Die Opsameling-Anonimiteitsprobleem
Menslike Hulpbron departemente van groot organisasies neem gereeld werknemersopsameling wat as "anoniem" gemerk is. Die aanname is dat as die opsameling anoniem is, GDPR Artikel 6 vereisten nie van toepassing is nie — die organisasie kan die data neem sonder werknemertoestemming.
But hierdie aanname is verkeerd in baie gevalle.
Wat "Anoniem" in GDPR beteken
GDPR Artikel 4(1) definieer anonieme data as data wat NIE met 'n persoon geassosieer kan word nie — nie nou, nie in die toekoms, nie met enige tegniek. Die sleutelwoord is "irreversibel."
Wanneer 'n organisasie 'n "anoniem" opsameling neem waar:
- Werknemers hul werknemersnommer gebruik vir identifikasie (selfs gedeeltelik)
- Die organisasie 'n lys het wat werknemersnommer aan vraaglyste kan koppel
- Die opsameling tegnies omkeerbaar is deur die organisasie
Dan is dit nie anoniem nie — dit is "pseudoniem" of "omkeerbaar anoniem," wat nogsteeds persoonlike data onder GDPR is.
Die GDPR Artikel 6-implikasies
As die opsameling werklik persoonlike data is (want dit is omkeerbaar), het die organisasie 'n regmatige grond onder GDPR Artikel 6 nodig. Die opsies is:
- Toestemming (6(1)(a)): Werknemers gee eksplisiet toestemming om hul opsameling-data te verwerk
- Werknemerkontraksies (6(1)(b)): Die opsameling is nodig vir die werknemerkontrakt (baie opsameling is dit nie)
- Wetlike verpligtinge (6(1)(c)): 'n Spesifieke wet vereis die opsameling (soos veiligheidskemas)
- Wettige belange (6(1)(f)): Die organisasie het 'n wettige belang, maar dit kan teen werknemersbelange ingeboegseer wees