Ochrana súkromia zamestnancov a jej hranice sú v dnešnom digitálnom svete stále aktuálnou témou, ktorou sa zaoberá čím ďalej tým viac zamestnávateľov.
Príklad toho, kedy ju zamestnávateľ jednoznačne prekročil, je opísaný v rozhodnutí Hamburského úradu na ochranu osobných údajov a slobodu informácií. Tento uložil pokutu vo výške 35,3 milióna EUR[1] svetovej módnej značke H&M Hennes & Mauritz Online Shop A.B. & Co KG („Spoločnosť“) za rozsiahle porušenie ochrany osobných údajov a ochrany súkromia svojich zamestnancov. Spoločnosť so sídlom v Nemecku minimálne od roku 2014 neoprávnene zhromažďovala a ukladala záznamy o súkromí svojich zamestnancov.
Jedným zo spôsobov, akým Spoločnosť získavala takéto údaje bolo pozývanie zamestnancov na tzv. „Welcome back talky“ po návrate z dovolenky alebo PN. V rámci týchto pohovorov si vedúci zamestnanci zaznamenávali konkrétne dovolenkové skúsenosti zamestnancov, príznaky chorôb a diagnózy. Niektorí nadriadení zamestnanci navyše získavali rozsiahle informácie o súkromnom živote ostatných zamestnancov aj prostredníctvom individuálnych rozhovorov alebo diskusií na chodbách, ktoré vo väčšine prípadov zahŕňali informácie o rodinných problémoch a o náboženskom vierovyznaní.
Tieto zistenia boli zaznamenávané, digitálne uložené, s tým že prístup k nim malo v jednom čase niekoľko desiatok riadiacich zamestnancov. Záznamy boli vytvárané detailne a priebežne boli aktualizované. Všetky takto zozbierané údaje Spoločnosť používala za účelom vyhodnotenia individuálneho pracovného výkonu konkrétneho zamestnanca a prijatia opatrení, resp. rozhodnutí v rámci pracovného pomeru.
Zber údajov vyšiel na povrch chybou konfigurácie, kvôli ktorej boli všetky nazbierané dáta prístupné všetkým v Spoločnosti. Následne v rámci kontroly predložila Spoločnosť až 60 gigabajtov nazbieraných dát.
V uvedenom prípade ide nielen o významný zásah do práv na ochranu osobných údajov zamestnancov, ale aj do práva na ochranu súkromia. Spoločnosť si chybu priznala a okrem prijatia nápravných opatrení, prišla s návrhom na vyplatenie odškodného zamestnancom.
Newsletter
Newslettre predstavujú jeden z najpoužívanejších a najefektívnejších nástrojov online marketingu. Ide o zasielanie konkrétnych informácii (novinky, zľavy, akcie) zväčša reklamnej povahy prostredníctvom emailu. Medzi jeho hlavné výhody patria nízke náklady na prevádzku a udržanie stáleho kontaktu so zákazníkmi.
V zmysle NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES („nariadenie GDPR“), spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem prevádzkovateľa a na tento konkrétny účel nie je potrebné od dotknutej osoby vyžadovať súhlas.
Okrem nariadenia GDPR problematiku zasielania newslettrov upravuje aj zákon č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov. V zmysle zákona je newslettre možné posielať len s predchádzajúcim súhlasom príjemcu newslettra, pričom takýto súhlas musí byť preukázaný. Zákon však ustanovuje aj výnimku, po splnení ktorej sa súhlas podľa zákona nevyžaduje - ak ide o priamy marketing vlastných podobných tovarov a služieb, ktorého kontaktné informácie na doručenie elektronickej pošty tá istá osoba získala v súvislosti s predajom tovaru alebo služieb.
Príkladom porušenia uvedených princípov je rozhodnutie Českého úradu na ochranu osobných údajov, ktorý uložil pokutu vo výške 6 miliónov českých korún (221.696 Eur)[2] spoločnosti, ktorá podniká v oblasti predaja ojazdených motorových vozidiel. Kontrolovaná spoločnosť pravidelne posielala newslettre dotknutým fyzickým osobám (okrem iného newslettre s ponukou tovarov a služieb) a v čase výkonu kontroly nevedela preukázať právny základ spracúvania osobných údajov podľa Zákona č. 480/2004 Sb. o některých službách informační společnosti a o změně některých zákonů („Zákon“) pri veľkom počte kontrolovaných kontaktov. Inými slovami, kontrolovaná spoločnosť nedisponovala ani súhlasom podľa Zákona (ustanovenie § 7 Zákona je takmer totožné s právnou úpravou v Slovenskej republike) a nepokryla ani situáciu, kedy súhlas nie je potrebný ak ide o reklamu vlastných podobných tovarov a služieb, ktoré boli konkrétnej dotknutej osobe v minulosti poskytnuté. Kontrola bola vykonaná pomerne detailne, keďže úrad požadoval preukázať právny základ k niekoľkým tisíckam kontaktov. Úrad sa však neuspokojil len s prehľadom právnych základov, ale v prípade udelených súhlasov ich žiadal predložiť a v prípade zákazníckych vzťahov trval na ich preukázaní, či už faktúrou alebo iným dôkazom. Kontrolovaná spoločnosť počas kontroly navyše argumentovala, že rozosielanie newslettrov si ako službu objednala u viacerých spoločností a týmto sa snažila preniesť zodpovednosť v súvislosti so spracúvaním osobných údajov na tieto spoločnosti. Úrad v tejto súvislosti konštatoval, že objednanie služieb u iných spoločností nezbavuje kontrolovanú spoločnosť zodpovednosti za spracúvanie osobných údajov len s relevantným právnym základom a nie je postačujúce spoliehať sa na uistenie dodávateľských spoločností, že disponujú relevantným právnym základom.
Úrad v odôvodnení rozhodnutia k udeleniu súhlasu uviedol, že tento je potrebné získať vopred a musí sa vzťahovať na konkrétneho odosielateľa. Nemôže byť generálny, na neurčitý počet subjektov. Zároveň zdôraznil, že súhlas so zasielaním newslettrov musí spĺňať parametre súhlasu dotknutej osoby podľa nariadenia GDPR. Vzhľadom na to, že v predmetnom prípade malo dochádzať aj k udeľovaniu súhlasov telefonicky, úrad sa venoval aj spôsobom ako predchádzať sporom ohľadom existencie súhlasu. Ide o prax tzv. douple opt-in, t.j. zaslanie potvrdenia z e-mailovej adresy alebo telefónneho čísla o tom, že daný užívateľ udelil súhlas so zasielaním marketingových správ na danú e-mailovú adresu alebo telefónne číslo.
Uvedené rozhodnutie nie je len doplnením aplikačnej praxe, ale vzhľadom na výšku pokuty aj varovaním pred ľahkovážnym prístupom k rozosielaniu marketingových správ.
Veríme, že uvedené informácie sú pre Vás užitočné. V prípade záujmu o podrobnejšie informácie, neváhajte nás kontaktovať.
Viktória Poliaková, Zuzana Krajčovičová