Úrad na ochranu osobných údajov SR (Úrad) rozhodoval o tom, či zamestnávateľovi uloží alebo neuloží pokutu za to, že na firemnej nástenke zverejňoval osobné údaje svojich zamestnancov.
Konanie sa začalo na základe podnetu, v ktorom podávateľ namietal, že zamestnávateľ sprístupňuje na nástenke umiestnenej vo firemnej hale osobné údaje zamestnancov v rozsahu meno, priezvisko, funkcia, údaje o absencii, čerpaní lekára, dovolenke, turnusovom voľne, krátkodobej a dlhodobej PN.
Čo zisťoval Úrad?
Úrad vyzval zamestnávateľa k súčinnosti a žiadal najmä tieto informácie:
- Uviedol účel a právny základ, na základe ktorého uvedené údaje sprístupňuje neobmedzenému okruhu osôb;
- Predložil informačnú povinnosť (čl. 13/14 GDPR) a oboznámenie dotknutých osôb s týmto dokumentom;
- Uviedol, komu je umožnený vstup do haly, kde je nástenka, a aby uviedol, kto tam vstupuje pravidelne a kto sporadicky. Zároveň či do nej vstupujú aj tretie osoby (napr. návštevy);
- Predložil záznamy o spracovateľskej činnosti podľa čl. 30 GDPR;
- Uviedol prijaté organizačné a technické opatrenia a predložil dokumentáciu;
- Uviedol, kto z jeho zamestnancov má oprávnenie oboznamovať sa s takýmito údajmi a písomne preukázal, že každá osoba s prístupom k týmto údajom, tieto spracúva len na základe poverenia zamestnávateľa podľa čl. 29 GDPR;
- Uviedol ďalšie skutočnosti, ktoré považuje za relevantné.
Ako zákonnosť spracúvania ne/preukázal zamestnávateľ?
Zamestnávateľ sa k veci vyjadril nasledovne (uvádzame len štyri nosné argumenty):
- Údaje spracúva na dvoch nástenkách za účelom sledovania dochádzky zamestnancov pracujúcich vo výrobe, na právnom základe plnenia zákonnej povinnosti (povinnosť sledovať pracovný čas v zmysle § 99 Zákonníka práce (ZP), povinnosť evidencie neprítomnosti vyplývajúca z § 141 ZP o prekážkach v práci, §§ 100-117 o dovolenke, povinnosti podľa predpisov upravujúcich odvodové povinnosti a v neposlednom rade povinnosť rozvrhovať pracovný čas podľa § 90 ZP);
- Zamestnancov informoval o spracúvaní osobných údajov informačnou povinnosťou (časť personálno-mzdová agenda) a predložil znenie informačnej povinnosti;
- Nástenky nie sú sprístupnené neobmedzenému počtu osôb, ale len vymedzeným osobám, a to zamestnancom, ktorí majú oprávnenie na vstup do priestorov, a údaje využívajú na plnenie svojich pracovných povinností;
- Pravidelný prístup do výrobných hál majú len zamestnanci pridelení na toto pracovisko, a iní zamestnanci, ktorí s oddelením úzko spolupracujú (manažment, personál z oddelenia kvality, údržby a tech. kontroly). Tretie osoby majú prístup výnimočne a sú nimi najmä špecialisti údržby, prípadne iné návštevy v súvislosti s rozvojom / zmenou technológie, resp. zamestnanec zodpovedný za BOZP;
- Oprávnenie oboznamovať sa s údajmi má výrobný manažér, čo zdokumentoval prílohou;
- Zamestnávateľ zároveň vypracoval nový účel a právny základ – oprávnený záujem, pod ktorý spadá umiestnenie nástenky vo výrobnej hale.
Ako ne/zákonnosť spracúvania vyhodnotil Úrad?
Úrad vec posúdil nasledovne (uvádzame len štyri nosné zistenia):
- Zákonník práce ani uvedené predpisy neuvádzajú povinnosť zamestnávateľa zverejňovať/sprístupňovať údaje o dochádzke iným zamestnancom prípadne tretím osobám. Zo ZP zároveň nevyplýva ani tento účel. Úrad nenamieta spracúvanie údajov za účelom dochádzky ale namieta práve sprístupňovanie tejto evidencie neoprávneným osobám;
- Zamestnávateľ si nesplnil informačnú povinnosť voči zamestnancom. Predložil síce informačnú povinnosť, kde zamestnancov informuje o spracúvaní údajov vo vzťahu k účelu personalistika a mzdy a k účelu uzatvorenie pracovnej zmluvy, no z informačnej povinnosti žiadnym spôsobom nevyplýva, že prístup k údajom o dochádzke budú mať takmer všetci zamestnanci a externé osoby, ani že tieto údaje budú zverejnené na tabuli v prevádzke;
- Zamestnávateľ preukázal, že iba jedna osoba (výrobný manažér) mala oprávnenie oboznamovať sa s údajmi o dochádzke. Vo vzťahu k ostatným osobám (pozn. ďalší zamestnanci, tretie osoby) toto oprávnenie nepreukázal. Neuniesol tak dôkazné – zodpovednostné – bremeno na jeho strane;
- Zamestnávateľ síce skrz zákonné oprávnenie môže spracúvať osobné údaje zamestnancov v rozsahu meno, priezvisko, pracovné zaradenie (a ďalšie podľa § 78 ods. 3 zákona č. 18/2018 Z.z.) ich poskytnutím či zverejnením, no aj na takéto spracúvanie potrebuje právny základ. Keďže zákon hovorí o oprávnení a nie o povinnosti spracúvať osobné údaje, tak plnenie zákonnej povinnosti nie je vhodným právnym základom. Toto oprávnenie sa však už nevzťahuje na spracúvanie údajov o dochádzke.
Ako údaje na nástenke spracúvať správne?
Ak zavádzate alebo máte zavedenú firemnú nástenku zamyslite sa nad tým, aké osobné údaje na nej zverejňujete. Ak pôjde o osobné údaje: meno, priezvisko, pracovné/služobné/funkčné zaradenie, osobné/zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne/faxové číslo či e-mail, tak osobné údaje budete môcť spracúvať na základe Vášho oprávneného záujmu. K nemu si samozrejme vypracujte test proporcionality, upravte informačnú povinnosť, a s touto preukázateľne oboznámte zamestnancov.
Ak pôjde o iné osobné údaje, tak sa radšej poraďte s odborníkom/Vaším privacy oddelením a vyhodnoťte si situáciu a riziká. Je totiž iné na nástenku dať fotku relevantnej kontaktnej osoby (napr. vedúci HR či BOZP) a nástenku dať fotky zamestnancov z celého oddelenia. Zároveň k veci budete musieť pristupovať veľmi citlivo, najmä ak zverejnenie takejto fotky založíte na súhlase. Jeho použitie je skrz nepomer sily v pracovnoprávnych vzťahoch rizikové, no nie vylúčené. Len sa nad tým treba vopred zamyslieť.
A mimochodom ...
Zamestnávateľovi bola tento krát uložená pokuty vo výške 4 500 EUR. Čo je výrazne viac, ako pri nezrušení e-mailu bývalého zamestnanca (pozri tu), kde Úrad uložil pokutu 500 EUR, či pri uniknutom protokole z inšpektorátu práce (pozri tu), kde Úrad uložil pokutu 750 EUR. Pri výške pokuty v tomto prípade však zavážilo aj to, že zamestnávateľ bol väčším zamestnávateľom (cca 250 dotknutých osôb).
Rozhodnutie Úradu nadobudlo právoplatnosť dňa 16.8.2023 a získali sme ho na základe infožiadosti.