New european data protection regulation as the part of right to private life and correspondence*

Prof. JUDr. Helena Barancová, DrSc.*

Annotation

The subject of the contribution is the analysis of the new Regulation 2016/679 of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data. The analysis of that regulation focuses on the labour law aspects of the protection of personal data in the context of employment relationships. In particular, the author draws attention to the new content elements of privacy and the legal status of the employee as the authorized person and the employer as the operator. She points to the new administrative responsibilities of the employer as a personal data controller. A special part of the contribution is an analysis of the problem of automated decision making, including profiling, as well as the right to "forgive."

I. Všeobecné právne základy

Digitalizácia spoločnosti na začiatku 21. storočia vyžaduje aj nové požiadavky na ochranu osobných údajov, ktoré z hľadiska systematického členenia prislúchajú pod ochranu súkromného života a korešpondencie. V zmysle článku 8 Dohovoru Rady Európy o ľudských právach a základných slobodách (ďalej len „Európsky dohovor“) ide o základné ľudské právo.

Charta práv Európskej únie (ďalej len „Charta“) v článku 7 a článku 8 zakotvuje právo na ochranu súkromného života a korešpondencie s tým, že ochranu osobných údajov osobných údajov zakotvuje v samostatnom článku 8.

Aj podľa judikatúry Európskeho súdu pre ľudské práva (ďalej len „ESĽP“) právo na ochranu osobných údajov sa považuje za obsahovú súčasť práva na súkromný život a korešpondenciu.

 Pojem „súkromný život“ nie je doteraz ani v judikatúre európskych súdov presne definovaný. Z hľadiska doterajšej ustálenej judikatúry ESĽP pojem „súkromný život“ sa vykladá relatívne široko. Vyplýva to aj z najnovšieho rozhodnutia Veľkej komory ESĽP v právnej veci Barbulescu zo dňa 5.septembra 2017, v ktorom súd vyjadril, že článok 8 Európskeho dohovoru chápe pojem „súkromný život“ v širšom zmysle slova, vrátane viesť „súkromný spoločenský život.“ (bod 70 uvedeného rozhodnutia).[1] Pojem „súkromný život“ môže tiež zahŕňať aj činnosti, týkajúce sa profesie zamestnanca. Týmto spôsobom ESĽP len nadviazal na svoju doterajšiu konštantnú judikatúru, z ktorej sa z hľadiska právneho významu najviac vyníma rozsudok ESĽP v právnej veci Niemietz z roku 1992.[2]

Pokiaľ ide o pojem „korešpondencia“, v znení článku 8 Európskeho dohovoru, tento pojem nie je podľa ESĽP v Európskom dohovore vymedzený pomocou žiadneho epiteta (prívlastku), preto sa dotýka korešpondencie rôzneho druhu, aj keď sa uskutočňuje v pracovných a obchodných priestoroch zamestnávateľa.[3]

Potrebu ochrany osobných údajov ako obsahovej súčasti práva na súkromný život a korešpondenciu zvýrazňuje právo EÚ aj prijatím nového nariadenia Európskeho parlamentu a Rady č. 2016/679/EÚ z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a ich pohybe (ďalej len „Nariadenie.“), ktoré nadobudne právnu účinnosť dňa 25.5.2018. Doteraz bola oblasť ochrany osobných údajov regulovaná smernicou č. 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov a smernicou č. 2002/58/ES, ktoré Nariadenie zrušuje.

Nariadenie o ochrane osobných údajov reaguje na celý komplex negatívnych dopadov digitálnej doby na súčasnú spoločnosť a jej jednotlivcov a novým spôsobom vymedzuje, konkretizuje a reguluje najvýznamnejšie formy zásahov do osobných údajov jednotlivca. Zakladá, rozširuje a prehlbuje súčasne existujúce právne záruky ochrany osobných údajov na strane dotknutých osôb pri ochrane osobných údajov.

Nové Nariadenie predstavuje významnú legislatívnu zmenu práva EÚ, pretože unifikuje kvalitu a obsah ochrany osobných údajov v členských štátoch EÚ. Prehlbuje tým aj právne záruky fyzických osôb pri ochrane ich osobných údajov.

 Aj keď má Nariadenie priamu právnu účinnosť, v článku 88 zakotvuje, že pre oblasť pracovnoprávnych vzťahov sú členské štáty EÚ oprávnené zaviesť konkrétnejšiu právnu úpravu. Možno očakávať, že v krátkom časovom horizonte dôjde aj v Slovenskej republike ako aj v Českej republike k prijatiu nového zákona o ochrane osobných údajov, aj keď existujúci zákon č. 122/2013 Z .z. o ochrane osobných údajov v Slovenskej republike má vysoké kvalitatívne parametre.

 II. Právne základy vnútroštátneho práva

V Slovenskej republike oblasť ochrany osobných údajov upravuje Ústava Slovenskej republiky v rámci ochrany práva na súkromie poskytnutím ústavnej garancie ochrany pred neoprávneným zasahovaním do súkromného života, obydlia, neoprávneného zhromažďovania, zverejňovania, ochrany pred iným zneužívaním údajov o fyzickej osobe alebo listového tajomstva, tajomstva dopravovaných správ a iných písomností a ochrany osobných údajov.

Ochrana osobných údajov fyzických osôb je tiež predmetom úpravy zákona č. 122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

Ochrana osobných údajov ako obsahová súčasť práva na ochranu súkromného života a korešpondencie je v centre pozornosti aj Zákonníka práce, ktorý túto oblasť právnych vzťahov upravuje v článku 11 Základných zásad Zákonníka práce, ako aj v ustanovení § 13 ods. 4.

Zákonník práce SR v ustanovení § 13 ods. 4 predstavuje právny model nielen ochrany súkromného života zamestnancov, ale aj právny model postupu zamestnávateľa, keď je zamestnávateľ oprávnený vo výnimočných prípadoch zasiahnuť do súkromného života zamestnancov.

Podľa článku 11 Základných zásad Zákonníka práce zamestnávateľ môže o zamestnancovi zhromažďovať len osobné údaje súvisiace s kvalifikáciou a profesionálnymi skúsenosťami zamestnanca a údaje, ktoré môžu byť významné z hľadiska práce, ktorú zamestnanec má vykonávať, vykonáva alebo vykonával.

Podľa ustanovenia § 13 ods. 4 Zákonníka práce zamestnávateľ nesmie bez vážnych dôvodov spočívajúcich v osobitnej povahe činnosti zamestnanca narúšať súkromie zamestnanca na pracovisku a v spoločných priestoroch zamestnávateľa tým, že ho monitoruje, vykonáva záznam telefonických hovorov uskutočňovaných technickými pracovnými zariadeniami zamestnávateľa a kontroluje elektronickú poštu odoslanú z pracovnej elektronickej adresy a doručenú na túto adresu bez toho, aby ho na to vopred upozornil. Ak zamestnávateľ zavádza kontrolný mechanizmus, je povinný prerokovať so zástupcami zamestnancov rozsah kontroly, spôsob jej uskutočňovania ako aj dobu trvania. O rozsahu kontroly, spôsobe jej uskutočnenia, ako aj dobe jej trvania je zamestnávateľ povinný informovať aj zamestnancov.

V súvislosti s vyššie uvedenou úpravou Zákonníka práce SR je právne významné, ako súvisí právna ochrana, ktorú poskytuje ešte platný zákon o ochrane osobných údajov vo vzťahu k úprave Zákonníka práce? Zákon o ochrane osobných údajov predstavuje všeobecnú právnu ochranu ochrany osobných údajov, má nadodvetvový charakter a pôsobí voči úprave Zákonníka práce ako lex generalis. Úprava Zákonníka práce je úpravou lex specialis.

Často krát v aplikačnej praxi dôjde k zásahom do predmetu ochrany zákona o ochrane osobných údajov bez toho, aby bola porušená existujúca pracovnoprávna úprava Zákonníka práce tak, ako ju zakotvuje ustanovenie § 13 ods. 4 Zákonníka práce. Na druhej strane samotný spôsob monitorovania zamestnancov, tak, ako ho upravuje Zákonník práce v § 13 ods. 4 nemusí súčasne znamenať porušenie zákona o ochrane osobných údajov, hlavne ak uvedeným monitorovaním nedošlo súčasne k spracovaniu osobných údajov.

III. Pojem osobné údaje podľa Nariadenia Rady a EP o ochrane osobných údajov

Podľa Nariadenia o ochrane osobných údajov pod pojmom osobné údaje treba rozumieť všetky údaje, ktoré jednotlivo alebo v celosti môžu identifikovať fyzickú, psychickú, hospodársku, kultúrnu a sociálnu identitu oprávnenej osoby.[4] Pri spracúvaní osobných údajov Nariadenie o ochrane osobných údajov vyžaduje dodržiavať základné zásady.

 Medzi základné zásady ochrany osobných údajov a ich spracovania podľa Nariadenia patrí predovšetkým požiadavka európskeho zákonodarcu spracúvať osobné údaje vo vzťahu k dotknutej osobe zákonným spôsobom, spravodlivo a transparentne („zákonnosť, spravodlivosť a transparent­nosť“);

 Osobné údaje dotknutej osoby možno získavať výlučne len na konkrétne určené, výslovne uvedené a legitímne účely a tieto sa nesmú ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi.

Ďalšou zásadou pri spracovaní osobných údajov podľa Nariadenia je, že spracovanie osobných údajov zo strany prevádzkovateľa musí byť primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa osobné údaje spracúvajú („minimalizácia údajov“);

Ochrana osobných údajov je mimoriadne dôležitá aj pre oblasť pracovnoprávnych vzťahov. Ako už bolo uvedené, pre oblasť ochrany osobných údajov v rámci pracovnoprávnych vzťahov je podstatný právny význam článok 88 Nariadenia, podľa ktorého: „členské štáty EÚ majú možnosť stanoviť konkrétnejšie pravidlá na zabezpečenie ochrany práv a slobôd pri spracúvaní osobných údajov zamestnancov v súvislosti so zamestnaním, pričom výslovne nekonkretizuje, čo myslí pod termínom možnosť stanovenia konkrétnejších pravidiel“. Pod stanovením konkrétnejších pravidiel možno podľa nášho názoru rozumieť predovšetkým prijatie vlastnej národnej úpravy o ochrane osobných údajov, konkretizujúcej obsah Nariadenia súladnú s cieľom a účelom Nariadenia, aj keď Nariadenie ako také má priamu právnu účinnosť.

Z hľadiska potrieb pracovného práva je právne najvýznamnejšie, že v zmysle článku 88 Nariadenia v nadväznosti na Preambulu Nariadenia (bod 155) v národných legislatívach členských štátov EÚ by mali byť konkretizované podmienky, za ktorých sa osobné údaje súvisiace so zamestnaním môžu spracúvať na účely prijatia do zamestnania, plnenia pracovnej zmluvy včítane plnenia práv a povinností vyplývajúcich z kolektívnych zmlúv, ďalej osobné údaje za účelom riadenia, plánovania a organizácie práce, zásady rovnakého zaobchádzania na pracovisku, ochrany zdravia a bezpečnosti pri práci, ako aj na účely uplatňovania práv a slobôd súvisiacich so zamestnaním ako aj osobné údaje súvisiace so skončením pracovného pomeru.

IV. Právne tituly spracúvania osobných údajov

Spracúvanie osobných údajov je podľa článku 6 Nariadenia zákonné iba vtedy a iba v tom rozsahu, pokiaľ je splnený niektorý z právnych titulov. Podľa Nariadenia je spracovanie osobných údajov zákonné len v prípade, ak je splnená niektorá z nižšie uvedených zákonných podmienok:

• dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely;
• spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo prípady, ak dotknutá osoba žiada, aby sa zo strany prevádzkovateľa vykonali určité opatrenia pred uzatvorením zmluvy;
• spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
• spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;
• spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

Keďže pri spracúvaní osobných údajov často dochádza k rôznym zásahom aj do súkromného života zamestnanca, vyššie uvedené zásady o ochrane osobných údajov treba dodržiavať aj v rámci pracovnoprávnych vzťahov v situáciách, ak pri zásahu do súkromia zamestnanca dochádza aj k spracúvaniu osobných údajov.

Súhlas konkrétnej osoby ako najčastejší právny základ pre spracovanie osobných údajov zo strany zamestnávateľa nie je jediným právnym titulom pre spracovanie osobných údajov. Podľa článku 7 ods. 4 Nariadenia pri posudzovaní slobodnej vôle pri poskytnutí súhlasu zamestnanca sa má v konkrétnych prípadoch tiež zohľadniť, či plnenie zmluvy alebo poskytnutie služby je alebo nie je nevyhnutné na plnenie zmluvy.

Ak spracovanie osobných údajov je nevyhnutné na uzatvorenie pracovnej zmluvy, súhlas zamestnanca v právnej pozícii dotknutej osoby nie je potrebný, pretože v zmysle Nariadenia ide o samostatný zákonný dôvod pre spracovanie osobných údajov. Zamestnávatelia v aplikačnej praxi sa však v prevažnej miere spoliehajú najviac na súhlas zamestnanca so spracovaním osobných údajov, osobitne v prípadoch, ak nie sú si celkom istí existenciou iného zákonného dôvodu pre spracovanie osobných údajov zamestnanca.

Ak zamestnávateľ bol zvyknutý na spracúvanie osobných údajov napríklad od budúceho zamestnanca vždy vyžadovať jeho súhlas so spracovaním osobných údajov, najmä pre účely uzatvorenia pracovnej zmluvy, odporúča sa uvedený súhlas dotknutej osoby naformulovať mimo obsahu pracovnej zmluvy, aby samotné udelenie súhlasu zo strany zamestnanca zbytočne nezaťažovalo obsah samotnej pracovnej zmluvy. Dokument o udelení súhlasu zamestnanca k spracúvaniu osobných údajov by mal byť zo strany zamestnávateľa vyhotovený samostatne popri pracovnej zmluvy s tým, že jeho obsahovou súčasťou by mala byť aj informácia adresovaná dotknutej osobe o možnosti jeho odvolania.

Možno do budúcnosti odporúčať, aby si zamestnávateľ bol vedomý toho, že okrem súhlasu zamestnanca ako dotknutej osoby za účelom spracúvania osobných údajov má často k dispozícii aj iné právne tituly pre spracovanie osobných údajov.

V. Automatizované rozhodovanie-profilovanie

Nové Nariadenie prinieslo do oblasti ochrany osobných údajov aj v rámci pracovnoprávnych vzťahov nemálo nových právnych prvkov. Takýmto právnym prvkom v oblasti spracúvania osobných údajov je automatizované rozhodovanie (profilovanie)

Nariadenie o ochrane osobných údajov, ktoré sa má uplatňovať od 25.5.2018 má centrálny právny význam aj v oblasti automatizovaného rozhodovania, ktoré na jednej strane prináša pre zamestnancov určité garancie práv, ale počíta aj s určitými sociálnoprávnymi rizikami.

Nariadenie presne nevymedzuje, čo treba rozumieť pod automatizovaným rozhodovaním. S určitou mierou zjednodušenia možno povedať, že ide o rozhodovanie aj v oblasti pracovnoprávnych vzťahov v rozsahu článku 88 Nariadenia, ktoré je uskutočnené bez ľudského zásahu.

Medzi sociálnoprávne riziká automatizovaného rozhodovania patrí napríklad v oblasti predzmluvných vzťahov aj skutočnosť, že použitie automatizovaného rozhodovania automaticky „vylúči z hry“ časť uchádzačov o zamestnanie, pretože automatizované rozhodovanie nie je spôsobilé zohľadňovať u zamestnanca určité osobitosti, ktoré sú iné u každého uchádzača o zamestnanie.

V rámci úpravy automatizovaného rozhodovania Nariadenie upravuje výslovne profilovanie ako osobitnú formu automatizovaného rozhodovania a zakotvuje osobitne určité práva dotknutej osoby v súvislosti s individuálnym automatickým rozhodovaním bez zásahu človeka.

V prípade, že bolo rozhodnutie uskutočnené výlučne na základe automatizovaného rozhodovania, dotknutá osoba, t.j. aj zamestnanec, resp. aj uchádzač o zamestnanie má právo požadovať, aby sa naňho takéto rozhodnutie nevzťahovalo, t.j. má právo, aby automatizované rozhodnutie bolo voči nej právne neúčinné.

Ak by si dotknutá osoba uvedené právo „na ľudský zásah“ neuplatnila, má právo na vyjadrenie stanoviska, právo napadnúť automatizované rozhodnutie ako aj právo namietať profilovanie.

Nariadenie v článku 22 ods. 2 zakotvuje určité výnimky, kedy sa neuplatní právo dotknutej osoby na neúčinnosť automatizovaného rozhodovania. Ide o prípady, ak je rozhodnutie nevyhnutné na uzatvorenie alebo plnenie zmluvy medzi dotknutou osobou (zamestnancom) a prevádzkovateľom (zamestnávateľom) v oblasti pracovnoprávnych vzťahov. Zostáva vecou právnej interpretácie, ako vykladať nevyhnutnosť pre uzatvorenie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom. Právna neúčinnosť automatizovaného rozhodnutia sa voči dotknutej osobe neuplatní ani v prípadoch, ak sama dala súhlas so spracovaním osobných údajov, ktorý musí byť preukázateľný, odvolateľný a slobodný.

Nariadenie vo vyššie uvedenej súvislosti počíta aj s výnimkami, v rámci ktoré určité kategórie osobných údajov vylučujú z automatizovaného spracovania osobných údajov.

V.1. Profilovanie

Profilovanie je osobitná forma automatizovaného spracovania osobných údajov.

Pretože práve profilovaním, ako sa všeobecne predpokladá, často bude dochádzať v aplikačnej praxi k zásahom do práv a slobôd dotknutých osôb, Nariadenie zakotvuje právo dotknutej osoby namietať profilovanie, aj keď tento druh spracovania osobných údajov bol uskutočnený zo zákonných dôvodov.

Profilovanie môže zamestnávateľ za určitých podmienok uskutočniť aj bez súhlasu zamestnanca. Právo namietať profilovanie sa na rozdiel od všeobecného automatizovaného rozhodovania uplatní aj v prípade, ak výsledkom profilovania nie je rozhodnutie s právnymi účinkami voči dotknutej osobe.

Zamestnávatelia budú v praxi často uplatňovať profilovanie najmä v rámci predzmluvných pracovnoprávnych vzťahov.

V aplikačnej praxi aj v rámci pracovnoprávnych vzťahov sa stále rozširujú nové formy zásahov do súkromného života zamestnancov, ktoré zamestnávateľ využíva pri výbere zamestnancov vďaka internetovým stopám, ktoré sám zamestnanec dal k dispozícii verejnosti (v prípade facebooku len obmedzenej časti verejnosti) a zamestnávateľ ich spracováva formou profilovania[5] Sociálne siete ako takmer nevyčerpateľný zdroj informácií o dotknutej osobe sa v praxi zneužívajú v prospech dotknutých osôb. K ich zneužívaniu prispievajú samotné dotknuté osoby, ktoré poskytujú niekedy až nadbytok informácií o sebe, o svojom osobnom či profesijnom profile. Tým sami nepriamo poskytujú možnosti zneužívania ich osobných údajov najmä pri profesionálnej práci. Skôr než uchádzač o zamestnanie príde do osobného kontaktu so zamestnávateľom v rámci výberového konania, ten o ňom vie už podstatne viac, než mu to uchádzač o zamestnanie bol ochotný sám povedať alebo napísať do svojich osobných podkladov. Zamestnávateľ má o ňom množstvo údajov zo sociálnych sietí a tento spôsob spracovania použije pri výbere do zamestnania.

Využívanie sociálnych sietí ako zdroj informácií žiadny osobitný zákon nezakazuje, aj keď podľa § 41 Zákonníka práce by zamestnávateľa mali zaujímať len informácie, ktoré súvisia s prácou, na ktorú angažujú zamestnanca. Zamestnávatelia v období ostatných rokov podľahli pokušeniu, ktoré im umožňuje dnešná digitálna doba. Celkom bežne vykonávajú ako prípravu na výberové konanie pre prijatie do pracovného pomeru skríning digitálnej identity. Niektorí zamestnávatelia tento spôsob výberu zamestnancov označujú za „zlepšenie personálnej práce.“

VI. Informačné povinnosti zamestnávateľa

K tomu, aby dotknutá osoba (zamestnanec) mohol uplatniť svoje práva vo vzťahu k automatizovanému rozhodovaniu, mala by byť zo strany zamestnávateľa – prevádzkovateľa informovaná o automatizovanom rozhodovaní. Na strane prevádzkovateľa (zamestnávateľa) Nariadenie zakotvuje informačnú povinnosť voči zamestnancom (dotknuté osoby) o existencii automatizovaného rozhodovania vrátane profilovania. Obsahom takejto informácie by mala byť nielen informácia o použitom postupe a význame spracovania osobných údajov týmto spôsobom, ale aj o jeho predpokladaných právnych následkoch pre dotknutú osobu.

Uvedenej povinnosti zamestnávateľa korešponduje právo zamestnanca na prístup k týmto informáciám. Informačnú povinnosť si má zamestnávateľ podľa Nariadenia splniť v čase získania osobných údajov o dotknutej osobe. Ak však osobné údaje zamestnanca zamestnávateľ získal z iných zdrojov (napr. získal osobné údaje zo sociálnych sietí), informačnú povinnosť má splniť v primeranej lehote, najneskoršie do jedného mesiaca od ich získania. Podľa článku 13 ods. 2 Nariadenia iné lehoty pre splnenie informačnej povinnosti zamestnávateľa Nariadenie stanovuje v prípadoch, ak osobné údaje dotknutej osoby zamestnávateľ poskytuje ďalšiemu príjemcovi (najneskôr v čase prvého poskytnutia osobných údajov). V prípade, že sa osobné údaje majú použiť pre účely komunikácie so zamestnancom, informačnú povinnosť zamestnávateľ si má splniť najneskôr v čase prvej komunikácie s ním.

V prípade predzmluvných vzťahov zamestnávateľ by si mal svoju informačnú povinnosť splniť už v čase, keď inzeruje voľné pracovné miesto. Rovnako by mal uchádzača o zamestnanie oboznámiť, ak predmetom automatizovaného spracovania jeho osobných údajov sú aj osobné údaje z iných zdrojov (napr. zo sociálnych sieti). Svoju oznamovaciu povinnosť voči uchádzačovi o zamestnanie zamestnávateľ má splniť už pri prvej komunikácii s ním alebo najneskôr do jedného mesiaca aj v prípadoch, ak príslušného uchádzača o zamestnanie neprijme do pracovného pomeru.

VII. Právo na zabudnutie

Novým právnym prvkom Nariadenia o ochrane osobných údajov je aj právo na „zabudnutie“. Ide o právo dotknutej osoby na vymazanie svojich osobných údajov, ktoré sa môže uplatniť aj v oblasti pracovnoprávnych vzťahov.

Podľa článku 17 Nariadenie zabezpečuje právo na vymazanie (právo na zabudnutie). Dotknutá osoba má právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú. Prevádzkovateľ (zamestnávateľ) je povinný bez zbytočného odkladu vymazať osobné údaje fyzickej osoby za predpokladu, že je naplnený niektorý z kvalifikovaných dôvodov, medzi ktoré patrí dôvod, že dotknutá osoba (zamestnanec) namieta voči spracúvaniu svojich osobných údajov podľa článku 21 ods. 1 Nariadenia a pritom neprevažujú žiadne oprávnené dôvody na spracúvanie jej osobných údajov. Právo na „zabudnutie“ –vymazanie osobných údajov možno uplatniť najmä v prípadoch, ak osobné údaje boli spracované nezákonným spôsobom.

Ak prevádzkovateľ (zamestnávateľ) zverejnil osobné údaje, je povinný vymazať osobné údaje dotknutej osoby so zreteľom na dostupnú technológiu a náklady a na vykonanie opatrení má podniknúť primerané opatrenia vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí vykonávajú spracúvanie osobných údajov tak, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópiu alebo repliky.

Popri práve fyzickej osoby na vymazanie osobných údajov, nové Nariadenie zakotvuje aj právo na obmedzenie spracovania osobných údajov v konkrétnych právne relevantných prípadoch, ak spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia. To isté platí aj v prípadoch, ak dotknutá osoba namietala voči ich spracúvaniu a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.

Prevádzkovateľ (zamestnávateľ) by mal bezodkladne oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak toto porušenie pravdepodobne povedie k vysokému riziku pre jej práva a slobody s tým, aby mohla prijať potrebné preventívne opatrenia. V oznámení by sa mala uviesť povaha porušenia ochrany osobných údajov, ako aj odporúčania pre dotknutú fyzickú osobu o tom, ako zmierniť potenciálne nepriaznivé dôsledky. Takéto informovanie dotknutých osôb by sa malo vykonať čo najskôr ako je to možné a v úzkej spolupráci s dozorným orgánom v súlade s usmerneniami tohto alebo iného príslušného orgánu, napríklad orgánov presadzovania práva. Napríklad potreba zmierniť bezprostredné riziko škody by si vyžadovala promptné informovanie dotknutých osôb, avšak potreba vykonať primerané opatrenia na zabránenie trvania alebo výskytu podobných porušení ochrany osobných údajov môže opodstatniť aj dlhšiu lehotu na informo­vanie.

VIII. Sankcie za porušenie ochrany osobných údajov podľa nového Nariadenia

Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad stratu kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskrimináciu, krádež totožnosti, podvod, finančnú stratu, neoprávnenú pseudonymizáciu, poškodenie dobrého mena, stratu dôvernosti osobných údajov chránených profesijným tajomstvom alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Prevádzkovateľ by mal preto ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, bez zbytočného odkladu a podľa možnosti najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu. Výnimkou sú prípady, keď je spôsobilý v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb.

Ak nie je možné oznámenie podať do 72 hodín, malo by sa k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.

IX. Ochrana osobných údajov a zásady legality, legitimity a proporcionality

Pretože ochrana osobných údajov je obsahovou súčasťou práva na ochranu súkromia a korešpondencie, možné zásahy do uvedeného práva si vyžadujú, aby tieto zodpovedali princípu legality, legitimity a proporcionality.

Ústavný súd SR vo svojom náleze sp. zn. 117/07 zo 4. februára 2009 sa zaoberal možnosťami zásahu a súladne s existujúcou judikatúrou o ochrane súkromia zo strany Európskeho súdu pre ľudské práva do súkromia a sformuloval zásady, ktoré je nevyhnutné dodržiavať pri akomkoľvek zásahu do súkromia, teda aj pri zásahu do súkromia zamestnanca. Ústavný súd jasne sformuloval, vychádzajúc pritom z doktríny štrasburgských orgánov, že pri každom zásahu do súkromia fyzickej osoby je potrebné skúmať jeho legalitu, legitimitu a proporcionalitu.

Preto v rámci legality zásahu sa skúma, či k nemu došlo v súlade s platnými právnymi predpismi, pričom sa prihliada aj na to, či právny predpis bol verejne publikovaný, a teda dostupný, a či jeho následky boli predvídateľné.[6] Legalita zásahu do súkromia znamená, že štát môže zasiahnuť do práva na súkromie len vtedy, ak takýto zásah zákon pripúšťa a právna norma ho upravuje dostatočne jasne na to, aby bol za ustanovených podmienok predvídateľný.[7]

Pokiaľ ide o platné znenie § 13 ods. 4 Zákonníka práce môžeme si všimnúť určité nedostatky tohto ustanovenia. Ide predovšetkým o podmienku určitosti a predvídateľnosti zásahu do súkromia zamestnancov. Zákonník práce pripúšťa zásah do súkromia zamestnancov v prípade vážneho dôvodu spočívajúceho v osobitnej činnosti zamestnávateľa. Činnosť zamestnávateľa v širšom zmysle slova predstavuje činnosť vymedzenú v predmete podnikania či v živnostenskom oprávnení. V užšom slova zmysle je činnosťou zamestnávateľa je konkrétna činnosť realizovaná zamestnávateľom, zamestnancami, dodávateľmi a pod. Preto aj pojem vážny dôvod je potrebné vykladať v spojitosti s povahou činnosti zamestnávateľa v užšom zmysle slova, aby bol zásah do súkromia dostatočne určitý a predvídateľný. Pojem vážny dôvod nie je v ZP nijako špecifikovaný. Preto by mal byť formulovaný aspoň vo vnútorných predpisoch zamestnávateľov a zamestnanci by s ním mali byť oboznámení. Následne pri jeho naplnení by mohli dôvodne a predvídateľne očakávať zásah do svojho súkromia, čím by sa naplnila jedna z podmienok prípustnosti takéhoto zásahu.

Legitimita zásahu do práva na súkromie, ktorá vyplýva z čl. 8 ods. 2 Dohovoru podľa Ústavného súdu SR znamená, že do práva na súkromie možno zasiahnuť len vtedy, ak keď je to v záujme štátu z dôvodov ochrany národnej bezpečnosti, verejnej bezpečnosti, predchádzania nepokojov a zločinnosti, v záujme spoločnosti z dôvodu ochrany zdravia a morálky, zabezpečenia hospodárskeho blahobytu krajiny a v záujme jednotlivcov z dôvodu ochrany ich práv a slobôd.[8] Zásada legitimity teda vyjadruje dôvody a podmienky, pri ktorých je možnosť obmedziť právo zamestnanca na súkromie. Môže ísť o záujmy štátu z dôvodu ochrany bezpečnosti, ale aj jednotlivca z dôvodu ochrany jeho práv a slobôd.

Zároveň však musí byť dodržaná aj zásada proporcionality, čo znamená, že zasiahnuť do súkromia zamestnanca je možné, len keď je to nevyhnutné, keď legitímny cieľ nie je možné dosiahnuť miernejšími prostriedkami pri dodržaní zásad a princípov demokratickej spoločnosti. Keď je teda možné dosiahnuť stanovený cieľ inými prostriedkami, je nutné sa vyhnúť zásahu do súkromia zamestnancov, keďže sa ním zasahuje do jedného zo základných ľudských práv. V prípade, ak sa nedodrží čo i len jedno z vyššie uvedených kritérií zásahu do súkromia zamestnancov, možno takýto zásah považovať za neprípustný, resp. nezákonný.

X. Záver

Nová európska právna úprava ochrany osobných údajov prehlbuje právnu ochranu práv zamestnanca.

Legislatívne spresňuje požiadavky na súhlas dotknutej osoby so spracovaním osobných údajov, čím prehlbuje aj existujúce záruky práv na strane zamestnancov pri ochrane ich osobných údajov.

Nová právna úprava ochrany osobných údajov na úrovni Európskej únie vytvára aj pre zamestnávateľov podstatne náročnejšie administratívne právne prostredie. V konkrétnych prípadoch musia sami vyhodnotiť, či ide o automatizované spracúvanie osobných údajov, lebo od toho sa odvodzujú významné právne povinnosti zamestnávateľa voči zamestnancovi, ktorý je v právnej pozícii dotknutej osoby. Formy prehĺbenia právnej ochrany zamestnancov pri spracovaní ich osobných údajov bude pre zamestnávateľa v blízkej budúcnosti aj administratívne náročné nepočítajúc vysoké sumy peňažných sankcií pri porušení ochrany osobných údajov.

Prijatím nového Nariadenia o ochrane osobných údajov dochádza k unifikácii právnej úpravy v celej Európskej únii a podrobnej právnej úpravy automatizovaného rozhodovania včítane profilovania. Cieľ európskeho zákonodarcu sa nemôže plne podariť práve v oblasti pracovnoprávnych vzťahov, pretože práve článok 88 Nariadenia umožňuje členským štátom prijať osobitnú právnu úpravu ochrany osobných údajov.