Zaposlitvene agencije in nova evropska Splošna uredba o varstvu osebnih podatkov

Dr. Nataša Pirc Musar,
strokovnjakinja za varstvo osebnih podatkov, www.dataprotection-officer.com
Foto: Ana Gregorič



Nova evropska Splošna uredba o varstvu osebnih podatkov (GDPR – General Data Protection Regulation) se začne uporabljati enotno v vseh državah članicah 25. maja 2018. Glede na sedaj veljavni Zakon o varstvu osebnih podatkov (ZVOP-1) prinaša precej novosti.


Najpomembnejši novosti, na kateri se bodo morale prilagoditi vse zaposlitvene oz. kadrovske agencije, sta način pridobivanja osebne privolitve za obdelavo osebnih podatkov in imenovanje pooblaščene osebe za varstvo osebnih podatkov (DPO – Data Protection Officer).


Zakaj bodo morale zaposlitvene agencije imeti DPO-ja?
GDPR med drugim določa, da morajo DPO-ja imeti vsi upravljavci in obdelovalci zbirk osebnih podatkov, kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati. Zagotovo v to skupino sodijo vsi upravljavci in obdelovalci (to so tiste pravne osebe ali sp-ji, ki obdelujejo osebne podatke v imenu in za račun naročnika – t. i. out sourcing), ki oblikujejo profile posameznikov na podlagi več zbirk osebnih podatkov in več konkretnih osebnih podatkov, ki se nahajajo v teh zbirkah.
Zato ne bo odveč poznati definicije oblikovanja profilov, ki jo podaja GDPR: »oblikovanje profilov« pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika.
Nedvomno v to kategorijo upravljavcev sodijo vsi upravljavci/obdelovalci, ki se ukvarjajo s trženjem, predvsem vedenjskim, nadalje vsi, ki storitve oblikujejo na podlagi preferenc in zmožnosti posameznika – vse banke, zavarovalnice, klubi zvestobe trgovcev, spletne trgovine, ki tržijo svoje produkte na podlagi preferenc njihovih kupcev ter seveda kadrovske agencije itn. Naj poudarim, da bodo zaposlitvene agencije morale imeti DPO ne glede na to, ali iščejo kadre samostojno, kot izvajanje lastne dejavnosti, ali če kadre zgolj iščejo in jih ustrezno profilirajo po naročilu nekega podjetja.

Kaj bo glavna naloga DPO v zaposlitvenih agencijah in na splošno?
DPO bo pri agenciji opravljal pomembno nalogo zagotavljanja skladnosti poslovanja s predpisi s področja varstva osebnih podatkov; in sicer neodvisno, kar pomeni, da za svoje delo ne bo smel prejemati nobenih navodil in ne bo smel biti razrešen ali kaznovan zaradi opravljanja svojih nalog. DPO-jev položaj bo moral omogočati le poročanje vodstvu upravljavca oziroma obdelovalca (podjetja, organa ali organizacije), kjer bo deloval. Če morda naredimo primerjavo, bo njegov položaj znotraj upravljavca/obdelovalca v našem pravnem redu primerljiv položaju notranjega revizorja. Brez ustreznega znanja in sredstev za njegovo delo seveda ne bo šlo. Uredba izrecno zahteva, da mora imeti DPO za svoje delo dovolj finančnih sredstev, da bo lahko opravljal naloge. DPO bo moral imeti tudi neomejen dostop do vseh zbirk osebnih podatkov v organizaciji in vpogled v vse postopke obdelave.
Poleg nadzora nad vsakršno obdelavo osebnih podatkov bo DPO dolžan komunicirati tudi s posamezniki, iskalci zaposlitve, katerih osebni podatki se obdelujejo pri upravljalcu ali obdelovalcu, in jim odgovarjati na njihova vprašanja/zahteve glede pravic, ki jim jih daje GDPR.

Kakšna znanja mora imeti DPO?
Uredba jih natančno ne predpisuje, določa le, da se DPO-ja imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje vseh nalog, ki jih DPO-ju nalaga uredba. Kako izbrati osebo, ki bo te zahtevne naloge lahko opravljala? DPO bo res moral imeti široka znanja, samo poznavanje Uredbe pa še zdaleč ne bo zadostovalo.

Kdo je lahko vaš DPO?
Vaš DPO je lahko eden od zaposlenih ali zunanji izvajalec. Uredba zahteva, da mora biti DPO neodvisen in imenovan na podlagi strokovnega znanja o zakonodaji in praksi na področju varstva podatkov. DPO je lahko tudi pravna oseba, ki nudi te storitve (recimo Info hiša z blagovno znamko DPO on Demand), kar je zagotovo lahko dodana vrednost, saj bo imel posameznik težko vsa potrebna znanja, ki se od njega zahtevajo in pričakujejo – tj. pravna znanja, znanja s področja informacijske varnosti in modernih informacijskih tehnologij.

GDPR zaostruje pogoje za pridobitev posameznikove privolitve
Privolitev ostaja zakonita podlaga za prenos osebnih podatkov v skladu z GDPR, vendar pa je pridobitev privolitve bistveno omejena. GDPR zahteva, da posameznik, na katerega se nanašajo osebni podatki, svojo privolitev da »z jasnim pritrdilnim dejanjem ali ustno izjavo.«

GDPR določa pritrdilno soglasje za obdelavo podatkov – informirana privolitev
V skladu z GDPR mora biti privolitev izražena »prostovoljno, konkretno, ozaveščeno in nedvoumno«. Pred sprejetjem GDPR je bilo negotovo, ali se bo EU sprijaznila z »nedvoumno« privolitvijo, ali bo določila višji standard »izrecnega« soglasja. Končni osnutek je pristal nekje na sredini, saj na eni strani določa nedvoumno soglasje, medtem ko na drugi strani zahteva soglasje, ki se izrazi »z izjavo ali jasnim pritrdilnim dejanjem«. Uvodna izjava 32 pojasnjuje, da »to lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve«.
To torej pomeni, da bodo morale kadrovske agencije posameznikom zelo jasno pojasniti čisto vsak namen obdelave njihovih osebnih podatkov, koliko časa podatke hranijo, komu jih posredujejo in kakšne možnosti ima posameznik za omejevanje razpolaganja z njegovimi osebnimi podatki. Če soglasje od iskalca zaposlitve za obdelavo osebnih podatkov pridobivajo prek spletnih strani, naj opozorim, da pred-odkljukana okenca po novem ne bodo več dopustna – posameznik bo kljukico moral postaviti sam oz. strinjanje z določenim procesom obdelave njegovih osebnih podatkov izraziti aktivno.

Še nekaj drugih novosti nas čaka po maju 2018
Uredba na primer določa primere, ko bo treba o vdorih v zbirke osebnih podatkov in drugih kršitvah varstva osebnih podatkov obvestiti Informacijskega pooblaščenca in vse posameznike, na katere se nanašajo osebni podatki v zbirki(ah) osebnih podatkov upravljavca. Uredba zdaj s privolitvijo upravljavca zbirke osebnih podatkov dopušča tudi podpogodbeno obdelavo, kar pomeni, da osebne podatke pogodbeni partner pod določenimi pogoji lahko posreduje še tretjemu (svojemu) partnerju v (pod)obdelavo. Uredba v določenih primerih določa obvezno izvedbo presoje vplivov na zasebnost (t. i. PIA – Privacy Impact Assesment). To bo treba izvesti v primerih, ko bi določena vrsta obdelave lahko povzročila veliko tveganje za pravice in svoboščine fizičnih oseb.

Kaj so torej ključne naloge kadrovskih agencij pred začetkom veljavnosti GDPR?
Sprejeti je treba odločitve na temo zasebnosti in varstva podatkov na ravni uprave oziroma telesa, ki ima pristojnost sprejemati odločitve – zlasti oceniti, katere organizacijske in vedenjske spremembe ljudi, ki rokujejo z zbirkami osebnih podatkov, so potrebne in čim prej pristopiti k izboljšavam. Če delujete na mednarodnih trgih, to ekstrateritorialnost upoštevajte tako, da pripravite politiko zasebnosti, ki upošteva mednarodne izmenjave podatkov in recimo ponudnike oblačnih storitev.
Sicer pa naj bi poslanci do maja 2018 sedaj veljavni Zakon o varstvu podatkov (ZVOP-1) razveljavili in sprejeli nov Zakon o varstvu podatkov (ZVOP-2). V novem zakonu bodo jasneje urejene določitve namena obdelave za javni sektor, medtem ko bo za zasebni sektor veljalo enako, kot je urejeno v Splošni uredbi, natančneje bodo urejene tudi pristojnosti DPO.



REVIJA HR&M

JE NEPOGREŠLJIVA SOPOTNICA ...

... voditeljev, HRM managerjev in vseh strokovnjakov, ki se ukvarjajo s področjem vodenja, razvoja ljudi.
Priporočamo jo tudi managerjem, ki vršijo svoje kadrovsko poslanstvo in jim ni vseeno, kako voditi zaposlene.


K branju so vabljeni tudi vsi drugi, ki želijo z odličnim vodenjem in ravnanjem z ljudmi pri delu dosegati
nadpovprečne rezultate.