Monitorovanie zamestnancov bez posúdenia vplyvu – cesta k pokute?
Monitorovanie zamestnancov predstavuje pre zamestnávateľov častokrát problém z hľadiska správneho nastavenia účelu a rozsahu monitorovania zamestnancov v súlade so zákonom. Kontrola zamestnancov sa vzhľadom na neustály vývoj moderných technológií uskutočňuje najmä prostredníctvom rôznych technických prostriedkov, ktoré narúšajú súkromie zamestnanca na pracovisku a/alebo v spoločných priestoroch zamestnávateľa. Takýmito prostriedkami sú najmä kamerový systém, GPS, internet, vstupné karty, a pod.
Monitorovanie zamestnancov z pohľadu Zákonníka práce
Ustanovenie § 13 ods. 4 Zákonníka práce je jediným ustanovením v rámci tohto zákona, ktoré upravuje monitorovanie zamestnancov. Zamestnávateľ nesmie bez vážnych dôvodov spočívajúcich v osobitnej povahe činností zamestnávateľa narúšať súkromie zamestnanca na pracovisku a v spoločných priestoroch zamestnávateľa tým, že ho monitoruje, vykonáva záznam telefonických hovorov uskutočňovaných technickými pracovnými zariadeniami zamestnávateľa a kontroluje elektronickú poštu odoslanú z pracovnej elektronickej adresy a doručenú na túto adresu bez toho, aby ho na to vopred upozornil.
Zákonník práce stanovuje pre zamestnávateľa povinnosť, v prípade zavedenia kontrolného mechanizmu, prerokovať so zástupcami zamestnancov rozsah kontroly, spôsob jej uskutočnenia, ako aj dobu jej trvania a informovať zamestnancov o rozsahu kontroly, spôsobe jej uskutočnenia, ako aj o dobe jej trvania.
Zákonník práce v nadväznosti na čl. 16 Ústavy SR (ochrana súkromia) stanovuje zamestnávateľovi pri monitorovaní zamestnancov jasné pravidlá a s tým súvisiace povinnosti.
Monitorovanie zamestnancov z pohľadu ochrany osobných údajov
GDPR ani zákon č. 18/2018 Z. z. o ochrane osobných údajov výslovne neupravuje monitorovanie zamestnancov, či už prostredníctvom kamerového systému alebo inými spôsobmi.
Právnym základom monitorovania zamestnanca je z pohľadu GDPR osobitný predpis, ktorým je Zákonník práce. Z tohto dôvodu zamestnanec neudeľuje súhlas s monitorovaním na pracovisku a/alebo v spoločných priestoroch zamestnávateľa.
Tento právny základ je použiteľný v prípade, ak ide o monitorovanie zamestnancov z dôvodu vyvodenia pracovnoprávnej zodpovednosti. Monitorovanie priestorov pracoviska a spoločných priestorov z dôvodu ochrany majetku zamestnávateľa predstavuje iný právny základ – oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR.
Popri povinnosti zamestnávateľa informovať vopred zamestnanca o monitorovaní podľa Zákonníka práce, je zamestnávateľ povinný poskytnúť zamestnancovi pri získavaní jeho osobných údajov monitorovaním informácie podľa čl. 13 nariadenia GDPR (rozsah a účel spracúvaných osobných údajov, práva dotknutej osoby, lehota spracúvania osobných údajov, atď).
Posúdenie vplyvu pri monitoringu práce zamestnanca
Ustanovenie Čl. 35 GDPR zakotvuje povinnosť prevádzkovateľa posúdiť vplyv plánovaných spracovateľských operácií na ochranu osobných údajov pred ich spracúvaním, v prípade, ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb.
Podľa metodického usmernenia vydaného Úradom na ochranu osobných údajov SR[3] patrí do zoznamu spracovateľských operácií podliehajúcich posúdeniu vplyvu na ochranu osobných údajov aj monitoring práce zamestnanca. Konkrétne podlieha posúdeniu vplyvu monitoring práce zamestnanca na základe vážnych dôvodov vyplývajúcich z osobitnej povahy činnosti zamestnávateľa.
Usmernenie vydané Úradom vychádza z usmernenia[4] pracovnej skupiny WP29[5], ktoré stanovilo kritériá, na základe ktorých je možné určiť, kedy spracovateľská operácia podlieha posúdenie vplyvu na ochranu údajov.
Nakoľko spracúvanie osobných údajov zamestnancov monitorovaním má osobitnú povahu, spĺňa táto spracovateľská operácia súčasne nasledovné kritériá:
- kritérium spracúvania údajov o zraniteľných dotknutých osobách
- kritérium systematického monitorovania
Napriek tomu, že Úrad ďalšie kritérium pre posúdenie vplyvu pri tejto spracovateľskej operácii neuvádza, v závislosti od použitých prostriedkov monitorovania by sa mohlo uplatniť aj kritérium inovačného využitia alebo uplatňovania nových technologických alebo organizačných riešení (napr. pri využití kombinácie využitia odtlačkov prstov a rozpoznávania tvárí pre lepšiu kontrolu fyzického prístupu pri monitorovaní zamestnancov) Dôvodom pre posúdenie vplyvu je skutočnosť, že využitie novej technológie môže zahŕňať nové formy získavania a využívania údajov, ktoré́ môžu byť spojené s vysokým rizikom pre práva a slobody jednotlivcov.
Konkrétny postup pri posudzovaní vplyvu na ochranu osobných údajov stanovuje vyhláška Úradu na ochranu osobných údajov SR č. 158/2018 Z. z.
Pri porušení povinnosti vykonať posúdenie vplyvu hrozí zamestnávateľovi ako prevádzkovateľovi pokuta až do výšky 10 000 000 eur alebo do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, ak ide o podnik.
Na základe vyššie uvedeného musí zamestnávateľ pri monitorovaní zamestnancov dbať na splnenie zákonných povinností nielen v kontexte Zákonníka práce, ale aj na ochranu osobných údajov týchto zamestnancov podľa GDPR a príslušných právnych predpisov. Zamestnávateľovi vo vzťahu k monitorovaným zamestnancom vzniká okrem informačnej povinnosti voči zamestnancom aj povinnosť vykonať pri monitorovaní zamestnancov posúdenie vplyvu na ochranu osobných údajov.
JUDr. Simona Laktišová,
advokátka
Eversheds Sutherland Dvořák Hager, advokátska kancelária, s.r.o.
Cintorínska 3/a
811 08 Bratislava
Tel: +421 232 786 411
E-mail: simona.laktisova@eversheds-sutherland.sk
___________________________________
[1] Čl. 16 ústavného zákona č. 460/1992 Z. z. Ústava Slovenskej republiky
[2] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
[3] Úrad na ochranu osobných údajov Slovenskej republiky. Zoznam spracovateľských operácií podliehajúcich posúdeniu vplyvu na ochranu osobných údajov Slovenskej republiky. In www.dataprotection.gov.sk [online] 2019 [cit. 2019-05-09]. K dispozici >>> zde.
[4] Pracovná skupina WP 29. Usmernenia tykajúce sa posúdenia vplyvu na ochranu údajov a stanovenie toho, či na účely nariadenia 2016/679 spracúvanie „pravdepodobne povedie k vysokému riziku“. WP 248 rev.01 [online] 4.10.2017. In www.dataprotection.gov.sk [online] 2019 [cit. 2019-05-09]. K dispozici >>> zde.
[5] Pracovná skupina WP29 sa zriadila podľa článku 29 smernice 95/46/ES a predstavuje nezávislý́ európsky poradný́ organ pre ochranu údajov a súkromie.
© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk