Konec maja, natančneje 25. 5. 2018, je v veljavo stopila nova uredba Evropske Unije za varstvo osebnih podatkov, imenovana GDPR (General Data Protection Regulation). Z uredbo je bilo (in je še) potrebno uskladiti tako zbiranje, posredovanje, obdelovanje kot tudi varovanje osebnih podatkov. Nova pravila GDPR so bila oblikovana z namenom, da bi ljudi zaščitila pred kršitvami varnosti podatkov. Predpisane so tudi visoke globe, če bodo organizacije ta pravila kršile, prav tako pa odstopanje od predpisanih pravil predstavlja hujšo kršitev tudi za psihologa.
Novi zakon številne novosti tako uvaja tudi na področju psihologije dela in organizacij. Na letošnjih Dnevih psihologov, ki so potekali 11. 5. 2018 v Mariboru, je predavatelj mag. Urban Brulc (Samostojni svetovalec Informacijskega pooblaščenca) predstavil mnogo informacij, ki bodo v prihodnosti pri izogibanju kazni in sledenju novemu zakonu pomagale marsikateremu psihologu pa tudi drugim profilom. V nadaljevanju predstavljamo nekaj odgovorov na vprašanja iz področja varovanja osebnih podatkov za namene trženja, raziskovanja, selekcije, psihološkega testiranja in komunikacije s klienti.
Ali lahko direktno kontaktiraš osebo, katere e-pošto, telefon si našel na spletu z namenom trženja, čeprav prej z njo nisi imel kontakta? Kaj se zgodi, če shraniš takšen e-naslov in zapis o komunikaciji?
Če gre res za javno dostopen vir, lahko. Vendar mora biti oseba vsakič obveščena o možnosti preklica. Lahko shraniš e-naslov in zapis o komunikaciji, če je objavljena na spletu (dovoljenje za to pridobi organizacija). Neomejeno hranjenje po uredbi ne vzdrži.
Stranka se je v preteklosti udeležila konference na določeno temo. Ali jo lahko brez dovoljenja obveščaš o podobnih dogodkih?
Ne, potrebuješ privolitev (nujno aktivno dejanje; “opt-in”). Privolitev ne bi bila potrebna, če se pri obveščanju oseb ne segmentira (npr. vsi vsakič dobijo enako ponudbo, ne glede na to kdo so in kakšne lastnosti imajo). Poleg tega je odvisno zakaj in kako je stranka dala e-naslov ter katere informacije je v zvezi s tem dobila od organizatorja.
Ali lahko na socialnih omrežjih v objavo dodaš npr. @ImePriimek brez dovoljenja osebe?
Ne.
Ali mora biti soglasje osebe podano v pisni obliki in s podpisom, ali zadostuje klik “strinjam se”?
Zadovoljuje klik “strinjam se”, privolitev pa nujno vključuje: kdo podatke zbira (naziv organizacije, kontakt pooblaščene osebe za varstvo osebnih podatkov, če jo organizacija ima), konkretni namen oziroma namene zbiranja (v vsakega ima pravico posebej privoliti ali zavrniti), katere podatke zbiramo (našteti kategorije podatkov), ali in komu se podatki posredujejo ter zakaj, ali ima organizacija glede podatkov pogodbene obdelovalce (npr. zunanje vzdrževanje informacijskega sistema), koliko časa jih hranimo, posameznikove pravice – pravica do preklica privolitve, pravica do pritožbe ali prijave pri IP v primeru kršitev varstva osebnih podatkov, pravica do seznanitve z lastnimi osebnimi podatki, pravica do izbrisa, popravka, ugovora ali prenosljivosti v skladu z zakonodajo, posledice, če privolitve posameznik ne da). Prav tako možno tudi: ali se sprejemajo avtomatizirane odločitve o posamezniku, ali se izvaja avtomatizirano profiliranje in kako, ali se podatki iznašajo v tuje države (zlasti izven EU).
V kakšnih primerih lahko psihološko ocenjevanje sodi pod zakonit interes delodajalca (pomembno npr. za norme podjetja, kjer izbris vpliva na natančnost podatkov)?
Če so starejši podatki oz. posameznik ni več zaposlen, je bolje izbrisati. Privolitev za psihološko ocenjevanje pri selekciji (tudi napredovanju, načrtovanju nasledstva, usposabljanju, …) ni potrebna in se pogosto zaradi nesorazmerja moči tretira kot prisilna. Jasni morajo biti nameni (posameznik lahko označi vsakega posebej, kjer so povezani in B ni mogoč brez A pa to v besedilu tudi pojasnimo). Rezultate ocenjevanja lahko dobi tudi naročnik (delodajalec), ki jih mora ustrezno hraniti, sami testi pa se nujno hranijo pri izvajalcu (če je zunanji). Torej, testiranje pri delodajalcu je možno brez privolitve, vendar mora biti posameznik obveščen enako kot pri privolitvi (zakaj, kdo, kaj, pravice, ali je obvezno (da) in kakšne so posledice če se ne podvrže testiranju,…).
Kako pravilno pridobiti soglasje v primeru spletnega testiranja (povezava do vprašalnika preko e-pošte, samostojno reševanje doma, nato razgovor pri nas). Zadostuje poslana pristopna izjava, kandidatov podpis in skenirano vrne nazaj?
Lahko spletna privolitev (aplikacija), lahko e-poštna privolitev, lahko skenirano… Važno je da sistem shrani kdo, kdaj in v kaj je izrecno z aktivnem ravnanjem privolil. Šifrirana pošta ali spletna stran (TSL, SSL protokoli) je potrebna, če že sama privolitev vsebuje občutljive osebne podatke.
Pod kakšnimi pogoji je pri raziskovanju dovoljeno ohraniti surove podatke, če izbrišemo vse identifikatorje?
Anonimizirana hramba surovih podatkov je možna brez omejitev, toda anonimizacija mora biti absolutna, nekako tako, da tudi sami ne morete več ugotoviti na koga se podatki nanašajo (brisanje identifikatorjev večinoma ni dovolj).
Je potrebno za vsako izvajanje psihološkega pregleda oz. testiranja pridobiti obveščeno soglasje?
Odvisno, ali lahko testiranje štejemo kot potrebno oz. nujno za izvrševanje pogodbe (npr. o svetovanju) med posameznikom in vami. Če je temu tako, privolitev ni nujna, mora pa biti posameznik obveščen o vseh vidikih obdelave podobno kot pri privolitvi. Podobno velja tudi v delovnih razmerjih.
Je posameznik, ki je v selekcijskem postopku testiran na željo naročnika oz. podjetja upravičen do povratnih informacij o testiranju?
Na zahtevo posameznika zagotovo. Avtomatično obveščanje pa je priporočljivo (ni pa kršitev, če se ne ravna tako).
Kdo (npr. v podjetju) lahko “pogleda” oz. ima dostop do psiholoških poročil?
Vsak, katerega delovne naloge zahtevajo seznanitev s poročili. Teh oseb mora biti čim manj, uporabniške pravice pa morajo biti omejene (npr. branje, spreminjanje, pisanje, prenos, analiza, poročanje…) – lahko pa je to od direktorja, ki npr. skrbi za nadzor pa vse do tajnika, ki skrbi za evidentiranje dokumentacije.
Kako ustrezno poslati e-pošto z občutljivimi podatki (poročila z rezultati, ipd.)?
Mail je dovoljen, a mora biti vsebina sporočila šifrirana oz. kriptirana. Možnost je tudi ZIP datoteke, kjer moramo označiti “šifriranje”, pazimo pa tudi na ime datoteke (da ne vsebuje imena, priimka), geslo prejemniku pošljemo ločeno oziroma po drugi poti. Pri SMS sporočilih ni potrebno kriptiranje. Pri internih mailih/sistemih (notranje omrežje, kjer sporočilo ne zapusti organizacije) šifriranje/kriptiranje ni potrebno, enako velja če so podatki popolnoma anonimizirani. Fizična pošta velja (najbolje priporočeno, še bolje pa priporočeno s povratnico).
Za dodatne informacije priporočamo v branje:
https://data.si/blog/2018/02/22/gdpr-ste-pripravljeni/
psihologijadela.com 