Zaščita podatkov zaposlenih postaja vse bolj pomembna za organizacije, ki si prizadevajo izpolnjevati zakone o zasebnosti. To pritiska na kadrovske službe vseh organizacij, naj bodo odgovorni skrbniki podatkov svojih zaposlenih. Obvezni interni pravni akt, ki ureja to področje v vseh organizacijah, je Pravilnik o varstvu osebnih podatkov.
Ta članek govori o pogostih napačnih predstavah delodajalcev v zvezi z varstvom osebnih podatkov zaposlenih in obravnava sodobne predpise o zasebnosti, čemur sledi pregled obveznosti delodajalca v celotnem življenjskem ciklu zaposlenih.
Kazalo:
Napačne predstave o varstvu osebnih podatkov zaposlenih
Ko delodajalec zaposli delavca, ima ta številne pravice do uporabe njegovih osebnih podatkov. Te pravice so določene z po zakonu obveznim internim pravnim aktom. Delodajalci imajo še vedno določene napačne predstave o tem, kaj lahko in česa ne smejo z osebnimi podatki zaposlenih po zakonu. Določena podjetja, sploh manjša, internih aktov celo nimajo, velika večina zaposlenih pa pravice do zaščite svojih osebnih podatkov sploh ne pozna. V nadaljevanju predstavljamo glavne napake, ki jih delodajalci počnejo v zvezi z varovanjem podatkov svojih zaposlenih.
- Delodajalci menijo, da jim zaposlenih ni treba obveščati pred obdelavo podatkov. Vendar morajo delodajalci obvestiti svoje zaposlene o vsakem primeru zbiranja in obdelave podatkov.
- Delodajalci menijo, da imajo zaradi varnosti in produktivnosti neomejeno pravico spremljati svoje zaposlene. Vendar pa Zakon o varstvu osebnih podatkov dovoljuje spremljanje zaposlenih le dokler takšno spremljanje ni nerazumno vsiljivo za zaposlene.
- Delodajalci menijo, da bo kršitev podatkov povzročila globe. To je lahko res, vendar je odvisno od resnosti kršitve in njenega vpliva.
- Razpon osebnih podatkov, ki jih hrani kadrovski oddelek organizacije, je lahko od njihovega imena, naslova, datuma rojstva, prejšnjih naslovov do njihovih zdravstvenih, finančnih in drugih občutljivih osebnih podatkov. V napačnih rokah so ti podatki lahko nevarni in med drugimi grožnjami tvegajo krajo identitete. Če pogledamo katero koli organizacijo, ima kadrovski oddelek vedno shranjene velike količine osebnih podatkov in občutljivih osebnih podatkov o svojih nekdanjih, sedanjih in potencialnih zaposlenih.
Obveznosti zaposlenih v kadrovskem oddelku iz naslova internega pravnega akta Pravilnika o varstvu osebnih podatkov
Kadrovski oddelek vsake organizacije se mora zavedati svojih obveznosti v celotnem življenjskem ciklu zaposlenih, od trenutka zaposlitve do konca zaposlitve. Poglejmo si obveznosti, na katere se mora kadrovnik zavedati v življenjskem ciklu zaposlenega.
Obveznosti med postopkom zaposlovanja in izbora
Med postopkom zaposlovanja mora delodajalec upoštevati naslednje obveznosti varstva podatkov:
- Delodajalci morajo kandidate za zaposlitev obvestiti o vrstah osebnih podatkov, ki jih bodo zahtevali, da jih predložijo, in o namenu, za katerega se bodo uporabljali.
- Zbiranje podatkov med postopkom zaposlovanja mora biti omejeno in pomembno za opravljanje delovnega mesta, za katerega se kandidat prijavlja.
- Obrazci za prijavo morajo vsebovati pooblastila prosilcev za zaposlitev, če se njihovi osebni podatki zbirajo od tretjih oseb, kot so prejšnji delodajalci ali napotnice.
- Preverjanja preteklosti ne smejo biti preveč vsiljiva in pred začetkom je treba pridobiti dovoljenje iskalca zaposlitve – rezultati teh preverjanj so zelo občutljivi podatki in jih je zato treba skrbno zaščititi.
- Hranjenje osebnih podatkov neuspešnih prosilcev za zaposlitev bi moralo biti omejeno – obdržati njihove podatke le, da bi jih upoštevali pri prihodnjih razpisih za delovna mesta, če se s tem strinjajo – ali pa sledi izbris osebnih podatkov.
- Ocenjevanje kandidatov z uporabo javno dostopnih podatkov je dovoljeno pod določenimi pogoji. GDPR na primer dovoljuje delodajalcem, da izvajajo preverjanje preteklosti na podlagi javno dostopnih informacij le, če je na voljo pravna podlaga za obdelavo teh podatkov. To od delodajalcev zahteva, da upoštevajo, ali so javno dostopne informacije, kot je npr. profil prosilca na družbenih omrežjih, povezane s poslovnimi ali zasebnimi nameni, saj je to lahko pomemben pokazatelj za pravno dopustnost vpogleda v podatke.
Obveznosti kadrovske službe v času trajanja zaposlitve
V času zaposlitve mora delodajalec upoštevati naslednje obveznosti varstva podatkov:
- Večina predpisov o zasebnosti, kot je GDPR, zahtevajo, da delodajalci obvestijo svoje zaposlene pred zbiranjem in obdelavo njihovih osebnih podatkov.
- Zbiranje, obdelava in hramba osebnih podatkov zaposlenih bi morala biti omejena na tisto, kar je potrebno, relevantno in sorazmerno s katero koli funkcijo, ki jo zaposleni opravlja v okviru delovnega razmerja.
- Delodajalci bodo morda lahko spremljali svoje zaposlene glede produktivnosti, varnosti in uveljavljanja politik podjetja. Vendar pa morajo zaposlene o takem spremljanju obvestiti pred izvedbo in uporabiti ustrezne zaščitne ukrepe za zaščito podatkov, zbranih z dejavnostjo spremljanja.
- Delodajalci so dolžni izpolnjevati pravice zaposlenih v določenih rokih. Te pravice vključujejo pravico zahtevati dostop do njihovih osebnih podatkov, izbris njihovih osebnih podatkov ali zavrnitev določenih oblik obdelave.
- Delodajalci morajo zagotoviti, da imajo ustrezne in razumne varnostne ukrepe za zaščito podatkov svojih zaposlenih. Če so podatki zaposlenih dostopni, pridobljeni ali ogroženi v varnostnem incidentu, morajo delodajalci obvestiti prizadete zaposlene in/ali regulativne organe v določenih časovnih okvirih v skladu z veljavno zakonodajo.
- Delodajalci morajo oceniti prakse varovanja zasebnosti zunanjih tretjih oseb in prodajalcev, s katerimi sklenejo pogodbo za obdelavo podatkov svojih zaposlenih iz kakršnega koli razloga, npr. kadrovske storitve, varnostne pogodbe ali storitve zdravstvenega zavarovanja itd. Najboljša praksa je imeti pogodbene sporazume, ki vsebujejo zaščitne ukrepe za zaščito prenesenih podatkov.
- Delodajalci morajo redno posodabljati svoje kadrovske evidence, da odražajo točne in potrebne osebne podatke o svojih zaposlenih. Netočne, zastarele ali neželene informacije je treba spremeniti ali odstraniti.
Obveznosti ob prenehanju delovnega razmerja
Ko zaposleni zapusti organizacijo, morajo delodajalci upoštevati naslednje obveznosti varstva podatkov:
- Delodajalci morajo imeti jasno politiko in postopek hrambe podatkov. Osebne podatke zaposlenih in nekdanjih zaposlenih, ki niso več potrebni, je treba izbrisati in vse, kar je potrebno za zakonite namene (pravne, računovodske, davčne namene ali prihodnje delovne vloge), je treba hraniti v ločenih varnih zbirkah podatkov z omejenim dostopom.
- Delodajalci morajo pridobiti soglasje zaposlenih, ki odhajajo, če želijo ohraniti svoje podatke za prihodnje delovne vloge.
- Nekdanji zaposleni imajo pravico do dostopa do svojih osebnih podatkov, ki jih hrani delodajalec. Vendar delodajalci niso dolžni posodabljati in popravljati osebnih podatkov nekdanjih zaposlenih.
Kako pridobiti interni pravni akt Pravilnik o varstvu osebnih podatkov?
Vaše podjetje še nima Pravilnika o varstvu osebnih podatkov? Potem je zadnji čas, da poskrbite vsaj za obvezne pravne akte v vašem podjetju. Pri tem vam lahko pomaga kadrovski svetovalec. Pravilnik o varstvu osebnih podatkov se sklicuje na GDPR (Splošno uredbo o varstvu podatkov). V skladu z GDPR je vsaka organizacija odgovorna za spoštovanje vseh načel varstva podatkov in je odgovorna tudi za dokazovanje skladnosti. GDPR ponuja podjetjem/organizacijam nabor orodij za pomoč pri dokazovanju odgovornosti, od katerih je treba nekatera obvezno vzpostaviti.