva čas hrambe, se dokumenti hranijo za čas trajanja delovnega razmerja, razen dokumentov, za katere je predpisano trajno hranjenje, kot sta pogodba o zaposlitvi in M-obrazci. Izjema so dokumenti o kršitvah pogodbenih in delovnih obveznosti, ki se jih hrani do izteka zastaralnih rokov, to je 5 let.
Splošna uredba o varstvu podatkov še posebej ureja in opredeljuje posebne (prej »občutljivi«) podatke, kamor sodijo podatki o zdravstvenem stanju zaposlenega. Kot tudi do sedaj, delodajalec tudi po 25.5.2018 ne bo upravičen in ne bo smel pridobiti podatka o vzroku bolniške odsotnosti zaposlenega, temveč le podatke o predvidenem času odsotnosti od dela, podatke o režimu gibanja in podatke o razlogu začasne odsotnosti (bolezen, poškodba pri delu, poškodba izven dela….). Kakršno koli drugačno poizvedovanje po delavčevih zdravstvenih podatkih bi pomenilo grob poseg v njegovo zasebnost.
Tudi glede drugega večkrat izpostavljenega primera, to je videonadzora, Splošna uredba EU o varstvu podatkov ne prinaša novosti; videonadzor na delovnem mestu, razen v izjemnih primerih, ko gre za varovanje ljudi in premoženja, ni dovoljen, glede pravice do obveščenosti o obstoju videonadzora pa obveznosti ostajajo enake, kot do sedaj.
Elektronska pošta ostaja, enako kot do sedaj, znotraj sledečih kriterijev: osebni podatki so elektronski naslovi, datum in čas pošiljanja ter velikost priponke. Vsebina elektronske pošte pa je predmet določb o kršitvi tajnosti občil iz Kazenskega zakonika oz. določb o zahtevi za prenehanje kršitev osebnostnih pravic iz Obligacijskega zakonika. Delodajalec nima generalnega pooblastila za dostopanje do elektronske pošte zaposlenega.
Kot tudi za druga pogodbena razmerja tudi za delovno razmerje velja, da se podatki, ki jih delodajalec od zaposlenega pridobiva, obdeluje in hrani, zbirajo skladno z načelom sorazmernosti, kar pomeni: tisto, kar rabimo in takrat, ko rabimo, nikakor ne vnaprej, »za vsak slučaj« in na zalogo. Delodajalec mora razpolagati s tistimi osebnimi podatki zaposlenega, ki jih nedvoumno potrebuje za nemoteno, korektno in zakonito izvajanje določil medsebojno sklenjene pogodbe o zaposlitvi. Naš predlog je, da kadarkoli je delodajalec v dvomu, ali ima pravno podlago za pridobitev nekega osebnega podatka od zaposlenega na podlagi zakona ali ne, naj poseže po osebni privolitvi. S tem bo zaščitil tako interese zaposlenega kot lastne interese in bo v primeru spora lahko lažje dokazoval, kako in zakaj je določen osebni podatek obdeloval.
Za konec izpostavljamo, da je v delovnih razmerjih vedno potrebno spoštovati dve pravili:
– nad interesi močnejšega vedno prevlada interes šibkejšega;
– delavec je najprej posameznik s pravicami osebne narave in šele za tem delavec z obveznostmi in pravicami glede delovnega razmerja.
Če bodo procesi v kadrovskih službah tekli po enako ustaljenih in urejenih principih kot sedaj, ob upoštevanju vseh veljavnih pravnih norm, na kadrovskem področju razen presoje o tem, kdaj bo potrebna osebna privolitev delavca, Splošna uredba EU o varstvu podatkov ne bo prinesla revolucionarnih novosti.
Uredba o varstvu osebnih podatkov (GDPR) na kadrovskem področju
Tako kot na vsa področja poslovanja, po Splošna uredba EU o varstvu podatkov posegla tudi na kadrovsko področje, kjer bo s svojimi določili bolj dosledno uredila tisto, kar delodajalci sicer že poznajo in bi tudi morali imeti urejeno, pa je v resnici tako, da imajo nekateri urejeno malo manj, nekateri pa malo bolj. Zato si bomo v nadaljevanju pogledali nekaj bistvenih zadev, vezanih na obdelavo osebnih podatkov na kadrovskem področju:
Ker vemo, da delovno razmerje ni razmerje dveh avtonomnih strank, pač pa močnejše in šibkejše stranke, torej delodajalca in delavca, na tem področju veljata dve temeljni podlagi za obdelavo osebnih podatkov zaposlenega, to sta zakon, če pa zakonske podlage ni, pa osebna privolitev. Na kratko to pomeni, da delodajalec v svojih kadrovskih evidencah lahko obdeluje vse podatke zaposlenih, v kolikor ima zato zakonsko podlago, ki mu jo daje več področnih zakonov, med katerimi prednjačita ZDR-1 in ZEPDSV, v kolikor te podlage ni, pa potrebuje osebno privolitev zaposlenega. Ta privolitev je novost Splošne uredbe EU o varstvu podatkov, ki pa mora biti prostovoljna, ozaveščena in v obliki nedvoumno izraženega soglasja za obdelavo osebnih podatkov. Zaposleni ob dajanju tovrstne privolitve ne sme biti pod prisilo ali postavljen pred dejstvo, da v kolikor te privolitve ne podpiše, temu sledi izguba kakšne druge izmed njegovih pravic.
V kadrovski službi se bodo tako še naprej vodile različne evidence, ki jih zahteva ZEPDSV, kot so evidenca zaposlenih, evidenca stroškov dela, evidenca o izrabi delovnega časa, evidenca o oblikah reševanja kolektivnih sporov. Prav tako ni sprememb pri vodenju evidenc izvirnih dokumentov zaposlenega, pri čemer je potrebno poudariti, da se je treba izogibati hranjenju kopij osebnih dokumentov, saj lahko delodajalec fotografijo zaposlenega hrani le, če dokaže, da brez nje ne more uresničevati pravic in obveznosti iz delovnega razmerja.
Kar zadeva čas hrambe, se dokumenti hranijo za čas trajanja delovnega razmerja, razen dokumentov, za katere je predpisano trajno hranjenje, kot sta pogodba o zaposlitvi in M-obrazci. Izjema so dokumenti o kršitvah pogodbenih in delovnih obveznosti, ki se jih hrani do izteka zastaralnih rokov, to je 5 let.
Splošna uredba o varstvu podatkov še posebej ureja in opredeljuje posebne (prej »občutljivi«) podatke, kamor sodijo podatki o zdravstvenem stanju zaposlenega. Kot tudi do sedaj, delodajalec tudi po 25.5.2018 ne bo upravičen in ne bo smel pridobiti podatka o vzroku bolniške odsotnosti zaposlenega, temveč le podatke o predvidenem času odsotnosti od dela, podatke o režimu gibanja in podatke o razlogu začasne odsotnosti (bolezen, poškodba pri delu, poškodba izven dela….). Kakršno koli drugačno poizvedovanje po delavčevih zdravstvenih podatkih bi pomenilo grob poseg v njegovo zasebnost.
Tudi glede drugega večkrat izpostavljenega primera, to je videonadzora, Splošna uredba EU o varstvu podatkov ne prinaša novosti; videonadzor na delovnem mestu, razen v izjemnih primerih, ko gre za varovanje ljudi in premoženja, ni dovoljen, glede pravice do obveščenosti o obstoju videonadzora pa obveznosti ostajajo enake, kot do sedaj.
Elektronska pošta ostaja, enako kot do sedaj, znotraj sledečih kriterijev: osebni podatki so elektronski naslovi, datum in čas pošiljanja ter velikost priponke. Vsebina elektronske pošte pa je predmet določb o kršitvi tajnosti občil iz Kazenskega zakonika oz. določb o zahtevi za prenehanje kršitev osebnostnih pravic iz Obligacijskega zakonika. Delodajalec nima generalnega pooblastila za dostopanje do elektronske pošte zaposlenega.
Kot tudi za druga pogodbena razmerja tudi za delovno razmerje velja, da se podatki, ki jih delodajalec od zaposlenega pridobiva, obdeluje in hrani, zbirajo skladno z načelom sorazmernosti, kar pomeni: tisto, kar rabimo in takrat, ko rabimo, nikakor ne vnaprej, »za vsak slučaj« in na zalogo. Delodajalec mora razpolagati s tistimi osebnimi podatki zaposlenega, ki jih nedvoumno potrebuje za nemoteno, korektno in zakonito izvajanje določil medsebojno sklenjene pogodbe o zaposlitvi. Naš predlog je, da kadarkoli je delodajalec v dvomu, ali ima pravno podlago za pridobitev nekega osebnega podatka od zaposlenega na podlagi zakona ali ne, naj poseže po osebni privolitvi. S tem bo zaščitil tako interese zaposlenega kot lastne interese in bo v primeru spora lahko lažje dokazoval, kako in zakaj je določen osebni podatek obdeloval.
Za konec izpostavljamo, da je v delovnih razmerjih vedno potrebno spoštovati dve pravili:
– nad interesi močnejšega vedno prevlada interes šibkejšega;
– delavec je najprej posameznik s pravicami osebne narave in šele za tem delavec z obveznostmi in pravicami glede delovnega razmerja.
Če bodo procesi v kadrovskih službah tekli po enako ustaljenih in urejenih principih kot sedaj, ob upoštevanju vseh veljavnih pravnih norm, na kadrovskem področju razen presoje o tem, kdaj bo potrebna osebna privolitev delavca, Splošna uredba EU o varstvu podatkov ne bo prinesla revolucionarnih novosti.