Diskusia o ochrane údajov zamestnancov sa dlhé roky sústredila na klasické formy monitoringu ako kamerové systémy, sledovanie elektronickej komunikácie či kontrolu používania internetu. Najaktuálnejšie riziká digitálneho pracoviska sa však dnes presúvajú do menej viditeľnej roviny. Údaje, ktoré zamestnávateľ zhromažďuje v rámci bežnej prevádzky informačných systémov, sa čoraz častejšie stávajú podkladom pre rozhodovanie o jednotlivých zamestnancoch. Tento posun je označovaný ako tzv. function creep a predstavuje jednu zo zásadných výziev súčasného uplatňovania GDPR v pracovnoprávnom prostredí.
Prevádzkové údaje ako skryté zamestnanecké údaje
Moderné pracovné prostredie generuje rozsiahle množstvo údajov, ktoré primárne neslúžia na riadenie ľudských zdrojov. Záznamy z ticketing a CRM systémov, logy z DLP a bezpečnostných nástrojov, metadáta z komunikačných platforiem či údaje z plánovacích a projektových aplikácií vznikajú na účely IT bezpečnosti, fakturácie, organizácie práce alebo kontroly kvality. Pokiaľ sú spracúvané v medziach pôvodne deklarovaného účelu a v agregovanej podobe, zvyčajne ide o spracúvanie s vymedzeným a kontrolovateľným rizikom.
Právna povaha týchto údajov sa však zásadne mení v okamihu, keď ich zamestnávateľ začne priraďovať konkrétnemu zamestnancovi a využívať ich na hodnotenie jeho výkonu, správania alebo „rizikovosti“. Aj keď samotné údaje zostávajú nezmenené, z pohľadu GDPR môže ísť o ďalšie spracúvanie na nový účel, ktoré si vyžaduje posúdenie zlučiteľnosti podľa článku 6 ods. 4 GDPR a prípadne identifikáciu samostatného právneho základu.
Zásada účelového obmedzenia ako jadro problému
Podľa článku 5 ods. 1 písm. b) GDPR môžu byť osobné údaje získavané len na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý s týmito účelmi nie je zlučiteľný (s výnimkou ďalšieho spracúvania na účely verejného záujmu, výskumu alebo štatistiky podľa článku 89 ods. 1 GDPR). Test zlučiteľnosti, ktorý GDPR predpokladá, je pritom prísnejší, ako sa v praxi často interpretuje. Zohľadňuje najmä súvislosť medzi pôvodným a novým účelom, kontext získania údajov, povahu spracúvaných údajov, možné dôsledky pre dotknutú osobu a existenciu primeraných záruk.
Použitie prevádzkových údajov na hodnotenie výkonu, disciplinárne posúdenie alebo identifikáciu zamestnancov s nedostatočnými výsledkami spravidla nesplní podmienky zlučiteľnosti. Nový účel môže mať pre zamestnanca významnejšie dôsledky než pôvodne predpokladané spracúvanie, keďže zasahuje priamo do jeho pracovnoprávneho postavenia. Práve v týchto prípadoch sa zásada účelového obmedzenia stáva z formálnej požiadavky materiálnou bariérou ďalšieho spracúvania.
Právny základ a transparentnosť pri zmene účelu
Ak nový účel nie je zlučiteľný s pôvodným účelom spracúvania, zamestnávateľ musí identifikovať samostatný právny základ pre takéto spracúvanie. Skutočnosť, že údaje boli legitímne zhromaždené napríklad na základe oprávneného záujmu na zabezpečení IT infraštruktúry, neznamená, že rovnaký základ pokrýva ich využitie na hodnotiace či disciplinárne účely. Pri spracúvaní, ktoré priamo ovplyvňuje pracovnoprávne postavenie zamestnanca, je vyváženie záujmov podľa článku 6 ods. 1 písm. f) GDPR mimoriadne náročné a vyžaduje samostatnú, vopred zdokumentovanú analýzu. Súhlas zamestnanca pritom v dôsledku štrukturálnej nerovnováhy medzi stranami pracovnoprávneho vzťahu obvykle neobstojí ako platný právny základ.
S právnym základom úzko súvisí požiadavka transparentnosti. Informácia, že firma používa určitý nástroj, nepostačuje, ak údaje z neho budú neskôr využité spôsobom, ktorý zamestnanec nemohol primerane predvídať. Pracovnoprávny kontext si vyžaduje osobitnú pozornosť pri plnení informačných povinností, najmä vzhľadom na nerovnováhu medzi zamestnávateľom a zamestnancom. Tichá zmena účelu, ktorá nie je sprevádzaná novou informačnou povinnosťou, predstavuje typický príklad systémového zlyhania, ktoré dozorné orgány vyhodnocujú ako porušenie základných zásad spracúvania.
Kumulatívny efekt a riziko profilovania
Function creep nadobúda osobitný význam v okamihu, keď sa prevádzkové údaje z rôznych systémov začnú kombinovať. Aj údaje, ktoré sú jednotlivo neškodné, môžu v súhrne vytvoriť detailný obraz o výkonnosti, pracovných návykoch a správaní konkrétneho zamestnanca. Takéto spracúvanie spravidla napĺňa znaky profilovania podľa článku 4 bod 4 GDPR, keďže slúži na vyhodnocovanie osobných aspektov fyzickej osoby.
Systematické hodnotenie zamestnancov spojené s vytváraním profilov patrí podľa usmernení WP29, prevzatých EDPB, medzi spracúvania s vysokým rizikom, ktoré si vyžadujú vykonanie posúdenia vplyvu na ochranu údajov. Ak je takéto profilovanie vykonávané výlučne automatizovaným spôsobom a je prepojené s rozhodovaním o odmeňovaní, povýšení alebo ukončení pracovného pomeru, dostáva sa do pôsobnosti článku 22 GDPR a podlieha jeho prísnemu režimu. Skutočnosť, že profil vznikol z údajov, ktoré boli pôvodne zhromaždené na celkom iný účel, nezbavuje zamestnávateľa zodpovednosti, ale zvýrazňuje rizikový charakter spracúvania.
Záver
Function creep predstavuje jeden z najmenej viditeľných, no zároveň najrozšírenejších zdrojov rizika pri ochrane údajov zamestnancov. Na rozdiel od klasického monitoringu nevzniká v okamihu zavedenia nástroja, ale postupne – v každodennej prevádzke, mimo formalizovaných rozhodovacích procesov. Práve preto uniká pozornosti záznamov o spracovateľských činnostiach, posúdení vplyvu aj informačných povinností.
Disciplína účelu sa v tomto kontexte stáva ústrednou kategóriou. To, že zamestnávateľ určitý údaj legitímne zhromaždil, nezakladá jeho právo použiť ho na akýkoľvek iný účel. Sekundárne použitie prevádzkových údajov na HR účely vyžaduje samostatné posúdenie zlučiteľnosti, právneho základu, transparentnosti a rizika profilovania. Bez tohto kroku sa z bežných prevádzkových systémov stáva infraštruktúra spracúvania, ktorá pri prvej kontrole dozorného orgánu obstojí len ťažko.
Kinstellar, s. r. o.
Kinstellar je popredná európska advokátska kancelária s viac ako 480 odborníkmi v Nemecku, Európe a USA. Našou hlavnou činnosťou je poskytovanie vynikajúceho, integrovaného právneho a daňového poradenstva, ktoré je odborne podložené, inovatívne a orientované na výsledok. Spolu so spoločnosťami v skupine Kinstellar vyvíjame taktiež udržateľné riešenia pre financovanie a management. Nami poskytované poradenstvo využívajú skupiny a stredné podniky, ako aj finančné inštitúcie a investori.
V dialógu s našimi mandantmi nachádzame odpovede na všetky právne aspekty ekonomického života. Náš odborný profil tak zahŕňa právo obchodných spoločností vrátane fúzii a akvizícií, súťažné, kartelové ako aj bankové právo vrátane práva kapitálového trhu a podnikového financovania. Špecializujeme sa na právo duševného vlastníctva, právo informačných technológii a telekomunikácií, právne otázky spojené s distribúciou tovaru, právne vzťahy k nehnuteľnostiam, pracovné právo, konkurzné právo, právo životného prostredia. Klientov zastupujeme pred riadnymi aj rozhodcovskými súdmi. Okrem toho ponúkame rozsiahle poradenstvo pri štruktúrovaní a financovaní investičných zámerov.
