Spoločnosti bežne zverejňujú informácie o svojich zamestnancoch na webových stránkach alebo intranete. Záujem zamestnávateľov zverejňovať takéto údaje pramení najmä v uľahčení priameho kontaktu obchodného partnera/klienta so zamestnancami, môže však ísť aj o marketingové účely s cieľom priblížiť potenciálnym klientom zloženie tímu a vyzdvihnúť kvality jednotlivcov. Pri veľkých nadnárodných spoločnostiach je dôvodom aj sprostredkovanie kontaktov medzi zamestnancami navzájom.
GDPR takéto zverejňovanie údajov osobitným spôsobom neupravuje, avšak v článku 88 umožňuje členským štátom v právnych predpisoch „stanoviť konkrétnejšie pravidlá na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním“.
Slovenská republika takéto osobitné oprávnenie zamestnávateľa upravila v § 78 ods. 3 zákona o ochrane osobných údajov, podľa ktorého je zamestnávateľ oprávnený zverejniť osobné údaje zamestnanca v rozsahu: titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresa elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa.
Častým omylom zo strany zamestnávateľov je, že toto ustanovenie zákona považujú za právny základ na spracúvanie osobných údajov. Pokiaľ by išlo o právny základ v zmysle článku 6 ods. 1 písm. c) GDPR, spracúvanie údajov o zamestnancoch by muselo byť nevyhnutné na splnenie zákonnej povinnosti zamestnávateľa. Zákon v § 78 ods. 3 však neupravuje zákonnú povinnosť zamestnávateľa, ide len o možnosť zamestnávateľa poskytovať a zverejňovať predmetné osobné údaje zamestnanca za zákonom stanovených podmienok.
Zamestnávateľ teda musí vždy zvážiť, či je zverejnenie údajov o zamestnancovi skutočne nevyhnutné a či spĺňa zákonom stanovené podmienky. Právnym základom pre zverejnenie osobných údajov zamestnanca bude buď pracovná zmluva alebo oprávnený záujem zamestnávateľa. Zamestnávatelia by na to nemali zabúdať z dôvodu, že nesprávnym stanovením právneho základu môže dôjsť k neúmyselnému porušeniu ustanovení GDPR.
Ako príklad možno uviesť situáciu, keď by právny základ spočíval v oprávnenom záujme zamestnávateľa a ten si v dôsledku mylného odkazu na § 78 ods. 3 zákona o ochrane osobných údajov nesplní svoju povinnosť vykonať test proporcionality.
Upozorňujeme tiež na to, že zákon umožňuje zverejňovanie údajov iba u tých zamestnancov, u ktorých je to potrebné v súvislosti s plnením ich pracovných, služobných alebo funkčných povinností. Okrem toho je tiež zamestnávateľ povinný zvážiť, či zverejnenie osobných údajov nenaruší vážnosť, dôstojnosť a bezpečnosť zamestnanca.
Oprávnenie zamestnávateľa zverejniť údaje o svojich zamestnancoch podľa zákona o ochrane osobných údajov nezahŕňa ich fotografie. Na zverejnenie fotografií zamestnancov je potrebný ich súhlas, pričom je potrebné zabezpečiť dobrovoľnosť udelenia súhlasu tak, aby pri jeho neudelení zamestnancovi nehrozili negatívne následky.
Pri zverejnení fotografií zamestnancov sa z pohľadu GDPR nerozlišuje medzi intranetom zamestnávateľa a jeho verejne dostupnými webovými stránkami.
Napriek na pohľad jednoznačnej zákonnej úprave týkajúcej sa zverejňovania osobných údajov zamestnancov sa môže stať, že zamestnávatelia nedopatrením nesprávne posúdia právny základ spracúvania osobných údajov alebo prekročia rozsah zverejnených údajov, a tým sa vystavia riziku uloženia sankcie zo strany Úradu na ochranu osobných údajov.
Tomáš Vick, Noerr
Prevzaté z newsletra Slovensko-nemeckej obchodnej a priemyselnej komory