FOCUS GDPR in zaposleni: kakšen pravni okvir?

Pravna ura – maj 2019.

Dva nedavna primera, v katera je bila vpletena velika spletna knjigarna, sprožata vprašanja o svobodi, ki jo imajo zaposleni pri obdelavi osebnih podatkov strank podjetja.

Čeprav obdelavo podatkov zdaj podrobno ureja zakonodaja in številne smernice – bodisi smernice CNIL bodisi Evropskega odbora za varstvo podatkov (EDPB) – odgovornosti znotraj samega podjetja še vedno sprožajo številna vprašanja.

Kakšna je odgovornost delodajalca glede tega, kako njegovi zaposleni obdelujejo osebne podatke? Upoštevati je treba nekaj načel:

Področje uporabe GDPR je široko[1]. Avtomatizirana obdelava osebnih podatkov dejansko zajema operacije, ki se izvajajo s podatki z uporabo programske opreme, ki se tradicionalno uporablja v podjetjih: na primer podatkovnih baz, e-pošte, preglednic, ter, kjer je to primerno, obdelavo podatkov, ki se izvaja z uporabo programske opreme za urejanje besedil.

Odgovornost za dejanja zaposlenih je na splošno na strani delodajalca v skladu s Civilnim zakonikom2, pa tudi v skladu z GDPR, saj je delodajalec upravljavec podatkov: delodajalec je tisti, ki določa sredstva in namene obdelave v smislu zakona3.

Iz istega razloga bo delodajalec odgovoren v primeru kršitve varnosti, tudi če je ta posledica dejanj zaposlenega, saj je delodajalec tisti, ki je dolžan zavarovati podatke znotraj svojega podjetja4.

Če je delodajalec odgovoren tretjim osebam, lahko seveda ukrepa proti zaposlenemu, ki je ravnal nezakonito, zlasti zaradi zlorabe zaupanja ali goljufije, in mu naloži disciplinsko sankcijo ali celo odpoved. Goljufiv dostop ali ohranjanje dostopa do celotnega ali dela avtomatiziranega sistema za obdelavo podatkov je prav tako kaznivo dejanje.

Neodvisno od odgovornosti delodajalca lahko delavec nosi tudi lastno odgovornost do delodajalca, pa tudi do tretjih oseb: delavec, ki odstopa od navodil delodajalca in sledi lastnim namenom, postane sam odgovoren za obdelavo v smislu zakona (glej analizo Evropske delovne skupine za člen 296 – zdaj EDPB).

Enako velja, če krši IT-listino podjetja, da bi podatke uporabljal za svoj račun.

Skratka, za delodajalca je bistveno, da sprejme naslednje previdnostne ukrepe:

• Natančno opredelite namene in sredstva obdelave ter zaposlene seznanite s tem okvirom.
• Naj podpišejo klavzulo o zaupnosti, ki je priložena pogodbi o zaposlitvi, in listino o IT.
• V pripravo teh dokumentov vključite pooblaščeno osebo za varstvo podatkov in svet delavcev.

Ti previdnostni ukrepi bodo imeli dvojno korist, saj bodo bolje zaščitili ljudi, katerih podatki se obdelujejo, in pojasnili odgovornost delodajalca v primeru zlorabe.

Treba je opozoriti, da imajo zaposleni na delovnem mestu koristi tudi od varstva svoje zasebnosti – in svojih osebnih podatkov. To bo predmet nadaljnjega razvoja.

In tudi:

V Franciji:

CNIL je 15. aprila objavil poročilo o dejavnostih in napovedal, da se bo pri prihodnjih revizijah osredotočil na spoštovanje pravic posameznikov, obdelavo podatkov mladoletnikov in porazdelitev odgovornosti med upravljavcem in podizvajalcem.

CNIL, ki mu zdaj predseduje Marie-Laure Denis, ima nov kolegij.

V Evropi:

EOVP je 12. aprila sprejel smernice o zbiranju podatkov v okviru storitev informacijske družbe, s poudarkom zlasti na pravni podlagi za zbiranje v okviru pogodbenega razmerja s stranko (člen 6(1)(B) GDPR). To besedilo je predmet javnega posvetovanja do 24. maja.

V svetu:

Nigerija sprejema zakon o varstvu podatkov, podoben GDPR.

1 Člena 2.1 in 4.1) in 2) GDPR.

2 Glej zlasti člen 1242, odstavek 1 in odstavek 5 Civilnega zakonika.

3 Člen 4.7) GDPR.

4 Člen 32 GDPR.

5 Člen 323-1 kazenskega zakonika.

6 Stran 16