Kako primjeniti GDPR u radnim odnosima

primjena gdpr-a u radnim odnosima

Opća uredba o zaštiti podataka (eng. General Data Protection Regulation ili „GDPR“) se primjenjuje na veliki broj pitanja upravljanja ljudskim potencijalima. Poslodavac treba voditi računa o tome kako postupa s osobnim podacima zaposlenika i o tome kako zaposlenici postupaju s osobnim podacima klijenata.

Specifičnosti zaštite osobnih podataka u radnim odnosima prepoznaje i GDPR, ostavljajući mogućnost državama članicama da zakonom ili kolektivnim ugovorima predvide preciznija pravila s ciljem osiguravanja zaštite prava i sloboda u vezi s obradom osobnih podataka zaposlenika u kontekstu zaposlenja. O specifičnostima zaštite osobnih podataka govore i smjernice i mišljenja Radne skupine članka 29. koja se sastoji od predstavnika nadzornih tijela država članica, predstavnika nadzornih tijela za institucije Europske Unije i predstavnika Europske Komisije (eng. Article 29 Working Party ili „WP29“ ).

Za obradu kojih osobnih podataka poslodavac od zaposlenika može dobiti privolu?

Poslodavac osobne podatke zaposlenika može obrađivati na temelju zakonske obveze, zato što su mu podaci potrebni radi ispunjenja obveza iz ugovora o radu ili zato što ima legitimni interes za prikupljanje osobnih podataka zaposlenika. Zdravstvene podatke zaposlenika poslodavac može obrađivati ako je obrada nužna za ostvarivanje prava zaposlenika iz područja radnog prava, prava o socijalnoj sigurnosti te socijalnoj zaštiti (na primjer, podaci o bolovanju, trudnoći i sl.).

Osim navedenih pravnih osnova, poslodavac može obrađivati osobne podatke zaposlenika i na temelju privole. WP29 je iznio mišljenje da poslodavac ima tu mogućnost u vrlo ograničenim slučajevima. Naime, privola mora biti dana slobodno što znači da uskraćivanje ili povlačenje privole za sobom ne smije povlačiti nikakve negativne posljedice za zaposlenika. U radnom odnosu između poslodavca i zaposlenika često postoji takav omjer snaga zbog kojeg bi se zaposlenik osjećao dužnim ili primoranim poslodavcu dati privolu za prikupljanje osobnih podataka kako bi izbjegao negativne posljedice koje bi, u suprotnom, mogao trpjeti.

Takva se privola, sa stajališta GDPR-a, ne bi smatrala valjanom pa bi u takvim slučajevima poslodavac trebao imati drugu pravnu osnovu za obradu osobnih podataka ili ih uopće ne bi smio obrađivati. Kao primjer jednog od rijetkih slučajeva kad radnik poslodavcu može dati valjanu privolu, WP29 navodi slučaj filmskog snimanja u radnim prostorima poslodavca.

Zaposlenici koji za to daju privolu, mogu biti snimljeni u pozadini određenih scena, a poslodavac bi zaposlenicima koji uskrate privolu omogućio rad za izdvojenim stolovima koji nisu obuhvaćeni snimanjem. Privola bi se u ovom slučaju mogla smatrati valjanom jer njezino davanje nije uvjetovano strahom od negativnih posljedica, već ovisi isključivo o slobodnoj volji zaposlenika.

Kako poslodavac treba postupati s osobnim podacima zaposlenika?

Obrada osobnih podataka treba udovoljavati načelu transparentnosti. Radniku u svakom trenutku treba biti poznato kome sve poslodavac prosljeđuje njegove osobne podatke, koji osobni podaci se obrađuju u koju svrhu, ako se obrađuju na temelju legitimnog interesa poslodavca, koji je to legitimni interes, na koji način se obrađuju i sl. Radnik o tome treba biti informiran prije ili najkasnije prilikom sklapanja ugovora o radu te naknadno svaki put kad se promijeni neka od okolnosti u vezi s obradom njegovih osobnih podataka.

Prema kriteriju broja zaposlenih radnika, poslodavac koji zapošljava najmanje 250 radnika ima obvezu imenovanja službenika za zaštitu podataka. Službenik je osoba koja, između ostalog, savjetuje i informira i poslodavca i radnike o obvezama koje imaju na temelju GDPR-a.

Poslodavac bi trebao voditi evidenciju aktivnosti obrade osobnih podataka zaposlenika, sadržaj koje je propisan GDPR-om. Naime, GDPR predviđa obvezu vođenja evidencije, između ostalog, u slučajevima kad se obrada izvršava redovno, a ne tek povremeno. Stajalište WP29 je da obrada osobnih podataka zaposlenika u kontekstu zaposlenja predstavlja slučaj u kojem se obrada osobnih podataka izvršava redovno.

GDPR propisuje obvezu izvršenja procjene učinka na zaštitu podataka u slučajevima kad se provodi sustavna i opsežna obrada osobnih podataka na temelju koje se donose odluke koje utječu na pojedinca. Cilj procjene učinka je predvidjeti rizike nekih vrsta obrada osobnih podataka te utvrditi mjere kojima će se ti rizici staviti pod kontrolu. Stajalište WP29 je da bi se procjena učinka trebala izvršavati u slučajevima kad poslodavac radi evaluaciju zaposlenika jer rezultati evaluacije mogu značajno utjecati na zaposlenika u vidu donošenja odluka poput odluke o povišici ili o otkazu.

Nadzor zaposlenika

Poslodavac bi, prije provođenja bilo koje vrste nadzora (videonadzor radnih prostorija, nadzor elektroničke pošte, nadzor online aktivnosti zaposlenika i sl.), trebao o tome informirati zaposlenika. Mjere nadzora bi trebale biti proporcionalne potrebama poslodavca. Ne bi se smjele provoditi one mjere koje mogu biti zamijenjene manje invazivnim mjerama. Na primjer, ako poslodavac želi motriti online aktivnost zaposlenika kako bi spriječio zloupotrebe, stajalište WP29 je da takav nadzor nije zakonit ako bi se ista svrha mogla postići preventivnom metodom kao što je onemogućavanje pristupa određenim web stranicama.

Ako bi svrha nadzora poslovne elektroničke pošte bila praćenje ispravnosti i ažurnosti informatičkog sustava poslodavca, tada bi poslodavac opravdano mogao obrađivati podatke o vremenu slanja elektroničke pošte, ali ne i njezin sadržaj. Podaci obuhvaćeni nadzorom ne bi smjeli obuhvaćati podatke o privatnom životu zaposlenika jer poslodavac nema pravni temelj za nadziranje tih podataka. Poslodavac tako ni u kojem slučaju ne bi smio otvarati privatnu poštu zaposlenika, bilo da je riječ o e-pošti ili poštanskoj pošiljci.

Poslodavac bi osobne podatke prikupljene putem nadzora smio obrađivati samo u svrhu koju je definirao prije provođenja nadzora i o kojoj je informirao radnika. Na primjer, ako poslodavac provodi nadzor u svrhu praćenja rada informatičkog sustava i sprječavanja računalnih prijevara, podatke koje poslodavac dobije na taj način ne bi smio koristiti za evaluaciju radnika pa, na temelju tako dobivenih podataka, donijeti odluku o unaprjeđenju radnika ili odluku o otkazu.

Zakon o provedbi Opće uredbe o zaštiti podataka detaljnije regulira da se nadzor zaposlenika putem sustava videonadzora može provoditi ako su zaposlenici na primjeren način unaprijed obaviješteni o takvoj mjeri te ako su ispunjeni uvjeti kojima se regulira zaštita na radu i ostali uvjeti utvrđeni zakonom. Videonadzor radnih prostorija ne smije obuhvaćati prostorije za odmor, osobnu higijenu i presvlačenje. Snimke dobivene putem videonadzora se mogu čuvati najviše šest mjeseci osim ako je drugim zakonom propisan duži rok čuvanja ili ako su dokaz u sudskom, upravnom, arbitražnom ili drugom postupku.

Kako zaposlenici trebaju postupati s osobnim podacima klijenata?

Zaštita osobnih podataka u ljudskim resursima ne podrazumijeva samo skup mjera koje poslodavac treba primijeniti na osobne podatke zaposlenika, već i one mjere koje zaposlenici trebaju primijeniti u svakodnevnom radu s klijentima. Stoga zaposlenici trebaju imati jasne upute kako postupati s osobnim podacima klijenata te biti kontinuirano educirani o zaštiti osobnih podataka u onoj mjeri u kojoj se to odnosi na njihov rad.

Poslodavac o tome treba voditi računa već prilikom izbora kandidata za određeno radno mjesto te prilagoditi svoje kriterije i očekivanja ovisno o tome u kojem opsegu bi kandidat za određeno radno mjesto dolazio u doticaj s osobnim podacima klijenata, koje bi mjere zaštite osobnih podataka morao primjenjivati i sl.

Jedna od mjera zaštite osobnih podataka klijenata je sklapanje ugovora o tajnosti s radnikom. GDPR u nekim situacijama poslodavcu nameće obvezu sklapanja takvog ugovora. To će biti slučaj kad poslodavac ima ulogu izvršitelja obrade, odnosno kad prikuplja i obrađuje osobne podatke u ime i za račun nekog drugog poduzetnika. Taj drugi poduzetnik je voditelj obrade osobnih podataka, odnosno netko tko određuje način i svrhu obrade osobnih podataka. Ako voditelj ne obrađuje osobne podatke sam, već ih u njegovo ime i za njegov račun obrađuju i izvršitelji obrade, vrlo često njegovi podizvođači, voditelj i izvršitelj moraju sklopiti ugovor kojim reguliraju pitanja zaštite osobnih podataka.

Jedna od bitnih stavki tog ugovora je da izvršitelj voditelju jamči da su se izvršiteljevi radnici obvezali na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti. Na primjer, ako knjigovodstvene poslove za poduzetnika obavlja vanjski knjigovodstveni servis, poduzetnik knjigovodstvenom servisu prenosi neke od osobnih podataka svojih klijenata. U tom slučaju je poduzetnik voditelj obrade, a knjigovodstveni servis izvršitelj obrade jer izvršava obradu osobnih podataka u knjigovodstvene svrhe u ime i za račun poduzetnika.

U ovom bi slučaju poduzetnik i knjigovodstveni servis trebali sklopiti ugovor o obradi osobnih podataka, sadržaj kojeg je propisan GDPR-om. Ugovorom bi knjigovodstveni servis trebao jamčiti poduzetniku da su se zaposlenici knjigovodstvenog servisa obvezali na poštovanje povjerljivosti.

Zaposleniku bi u svakom trenutku trebalo biti jasno kako postupati s osobnim podacima klijenata što poslodavac može postići donošenjem pravilnika o zaštiti osobnih podataka. Pravilnikom bi, između ostalog, trebalo biti regulirano koje osobne podatke klijenata zaposlenik smije prikupljati, kojima smije imati pristup, smije li i na koji način smije brisati ili ispravljati netočne osobne podatke, kako treba postupati u slučaju da mu se netko od klijenata obrati sa zahtjevom za zaštitu nekog od prava koje jamči GDPR.

Pravilnikom se može regulirati i plan postupanja za slučajeve u kojima dođe do povrede osobnih podataka (eng. incident response plan) s obzirom na to da izvršitelj obrade o povredi treba obavijestiti voditelja obrade bez odgode, a voditelj obrade treba obavijestiti Agenciju za zaštitu osobnih podataka u roku od 72 sata od saznanja o povredi.

Poslodavci bi trebali interno regulirati i specifičnosti u njihovom poslovanju koje mogu imati učinak na zaštitu osobnih podataka klijenata. To, na primjer, mogu biti slučajevi kad zaposlenici koriste vlastita sredstva u svrhu izvršavanja radnih zadataka (tzv. “ponesi svoj uređaj” politika; eng. bring your own device ili “BYOD”), najčešće kad zaposlenici koriste osobne mobitele u svrhu pregledavanja poslovne e-pošte ili telefonskog komuniciranja s klijentima. Poslodavci koji njeguju BYOD politiku bi trebali interno regulirati koje podatke klijenata radnici smiju pohranjivati u svojim uređajima i na koji način to trebaju činiti, osigurati prijenose podataka s osobnog uređaja na službeni server poslodavca, što treba učiniti s osobnim podacima nakon što radnik prestane raditi kod poslodavca ili ako uređaj bude izgubljen ili ukraden i sl.

Postupanje poduzetnika koji zapošljavaju u više država

Poduzetnici koji posluju i zapošljavaju u više država trebaju voditi računa o specifičnostima nacionalnog prava države u kojoj zapošljavaju radnike. Potrebno je, između ostalog, voditi računa o tome predviđaju li zakoni i kolektivni ugovori posebne odredbe o videonadzoru radnih prostorija kao što je to slučaj u Hrvatskoj, postoji li obveza imenovanja službenika za zaštitu podataka u slučaju da je broj zaposlenih manji od 250, za koje je vrste obrada osobnih podataka zaposlenika potrebno provesti procjenu učinka na zaštitu osobnih podataka i sl. Koja god specifičnost nacionalnog prava bila, zaposlenici trebaju biti propisno informirani o obradi njihovih osobnih podataka te upućeni i educirani kako trebaju postupati s osobnim podacima klijenata poslodavca.

Autor: Maja Šutalo, odvjetnica, Information Privacy Professional/ Europe (CIPP/E).

Foto: privatna arhiva Maje Šutalo/ Unsplash/Pexels

Nema komentara

Komentirajte

Vaša email adresa neće biti objavljena.