Zamestnancovi v zmysle nariadenia GDPR patrí právo na prístup k jeho osobným údajom. Toto právo môže využiť pred aj po skončení pracovného pomeru. V drvivej väčšine prípadov toto právo (nespokojný) zamestnanec využije až po skončení pracovného pomeru. Dôvodom je napríklad pokus o získanie údajov a podkladov do súdneho konania.
O akom práve a povinnosti tu hovoríme?
Ide o právo zamestnanca:
- získať od zamestnávateľa potvrdenie o tom, či tento spracúva jeho osobné údaje;
- ak ich spracúva, tak má právo na získanie prístupu k týmto údajom;
- tiež právo na ďalšie informácie definované článkom 15 GDPR (napr. účel, kategórie osobných údajov, informácie o ďalších právach, atď.) – zjednodušenie obdobu informačnej povinnosti podľa čl. 13 GDPR;
- v prípade prenosu osobných údajov do tretích krajín/medzinárodných organizácií na získanie informácií o primeraných zárukách podľa čl. 46 GDPR.
Ide o povinnosť zamestnávateľa:
- poskytnúť kópiu osobných údajov zamestnanca.
Ide o neobmedzené právo?
Takmer. Zamestnávateľ nemusí údaje sprístupniť len v prípade, že takéto sprístupnenie by malo nepriaznivé dôsledky na práva a slobody iných. Rozšírene aj nepriaznivé dôsledky na obchodné tajomstvo, práv duševného vlastníctva či autorských práv týkajúcich sa softvéru. Prípadne, ak by ďalšie obmedzenie tohto práva vyplývalo za zákona (napr. advokát nemá povinnosť sprístupniť údaje, ak by to mohlo viesť k porušeniu povinnosti mlčanlivosti advokáta).
Rieši sa to aj v praxi?
Väčšinou len medzi zamestnávateľom a zamestnancom. No na Slovensku máme už aj právoplatné rozhodnutie o pokute udelenej Úradom na ochranu osobných údajov SR (úrad).
V spore zamestnanec žiadal (05/2020) o prístup „k [pozn. autora: jeho] osobným údajom, ktoré sa vyskytli v rámci akejkoľvek pracovnej emailovej komunikácie, resp. inej korešpondencie zamestnávateľa, prostredníctvom akýchkoľvek platforiem (...)“.
Zamestnanec niektoré údaje poskytol, no nie všetky, preto sa zamestnanec obrátil na úrad. Úrad vec posúdil tak, že i) zamestnávateľ poskytnutím len niektorých údajov žiadosť nevybavil poriadne, ii) zároveň zamestnancovi neposkytol všetky informácie podľa článku 15 GDPR. Zamestnávateľ v konaní dostal pokutu 1000 EUR a povinnosť žiadosť zamestnanca vybaviť v lehote do 14 dní od právoplatnosti rozhodnutia (08/2021).
Ako sa brániť z pohľadu zamestnávateľa?
Primárne odporúčame prevenciu – minimalizovanie údajov spracúvaných o zamestnancovi. Podobne, ako by to malo byť aj pri minimalizácii dát, ktoré držíme v osobnom spise zamestnanca. Ten si z neho totiž môže robiť fotokópie (viď § 75 ods. 1 ZP).
Ak je na prevenciu neskoro, tak sa môžete zamyslieť aj nad tým:
- či je osoba, ktorá o údaje žiada dostatočne identifikovateľná, a či ju nie je potrebné vyzvať k preukázaniu totožnosti;
- či nie je žiadosť o prístup údajov neurčitá. Najmä ak o osobe spracúvate veľké množstvo údajov. V takom prípade ju môžete vyzvať na doplnenie žiadosti;
- či dokážete spracovať žiadosť v lehote jedného mesiaca alebo či potrebujete na jej spracovanie dodatočný čas. O takomto predĺžení (max. o dva mesiace), je potrebné dotknutú osobu informovať do jedného mesiaca od doručenia jej žiadosti spolu s odôvodnením;
- či viete dotknutej osobe poskytnúť všetky údaje, alebo či niektoré nie je možné poskytnúť napr. z dôvodu, že sprístupnenie by malo nepriaznivé dopady na práva a slobody iných.
Uvedené nástroje by sa však mali používať len za splnenia všetkých požiadaviek v zmysle nariadenia a tam, kde je to relevantné. V závislosti od povahy a náročnosti sporu odporúčame tiež ďalšiu poradu s odborníkom v danej oblasti.
Rozhodnutie, ktoré ako príklad používame v texte vyššie sme získali na základe infožiadosti.