Po posledných štyroch článkoch o pokutách udelených Úradom na ochranu osobných údajov SR (Úrad), sa tento krát zameriame na pozitívnejší prípad – teda prípad účinnej obrany zamestnávateľa, ktorá viedla k zastaveniu konania.
Konanie voči prevádzkovateľovi začalo v roku 2021 na základe podnetu uchádzačky o zamestnanie, ktorá sa uchádzala o pracovnú pozíciu: právnička. Uchádzačka namietala, že prevádzkovateľ spracúval jej osobné údaje (životopis, atď.) bez toho, aby jej predtým, ako ich začal spracúvať poskytol informáciu o tom ako ich bude spracúvať (čl. 13 GDPR).
Ako svoj návrh odôvodnila uchádzačka?
- Uchádzačka zaslala životopis a až následne jej prišiel e-mail s informáciou, že k spracúvaniu osobných údajov dochádza takto a takto. Zároveň v rámci konania tvrdila, že prevádzkovateľ neúplne reagoval na jej žiadosť o uvedenie toho, aké jej osobné údaje spracúva.
Akú obranu použil prevádzkovateľ?
- V prvom rade zdokladoval, akým spôsobom spracúva osobné údaje uchádzačov (vrátane uchádzačky), keď preukázal, že:
- na portáli, cez ktorý ponuky práce propagoval umiestnil informáciou o spracúvaní osobných údajov. Životopis bolo možné zaslať až po tom, čo uchádzačka odklikla link s informačnou povinnosťou;
- po odoslaní životopisu poslal uchádzačke automaticky generovaný e-mail s ďalšou informáciou o spracúvaní osobných údajov. V tomto e-maile bola uchádzačka zároveň informovaná, že ak nebude zaradená do výberového konania, tak jej osobné údaje po 28 dňoch automaticky vymaže.
- V druhom rade uviedol, že uchádzačka podala žiadosť o potvrdenie o tom, aké jej osobné údaje spracúva až po uplynutí vyššie uvedenej lehoty 28 dní. Preto prevádzkovateľ postupoval správne, keď ju v zákonnej lehote informoval, že o nej žiadne osobné údaje nespracúva – tieto už boli vymazané.
Uchádzačka následne tvrdila, že komunikáciou s portálom zistila, že portál, v čase odoslania (jej) žiadosti na portál nefungoval na rovnakom princípe (vizuále) ako je to teraz - v čase konania. Zamestnávateľ prostredníctvom printscreenov preukázal, že aj keď došlo k zmene vizuálu portálu, tak informačnú povinnosť mal na ňom nasadenú tak pred touto zmenou, ako aj po nej, čím argument uchádzačky vyvrátil.
Uchádzačka tiež tvrdila, že ponuku neposlala prostredníctvom vyššie spomenutého portálu, ale prostredníctvom iného portálu/priamo e-mailom. Prevádzkovateľ na tomto mieste poukázal na § 100 ods. 3 písm. d) zákona o ochrane osobných údajov, podľa ktorého tvrdenia uvedené v návrhu majú byť podporené dôkazmi. Uchádzačka však takéto dôkazy nepredložila, a preto žiadal konanie zastaviť. Zároveň dodal, že:
„podania uchádzačky podľa jeho názoru smerujú k poškodeniu spoločnosti. Žiadne právo nie je absolútne, a ak existujú pochybnosti o pohnútkach dotknutej osoby, nasvedčujúcich o konaní, ktoré ma smerovať k zneužitiu práva a konania v rozpore s dobrými mravmi, Úrad ako správny orgán by tieto okolnosti mal brať do úvahy.“
Ako rozhodol Úrad?
Pokutu neuložil nakoľko nezistil porušenie práv uchádzačky ani povinností prevádzkovateľa pri spracúvaní osobných údajov. Uchádzačka podala rozklad aj na základe toho, že jej neboli doručené na vyjadrenie všetky vyjadrenia prevádzkovateľa. Rozklad bol úspešný. Následne Úrad tieto písomnosti uchádzačke doručil. Tá sa k podkladom pre rozhodnutie nevyjadrila. Úrad rozhodoval znova a svoje predchádzajúce rozhodnutie v plnom rozsahu potvrdil. Zároveň uviedol, že:
„Rozhodnutie správnych orgánov musí vychádzať zo spoľahlivo zisteného stavu veci. Vyvodzovanie zodpovednosti voči konkrétnemu subjektu musí vždy vychádzať z objektívne zistených skutočností. Nahradzovanie dôkazov dedukciou, vlastnou úvahou alebo úprimným subjektívnym presvedčením je neprípustné.“
Pár postrehov na záver
- Zamestnávateľovi je potrebné uznať, že procesy v rámci spoločnosti mal dostatočne dobre nastavené a hlavne ich dokázal vierohodne zdokladovať – uniesol tak zodpovednostný princíp podľa čl. 5 ods. 2 GDPR;
- Zamestnávateľ použil účinné argumenty i) keď žiadal, aby navrhovateľka svoje protitvrdenia podporila dôkazmi (on svoje tvrdenia predsa obhájil), ii) keď namietal zneužitie práva či dobrých mravov (čo vzhľadom na okolnosti mohlo byť hlasným argumentom);
- Úrad svoje rozhodnutie odôvodnil dôležitou právnou vetou, keď uviedol, že dedukcia, vlastná úvaha či úprimné subjektívne presvedčenie nemôžu byť základom pre vyvodenie administratívnej zodpovednosti.
Rozhodnutie nadobudlo účinnosť 13.2.2023 a získali sme ho na základe infožiadosti. Viac článkov k téme GDPR v HR nájdete na našom blogu.