V súvislosti s GDPR sa často používa pojem súhlas dotknutej osoby. Mnoho zamestnávateľov využíva tento právny základ, aj keď nie je vždy potrebný. GDPR súhlas zamestnanca (dotknutej osoby) je vhodné využívať len v nutných prípadoch, ak nie je možné spracovávať údaje na inom právnom základe (na základe zmluvy, zákona alebo oprávneného záujmu).

Vždy, keď je to možné, je vhodnejšie využiť iný právny základ ako súhlas dotknutej osoby

Čím vám môže súhlas dotknutej osoby skomplikovať život?

Aby bol súhlas dotknutej osoby (v tomto prípade zamestnanca) platný, musí byť vážny a slobodne daný, konkrétny, informovaný a jednoznačný. V podstate to znamená, že súhlas nesmie byť ničím podmienený, musí byť jasné a zreteľne definované, aké údaje, na aký účel a ako dlho budú spracovávané. Dôležité tiež je, že súhlas musí byť odvolateľný a dotknutú osobu je potrebné informovať o jej právach v súvislosti so spracúvaním týchto osobných údajov.

Komplikácie prináša už len samotná odvolateľnosť súhlasu dotknutej osoby. Zoberme si príklad, kedy zamestnanec dal súhlas na spracovanie osobných údajov za účelom zverejnenia jeho mena a kontaktných údajov na webovej stránke zamestnávateľa. Potom súhlas odvolá, lebo ich tam nechce zverejniť. Zamestnávateľ však potrebuje mať tieto údaje na stránke, aby mohli daného zamestnanca kontaktovať zákazníci.

Viete si reálne predstaviť riešenie takýchto situácií vo firme? Nehovoriac ešte o potrebe úprav údajov z dôvodu fluktuácie zamestnancov a zodpovednosti za ich aktuálnosť. Situáciu si však v niektorých prípadoch môžete zjednodušiť.

Zjednodušte si situáciu!

Vždy, keď je to možné, je vhodnejšie využiť iný právny základ ako súhlas dotknutej osoby, a to napríklad:

• právny základ ZÁKON – na účel spracovania miezd, personalistiky, dochádzky alebo na účel BOZP,
• právny základ OPRÁVNENÝ ZÁUJEM – na účel spracovania prezenčnej listiny, kontaktných údajov a telefónnych čísiel svojich zamestnancov alebo na účel vzdelávania zamestnancov.

V týchto prípadoch má zamestnávateľ iba informačnú povinnosť, a teda zamestnanca informuje, na aký účel, ako a aké údaje spracováva, na akú dobu ich bude spracovávať a aké sú práva dotknutej osoby. V prípade oprávneného záujmu musí prevádzkovateľ vykonať aj test proporcionality (čo to je test proporcionality si povieme v niektorom z nasledujúcich blogov).

Treba však rozlišovať

Zoberme si ešte raz vyššie uvedený príklad. Zamestnávateľ potrebuje mať údaje o zamestnancovi na stránke, aby ho mohli kontaktovať zákazníci. V tomto prípade je vhodné použiť ako právny základ oprávnený záujem zamestnávateľa. Samozrejme, ak by mala byť na stránke aj fotka, na tú už zamestnávateľ potrebuje súhlas dotknutej osoby. Ide o to, že zákazník na vybavenie svojej požiadavky potrebuje kontaktovať danú osobu, ale nepotrebuje vedieť, ako vyzerá. To už môže prevyšovať oprávnený záujem zamestnávateľa.

Kedy je skutočne potrebný súhlas dotknutej osoby od zamestnancov?

Vyžaduje sa iba v prípadoch, kedy nie je možné využiť iný právny základ v súlade so zásadami GDPR.

Príkladom môže byť už spomínaná fotografia uverejnená na webovej stránke zamestnávateľa alebo na sociálnych sieťach. Upozorniť je tiež vhodné na potrebu získania súhlasu pri spracovávaní údajov záujemcov o prácu v evidencii uchádzačov o zamestnanie.

V niektorých prípadoch je skutočne vhodné konzultovať využitie právneho základu s odborníkom. Pomôcť môže tiež vstupná analýza GDPR, ktorá odhalí oblasti, o ktorých niektoré spoločnosti v súvislosti s GDPR dovtedy neuvažovali.

Avris Consulting, s.r.o.