FOCUS GDPR a zamestnanci: aký právny rámec?

Právne správy – máj 2019.

Dva nedávne prípady týkajúce sa veľkého internetového kníhkupectva vyvolávajú otázky o voľnosti zamestnancov pri spracovaní osobných údajov zákazníkov spoločnosti.

Hoci spracovanie údajov je v súčasnosti podrobne regulované zákonom a početnými usmerneniami – či už ide o usmernenia CNIL alebo Európskeho výboru pre ochranu údajov (EDPB) – zodpovednosti v rámci samotnej spoločnosti stále vyvolávajú mnoho otázok.

Aká je zodpovednosť zamestnávateľa, pokiaľ ide o to, ako jeho zamestnanci spracúvajú osobné údaje? Treba mať na pamäti niekoľko zásad:

Rozsah pôsobnosti GDPR je široký[1]. Automatizované spracovanie osobných údajov v skutočnosti zahŕňa operácie vykonávané s údajmi pomocou softvéru tradične používaného v podnikoch: napríklad databázy, e-mail, tabuľky, ako aj prípadne spracovanie údajov vykonávané pomocou softvéru na spracovanie textu.

Zodpovednosť za konanie zamestnancov vo všeobecnosti nesie zamestnávateľ podľa Občianskeho zákonníka2, ale aj podľa GDPR, pretože zamestnávateľ je prevádzkovateľom údajov: je to zamestnávateľ, kto definuje prostriedky a účely spracovania v zmysle zákona3.

Z rovnakého dôvodu bude zamestnávateľ zodpovedný v prípade narušenia bezpečnosti, aj keď je dôsledkom konania zamestnanca, pretože práve zamestnávateľ má povinnosť zabezpečiť údaje v rámci svojej spoločnosti4.

Ak je zamestnávateľ zodpovedný voči tretím stranám, môže samozrejme podniknúť kroky proti zamestnancovi, ktorý konal protiprávne, najmä za porušenie dôvery alebo podvod, a uložiť mu disciplinárnu sankciu alebo dokonca prepustenie. Podvodný prístup alebo udržiavanie prístupu k celému automatizovanému systému spracovania údajov alebo k jeho časti je tiež trestným činom.

Nezávisle od zodpovednosti zamestnávateľa môže zamestnanec niesť aj vlastnú zodpovednosť voči svojmu zamestnávateľovi, ale aj voči tretím stranám: zamestnanec, ktorý sa odchýli od pokynov zamestnávateľa a sleduje svoje vlastné účely, sa sám stáva zodpovedným za spracovanie v zmysle zákona (pozri analýzu Európskej pracovnej skupiny k článku 296 – teraz EDPB).

To isté platí, ak poruší IT chartu spoločnosti a použije údaje pre svoj vlastný účet.

Na záver je nevyhnutné, aby zamestnávateľ prijal tieto opatrenia:

• Presne definovať účely a prostriedky spracovania a upozorniť zamestnancov na tento rámec
• Nechajte ich podpísať doložku o mlčanlivosti pripojenú k pracovnej zmluve, ako aj IT chartu.
• Zapojte zodpovednú osobu za ochranu údajov a zamestnaneckú radu do prípravy týchto dokumentov.

Tieto preventívne opatrenia budú mať dvojaký prínos: lepšiu ochranu osôb, ktorých údaje sa spracovávajú, a objasnenie zodpovednosti zamestnávateľa v prípade zneužitia.

Treba poznamenať, že zamestnanci majú tiež prospech z ochrany svojho súkromia – a svojich osobných údajov – na pracovisku. Táto téma bude predmetom ďalšieho vývoja.

A tiež:

Vo Francúzsku:

CNIL 15. apríla zverejnila svoju správu o činnosti a oznámila, že svoje budúce audity zameria na dodržiavanie práv jednotlivcov, spracovanie údajov maloletých a rozdelenie zodpovedností medzi prevádzkovateľa a subdodávateľa.

CNIL, ktorej teraz predsedá Marie-Laure Denis, má nové kolégium.

V Európe:

Dňa 12. apríla EDPB prijal usmernenia týkajúce sa zhromažďovania údajov v kontexte služieb informačnej spoločnosti, pričom sa zameral najmä na právny základ pre zhromažďovanie v kontexte zmluvného vzťahu so zákazníkom (článok 6 (1) (B) GDPR). Tento text je predmetom verejnej konzultácie do 24. mája.

Vo svete:

Nigéria prijala zákon o ochrane údajov podobný GDPR.

1 Články 2.1 a 4.1) a 2) GDPR.

2 Pozri najmä článok 1242 odsek 1 a odsek 5 Občianskeho zákonníka.

3 Článok 4.7) GDPR.

4 Článok 32 GDPR.

5 Článok 323-1 trestného zákona.

6 Strana 16