Výkon kontroly zamestnanca má byť primeraný. To, že zamestnanec pracuje z domu, neznamená, že nemá právo na súkromie
Rozhovor s Mgr. Tatianou Valentovou bol pripravený v súvislosti s pripravovaným 5. ročníkom odbornej konferencie k pracovnému právu, ktorá sa uskutoční v online prostredí v dňoch 18. – 19. októbra 2023 a na ktorej vystúpia poprední odborníci na pracovné právo zo Slovenskej a Českej republiky.
Pani Valentová, náš rozhovor by sme začali trochu odľahčene. Tento rok oslavujeme malé výročie v podobe 5. ročníka konferencie k pracovnému právu. Vy ste spolu s nami od úplného začiatku. Čo láka významnú odborníčku na ochranu osobných údajov k účasti na konferencii zameranej na pracovné právo?
Okrem skvelého tímu odborníkov? Možnosť prezentovať skutočnosť, že realizácia pracovnoprávnych vzťahov je úzko spätá s osobnými údajmi a praktická aplikácia všeobecného nariadenia o ochrane údajov do pracovnoprávnych vzťahov si vyžaduje hlbšiu znalosť pracovného práva.
Tému tohtoročnej konferencie sme zamerali na „vzdialený“ výkon práce alebo výkon práce v „online“ prostredí, kde miesto výkonu práce nezohráva zásadnú úlohu. Čo považujete za najväčšie riziká v aplikačnej praxi pre zamestnávateľov, ak takýto výkon práce zamestnancom umožňujú?
Primárne bezpečnosť spracúvaných informácií vrátane osobných údajov. Nielen údajov, ktoré spracúva zamestnanec v domácom prostredí, ale aj údajov týkajúcich sa zamestnanca, výkonu jeho práce, odpracovaných hodín a podobne. Napríklad nastavenie vhodných podmienok kontroly zamestnanca z hľadiska primeranosti zásahu do jeho súkromia v prostredí, v ktorom pracuje, vhodného spôsobu kontroly a technických prostriedkov.
Primeranosť zásahu do súkromia je úzko prepojená s bezpečnosťou spracúvaných osobných údajov, ktorú je potrebné posúdiť v rámci analýzy rizík, vrátane analýzy dopadov na práva a slobody fyzických osôb (zamestnanec aj dotknuté osoby, o ktorých sú osobné údaje spracúvané v zamestnancom).
Všetky podmienky by mali byť upravené vo vnútropodnikovom predpise vrátane zváženia povinnosti, či nie je potrebné do procesu involvovať aj zástupcov zamestnancov, ak im kompetencia vyplýva z príslušných pracovnoprávnych predpisov. Tento rok sa dokonca Úrad na ochranu osobných údajov SR v rámci riadnych kontrol zameral práve na kontroly pracovnoprávnych vzťahov, a niektoré skúsenosti z kontrolnej činnosti budem prezentovať aj počas svojho vystúpenia na konferencii.
Musí zamestnávateľ z hľadiska vzdialeného výkonu práce zaviesť zamestnancom nejaký nový účel spracúvania osobných údajov, prípadne aký?
Skôr by som hovorila o prísnejších, resp. odlišných pravidlách pre ochranu osobných údajov. Účely sú definované bez ohľadu na to, kde sa práca vykonáva. Meniť sa budú podmienky ochrany osobných údajov. Zamestnávateľ musí nastaviť podmienky pre ochranu informácií ako ochrana pracovného prostriedku, zálohovanie dát, bezpečné sieťové pripojenie, zabezpečený vzdialený prístup a podobne.
Rovnako musí nastaviť pravidlá pre zamestnanca, ktoré budú prispievať k ochrane dát. Mnoho zamestnávateľov dnes využíva cloudové služby pre uchovávanie údajov, avšak pri takejto hybridnej „vzdialenej“ práci zabúdajú na riešenie bezpečného prenosu pri zálohovaní dát.
Zamestnanci bežne používajú domácu WiFi sieť, pripájajú sa na domáci router, nemajú nastavenú žiadnu relevantnú ochranu. Zamestnávateľ stráca kontrolu nad spracúvanými (nielen) osobnými údajmi, čo je v priamom rozpore s podmienkami všeobecného nariadenia o ochrane údajov a samozrejme to vytvára nebezpečenstvo vzniku krízovej situácie nielen z hľadiska právnej úpravy ochrany osobných údajov, ale aj pracovnoprávnej zodpovednosti zamestnanca.
Rozhovor s Mgr. Tatianou Valentovou, jednou z vystupujúcich na 5. odbornej konferencii, pripravilo vydavateľstvo Wolters Kluwer SR s. r. o. Na konferenciu sa môžete prihlásiť tu.
Mgr. Tatiana Valentová je špecialistkou v oblasti ochrany osobných údajov. Bohaté skúsenosti získala najmä ako vrchná inšpektorka Úradu na ochranu osobných údajov SR a riaditeľka odboru kontroly. Zásluhou dlhoročného pôsobenia v oblasti ochrany a bezpečnosti informácií v pozícii bezpečnostného analytika má skúsenosti s praktickou aplikáciou bezpečnostných opatrení slúžiacich na ochranu informácií, ako aj s aplikáciou legislatívy a medzinárodných noriem pri ich príprave.
V súčasnosti sa špecializuje na ochranu súkromia, bezpečnosť informácií a komplexnú implementáciu nariadenia GDPR do praktického prostredia spoločností. Pravidelne publikuje a prednáša na konferenciách. Spolupracuje s viacerými medzinárodnými organizáciami v oblasti ochrany súkromia a výkonu auditu. Je chairmanom DPO Clubu, ktorý združuje nezávislú komunitu odborníkov z oblasti ochrany osobných údajov. Je členkou Spolku pro ochranu osobních údajů a slovenského Spolku na ochranu osobných údajov. Patrí k spoluzakladateľom občianskeho združenia Women4Cyber Slovakia.