Otázka: Naši zamestnanci môžu využívať firemné motorové vozidlá aj na súkromné účely. Každé auto je vybavené systémom GPS monitoringu. Prostredníctvom neho zabezpečujeme automatizované vedenie knihy jázd, riadenie nákladov za čerpanie PHM, nepeňažných príjmov zamestnancov a v neposlednom rade ochranu vozidiel pred krádežou, keďže v reálnom čase vidíme, kde sa vozidlo nachádza. Čo máme z pohľadu pravidiel ochrany osobných údajov urobiť, aby bol tento monitoring v súlade s GDPR? A naozaj ho musíme vypnúť v čase, keď zamestnanec využíva auto na súkromné účely?
Odpoveď: Niet pochýb o tom, že prostredníctvom monitorovacieho systému, ktorý vo vozidlách používate, získavate a ďalej spracúvate osobné údaje vašich zamestnancov. Aj napriek tomu, že účelom nie je priamo sledovanie zamestnancov napríklad za účelom ich hodnotenia dodržiavania pracovnej disciplíny. Systém získava napríklad údaje o polohe vozidla a teda aj zamestnanca, ktorému bolo vozidlo pridelené. V kontrolovanom čase vieme povedať, kde sa vozidlo a teda aj zamestnanec nachádza alebo nachádzal (napríklad v súvislosti s kontrolou dokladu o čerpaní PHM).
V prvom rade je potrebné zabezpečiť, aby všetci zamestnanci, ktorí používajú tieto vozidlá boli informovaní o monitorovacom systéme, ktorý je v nich aplikovaný. Ide o plnenie povinnosti podľa čl. 13 všeobecného nariadenia o ochrane údajov.
Poskytnite preto zamestnancom jasnú a zrozumiteľnú informácií o tom, ako budú ich údaje spracúvané. Keď si pozriete čl. 13 GDPR, zistíte, že je tam niekoľko dôležitých informácií, ktoré musíte zamestnancom oznámiť. Od kontaktných údajov vás, ako prevádzkovateľa, cez účely, právny základ spracúvania, cez príjemcov, dobu uchovávania údajov až po práva dotknutých osôb (zamestnancov). Túto informáciu môžete zamestnancom poskytnúť ako súčasť ostatných informácii o spracúvaní ich osobných údajov (“oproti podpisu” zamestnanca), alebo aj jej umiestnením priamo vo vozidle.
V súvislosti s príjemcami odporúčame uviesť externý subjekt, ktorý vám poskytuje službu GPS monitoringu. To v prípade, ak nemáte celý systém inštalovaný na vlastnom serveri, teda na vlastných aktívach. Pôjde o vášho sprostredkovateľa, ktorý okrem iného zabezpečuje napríklad aj zálohovanie spracúvaných údajov. Preto nezabudnite, aby zmluva medzi vami a ním spĺňala náležitosti čl. 28 všeobecného nariadenia o ochrane údajov. V tejto situácii obvykle s návrhom zmluvy prichádza sprostredkovateľ. Preto si skontrolujte, či obsahuje všetko potrebné. Nemusí ísť o samostatnú zmluvu, môže ísť o časť, ktorá je súčasťou klasickej obchodnej zmluvy.
Pokiaľ nemáte zákonnú povinnosť inštalovať do vozidiel monitorovací systém, potom právnym základom pre spracúvanie osobných údajov pravdepodobne bude oprávnený záujem. Využitie čl. 6 ods. 1 písm. f) všeobecného nariadenia pre ochranu údajov. Vždy, keď prevádzkovateľ oprie spracúvanie o tento právny základ, musí vykonať test oprávneného záujmu (niektoré zdroje ho uvádzajú pod názvom test proporcionality). Prostredníctvom neho zistíte, či oprávnený záujem prevádzkovateľa prevažuje nad právami a slobodami dotknutých osôb. Jeho súčasťou je: