Každý zamestnávateľ v rámci svojej agendy spracúva mzdy pre svojich zamestnancov. Z pohľadu ochrany osobných údajov, je účelom spracúvania miezd ako osobných údajov o zamestnancoch splnenie zákonnej povinnosti zamestnávateľa, a to povinnosti poskytnúť zamestnancom mzdy za vykonanú prácu.
V zmysle § 130 ods. 5 zákona č. 311/2001 Z.z. Zákonník práce v znení neskorších predpisov (ďalej len „ zákon č. 311 Z.z. Zákonník práce) určuje, že „pri vyúčtovaní mzdy je zamestnávateľ povinný zamestnancovi vydať doklad obsahujúci najmä údaje o jednotlivých zložkách mzdy, ...“ – tzv. výplatnú pásku. Výplatná páska sa poskytuje v písomnej forme, ak sa zamestnávateľ so zamestnancom nedohodnú na jeho poskytovaní elektronickými prostriedkami. Práve zasielanie miezd pomocou emailu (elektronickými prostriedkami) bolo predmetnom nedávneho rozhodnutia Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „Úrad“).
Vo svojom nedávnom rozhodnutí Úrad konštatoval, že za osobný údaj zamestnanca sa na účely pracovnoprávnych vzťahov považuje aj mzda zamestnanca a jej jednotlivé zložky (pevná, prípadne variabilná – odmeny). Jedná sa o osobný údaj, ktorým je možné identifikovať ekonomickú identitu zamestnanca. Predmetným spracúvaním ako aj povahou údajov sa Úrad zaoberal na základe návrhu zamestnanca (ďalej len „navrhovateľ“) proti prevádzkovateľovi.
Navrhovateľovi, ktorý bol zamestnanec prevádzkovateľa - cirkevnej právnickej osoby, boli na jeho súkromnú emailovú adresu zaslané výplatné pásky za mesiace apríl, máj a jún 2020. Výplatné pásky prevádzkovateľ zaslal spôsobom, ktorým nezabezpečil diskrétnosť zaslaných príloh obsahujúcich osobné údaje navrhovateľa. Inými slovami, prevádzkovateľ e-mailové prílohy nezabezpečil formou hesla alebo iným spôsobom ochrany tak, aby sa s obsahom príloh oboznámila výhradne oprávnená osoba, navrhovateľ, ktorej prílohy boli určené. Prevádzkovateľ týmto konaním porušil jednu zo základných povinností prevádzkovateľa vyplývajúcich zo zásady dôvernosti v zmysle čl. 5 ods. 1 písm. f) Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „Nariadenie GDPR) a to povinnosť zabezpečiť, aby osobné údaje boli spracúvané spôsobom, ktorý zaručuje ich primeranú bezpečnosť, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením a to prostredníctvom primeraných technických alebo organizačných opatrení. Prevádzkovateľ síce takéto opatrenia mal riadne zapracované v rámci internej smernice, avšak postupoval v rozpore s nimi.
Úrad, v súvislosti s vyššie spomenutým, taktiež poukázal na fakt, že prevádzkovateľ mal možnosť zvoliť si aj iný bezpečný spôsob komunikácie a to konkrétne využitie poštovej zásielky do vlastných rúk adresáta, nakoľko prevádzkovateľ disponoval korešpondenčnou adresou navrhovateľa. Využitím tejto možnosti by prevádzkovateľ splnil svoju zákonnú povinnosť vyplývajúcu zo zákona č. 311 Z.z. Zákonník práce, ako aj povinnosť v zmysle čl. 39 Nariadenia GDPR, ktorá hovorí o tom, že osobné údaje by sa mali spracúvať tak, aby sa zabezpečila primeraná bezpečnosť a dôvernosť osobných údajov vrátane predchádzania neoprávneného prístupu k osobným údajom a zariadeniu používanému na spracúvanie, alebo neoprávnenému využitiu týchto údajov a zariadení.
Navrhovateľ vo svojom návrhu namietal aj fakt, že nebol nikdy zo strany prevádzkovateľa poučený o svojich právach v zmysle čl. 12 až 23 Nariadenia GDPR, čo samotný prevádzkovateľ nevedel vyvrátiť. Navrhovateľovi bol zaslaný dokument s názvom „Súhlas so spracúvaním osobných údajov“, ktorý navrhovateľ odmietol podpísať a ktorým prevádzkovateľ argumentoval splnenie svojej povinnosti v zmysle čl. 13 Nariadenia GDPR. Splnenie povinnosti v zmysle čl. 13 Nariadenia GDPR prevádzkovateľ nepreukázal ani tvrdením, že každý zamestnanec je pred prijatím do zamestnania oboznámený v súlade s Nariadením GDPR, ani odkazom na zverejnené informácie o spracúvaní osobných údajov na stránke prevádzkovateľa (nakoľko odkaz na webovej stránke neodkazoval na adekvátnu informačnú povinnosť, akú vyžaduje Nariadenie GDPR). Úrad vo svojom rozhodnutí zdôraznil, že prevádzkovateľ je tým, kto sa má proaktívne usilovať o splnenie tejto povinnosti v súlade s Nariadením GDPR, bez ohľadu na to, či dotknutá osoba prejavila o tieto informácie záujem alebo nie. Včasné poskytnutie informácií ako aj ľahký prístup k nim je dôležitým prvkom na preukázanie transparentného spracúvania osobných údajov.
Pri ukladaní pokuty bolo za závažnejšie porušenie ochrany osobných údajov zo strany prevádzkovateľa vyhodnotené porušenie zásady dôvernosti v zmysle čl. 5 ods. 1 písm. f) Nariadenia GDPR. Povaha a závažnosť porušenia, kedy bolo zistené porušenie základnej zásady spracúvania a to zásady dôvernosti, bola vyhodnotená ako priťažujúca okolnosť. Priťažujúcou skutočnosťou bol taktiež spôsob akým sa Úrad dozvedel o porušení – na základe podaného návrhu. Prihliadalo sa taktiež na poľahčujúce okolnosti, a to konkrétne na to, že vo vzťahu k prevádzkovateľovi doposiaľ neboli evidované žiadne porušenia Nariadenia GDPR, predmetné porušenie sa týkalo výhradne osoby navrhovateľa a to, že neboli zistené škodlivé následky, ktoré by priamo zasiahli navrhovateľa alebo ohrozili jeho súkromný alebo rodinný život. Poľahčujúcim bol taktiež fakt, že prevádzkovateľ porušením nezískal žiaden finančný alebo nefinančný prospech. V danom prípade Úrad prevádzkovateľovi udelil pokutu v hodnote 200 €.
