25. maj 2018 bo za večino slovenskih, kakor tudi evropskih podjetij, dan, ki si ga bodo verjetno na takšen ali drugačen način nedvomno zapomnil. To je datum, ko v EU začne veljati Splošna uredba o varstvu podatkov (EU) 2016/679 ali bolje poznana kot »GDPR«. Dejstvo je, da bo moralo kar nekaj podjetij prilagoditi svoje zbirke osebnih podatkov, da bodo zbirke v skladu z novo Uredbo. Ni pa vse tako grozno, kot morda izgleda na prvi pogled.
Tista podjetja, ki so že doslej striktno sledila zakonodaji na področju varstva osebnih podatkov bodo potrebovala le manjše prilagoditve. Na kadrovskem področju bodo podjetja nedvomno lahko še naprej mirno spala, če osebne podatke svojih zaposlenih obdelujejo v okviru veljavnih predpisov s področja socialne varnosti in delovnih razmerij. Zgolj zaradi obdelovanja podatkov o lastnih zaposlenih podjetjem zagotovo tudi ne bo treba imenovati pooblaščene osebe za varstvo podatkov (DPO). Tudi obveznosti v zvezi s posredovanjem podatkov in informacij delavcem niso v Sloveniji nič novega.
Kako torej obdelovati osebne podatke v delovnih razmerjih?
Osnovno vodilo naj bo – obdelujemo samo tiste osebne podatke, ki jih nujno potrebujemo za namen izvrševanja pravic in dolžnosti iz delovnega razmerja (tako tudi 48. člen ZDR-1). Zagotovo nujno potrebujemo ime, priimek, naslov, davčno številko in TRR posameznika – o tem ni dvoma. V ta krog sodi še kakšen drug podatek, npr. podatek o prijavi v obvezna zavarovanja (M-1 in M-2 obrazca), začetek in zaključek delovnega razmerja itd.
V pomoč naj vam bo predvsem Zakon o evidencah na področju dela in socialne varnosti (ZEPDSV), ki taksativno našteva, katere zbirke oziroma osebne podatke delodajalec lahko obdeluje in koliko časa lahko delodajalec obdeluje podatke o svojih zaposlenih in njegovih družinskih članih. Priporočamo, da zbirke podatkov o delavcih tudi poimenujete enako kot jih poimenuje ZEPDSV, ker le tako ne bo dvoma, da podatke obdelujete na tej podlagi.
Nikakor pa v okvir obdelave ne sodijo zdravstveni izvidi, ki jih po pomoti morebiti pošljejo delavci. Delodajalec seveda lahko pridobi zdravniško spričevalo, da je delavec zdravstveno sposoben za opravljanje dela, ne pa, kot rečeno, zdravniškega izvida. Delodajalec mora seveda dobiti tudi podatke o morebitnih omejitvah zaradi zdravstvenih razlogov, ki jih mora spoštovati, ne sme pa pridobiti podatka o diagnozi, zdravilih, ki jih jemlje delavec in podobno. Kaj torej storiti, če delavec delodajalcu vseeno pošlje podatek, ki ga delodajalec ne sme obdelovati? Takšen podatek oziroma dokument čim prej vrnite posamezniku in ga izbrišite iz svojih baz. Podobno velja za podatke o režimu gibanja delavca, ki je odsoten zaradi bolezni ali poškodbe.
Poudariti moramo, da osebne privolitve za obdelavo osebnih podatkov v delovnih razmerjih načeloma ni mogoče uporabiti kot ustrezno pravno podlago. Delovno pravo delavca šteje za šibkejšo stranko in tako presoja tudi vsako morebitno privolitev. Ker mora biti privolitev prostovoljna, se v delovnih razmerjih zaradi premoči delodajalca vedno poraja dvom v njeno prostovoljnost.
Delodajalec lahko osebne podatke svojih delavcev izjemoma obdeluje tudi na podlagi osebne privolitve, vendar zgolj in samo v primerih, kjer očitno ne prihaja do dvoma v prostovoljnost. Delodajalec na primer priredi neobvezno novoletno večerjo, na katero so vabljeni vsi zaposleni – podatek o tem, kdo se bo večerje udeležil (ali na primer, kdo želi vegetarijansko večerjo ali ima morebitne alergije) delodajalec obdeluje na podlagi osebne privolitve. Podoben primer so novoletna obdarovanja otrok zaposlenih in skupinska športna udejstvovanja v okviru podjetja.
Še beseda o življenjepisih
Delodajalec od kandidatov prav tako ne sme zahtevati podatkov, ki niso povezani z delovnim razmerjem oziroma niso pomembni za opravljanje konkretnega dela. Kandidatov ne smejo spraševati o družinskem življenju in načrtih. Ob preizkusih znanja in sposobnosti morajo biti delodajalci previdni, da ne gredo preko meje in posežejo v polje zasebnosti kandidata, ki ni v nobeni zvezi z delom, za katerega kandidira.
V praksi se pogosto zgodi, da podjetje življenjepise kandidatov po prejemu hrani »za vekomaj«. Takšno ravnanje je napačno, saj se namen obdelave osebnih podatkov izteče, ko je izbirni postopek novega delavca končan. Delodajalec bi tako moral vse življenjepise posameznikov, ki niso bili izbrani za delovno mesto, uničiti po zaključku izbirnega postopka (oziroma morebitnega pritožbenega postopka) ali jih na zahtevo kandidata vrniti.
Dejstvo pa seveda je, da večina delodajalcev življenjepise dobrih, a hkrati neizbranih kandidatov, želi obdržati za kasneje, ko bodo morda potrebovali prav takšnega kandidata. To lahko doseže na dva načina:
- v razpisu zapiše, da naj kandidati, ki želijo biti v bazi delodajalca iskalcev zaposlitve tudi po izbirnem postopku, to posebej označijo (če ima delodajalec pripravljen obrazec za prijavo, naj omogoči »kljukico«, vendar "checkbox" ne sme biti predizpolnjen);
- kandidate, ki niso bili izbrani, povabi k podaji osebne privolitve (preko e-pošte, telefona ...).
GDPR na kadrovskem področju v podjetjih ne bo povzročil revolucije – zato se ne prenaglite in ne nasedajte zastraševanju. Raje dobro premislite in o potrebnih prilagoditvah v vašem podjetju povprašajte pravega strokovnjaka na področju varstva osebnih podatkov.
Tina Kraigher Mišič,
Info hiša d.o.o.