Korona i biznis
20. prosinac 2019.

Smije li poslodavac gledati profil zaposlenika na Facebooku i sve male tajne upravljanja osobnim podacima

 foto Getty Images/istockphoto
piše Natalija Parlov Una
una@apicura.hr
piše Natalija Parlov Una [email protected]

Piše: Natalija Parlov Una

Opća uredba o zaštiti podataka – GDPR u velikom dijelu svojih odredbi uređuje i odnose između zaposlenika i poslodavaca. Postupanje s osobnim podacima zaposlenika detaljno je pojašnjeno u mišljenju Radne skupine iz članka 29. (WP29) koja se odnosi na obradu podataka na radnom mjestu.

Za većinu informacija koje poslodavci prikupljaju u svrhu vašeg zaposlenja ili ostvarenja olakšica i povlastica postoji zakonska osnova prema kojoj se moraju držati propisanih zakona, no na dio koji ne spada pod zakonsku osnovu često posežu za instrumentom zvanim 'legitimni interes'. Iako je on u određenim slučajevima opravdan, organizacije se sve učestalije znaju 'poskliznuti', pa i pretjerane ili zabranjene obrade podataka zaposlenika proglašavaju njime.

Prema smjernicama WP29, da bi obrada osobnih podataka u svrhu zaposlenja bila zakonita, poslodavci moraju biti svjesni sljedećeg:

  • za većinu obrade osobnih podataka zaposlenika privola ne može i ne bi trebala biti pravna osnova zbog prirode odnosa između poslodavca i zaposlenika,
  • poslodavac mora obraditi osobne podatke zaposlenika kako bi ispunio ugovorne obveze,
  • radnim pravom propisane zakonske obveze obrade osobnih podataka se moraju ispunjavati uz uvjet da je i zaposlenik jasno i potpuno informiran o takvoj obradi (osim ako se primjenjuje izuzeće),
  • ako se poslodavac poziva na legitimni interes, svrha obrade podataka mora biti zakonita, a odabrana metoda mora biti nužna, proporcionalna i provedena na što jednostavniji način te omogućivati poslodavcu da dokaže da je uspostavio odgovarajuće organizacijske i tehničke mjere te osigurao ravnotežu s temeljnim pravima i slobodama zaposlenika,
  • postupci obrade podataka moraju biti transparentni, a zaposlenici trebaju biti jasno i potpuno informirani o obradi njihovih osobnih podataka, uključujući postojanje bilo kakvog praćenja,
  • poslodavac mora donijeti odgovarajuće tehničke i organizacijske mjere kako bi osigurao sigurnost obrade.

Nadležno tijelo u Hrvatskoj je Agencija za zaštitu osobnih podataka koja je izdala mišljenja vezana uz prava zaposlenika i njihove najčešće upite. Izdvajamo neka od mišljenja AZOP-a s napomenom da u njihovom tumačenju ili nalaženju sličnosti s vlastitim sumnjama u kršenje prava svakako treba uzeti u obzir da je svaki slučaj različit i svaka dodatna informacija u odnosu na postojeće mišljenje može promijeniti njegov kontekst.

Prikupljanje i obrada javno dostupnih osobnih podataka potencijalnih zaposlenika

Javno dostupni profili pojedinaca (društvene mreže, op.ur.) vrlo često su potpuno otvoreni za pristup ovisno o postavkama koju je odabrao vlasnik računa. Nerijetko se događa da ovu mogućnost poslodavci koriste za provjeru potencijalnih zaposlenika. Međutim, poslodavci ne smiju obrađivati podatke potencijalnih zaposlenika samo zato što im je njihov osobni profil javno dostupan nego moraju voditi računa je li profil vezan uz poslovne ili privatne svrhe, jer to može biti ključni faktor u dokazivanju pravne osnove obrade. Poslodavac također ne smije prikupljati i obrađivati osobne podatke koji se ne odnose na zahtjeve koji su relevantni za obavljanje posla. Pojedinci se moraju na odgovarajući način obavijestiti o obradi njihovih podataka prije nego što su uključeni u proces zapošljavanja i nema pravne osnove zahtijevanja od potencijalnih zaposlenika da 'postanu prijatelji' ili da na drugi način omoguće pristup sadržaju njihovih osobnih profila.

Ako procjena rizika za određeno radno mjesto zahtijeva i procjenu specifičnih rizika koji se odnose na kandidata, a kandidat je za to radno mjesto primjereno informiran, poslodavac može iskoristiti pravnu osnovu legitimnog interesa za pregled javno dostupnih informacija o kandidatu.

Prikupljanje i obrada javno dostupnih osobnih podataka zaposlenika

Poslodavci ne smiju nadzirati niti profile (društvene mreže, op.ur.) svojih zaposlenika bez definirane pravne osnove jer ne postoji pravni temelj da od zaposlenika zahtijevaju da 'postanu prijatelji' poslodavca ili na drugi način omoguće pristup sadržaju njihovih profila. Poslodavac se može osloniti na pravnu osnovu legitimnog interesa samo ako je u stanju dokazati da je takva obrada jedina mogućnost, da nema drugih, manje invazivnih dostupnih sredstava i da su zaposlenici (bivši i sadašnji) bili adekvatno informirani o opsegu obrade.

Objava imena radnika koji su na bolovanju na oglasnoj ploči društva/poslodavca

Poslodavac nema pravnu osnovu u smislu GDPR-a za objavu osobnih podataka zaposlenika koji su na bolovanju na svojoj oglasnoj ploči i takvim bi se postupanjem značajno narušila privatnost zaposlenika.

Isticanje imena i prezimena radnika na računu ili na pločici/radnom odijelu

Uzimajući u obzir odredbe zakona koji definiraju obvezne elemente koje račun mora sadržavati s aspekta zaštite osobnih podataka, navođenje imena i prezimena zaposlenika koji obavlja poslove naplate na naplatnom uređaju predstavlja prekomjernu obradu osobnih podataka te za to ne postoji pravna osnova. Sukladno načelu razmjernosti i smanjenja količine podataka u postupku obrade osobnih podataka poslodavac je dužan voditi brigu o zaštiti privatnosti zaposlenika te bi bilo dovoljno da se istakne eventualno ime zaposlenika ili neka druga šifra koja ga ne može direktno identificirati.

Isto načelo treba primijeniti i u slučaju isticanja imena i prezimena zaposlenika na pločici/radnom odijelu gdje bi bilo dovoljno istaknuti primjerice samo ime ili interni broj pod kojim se zaposlenik vodi kod poslodavca.

Uvid u dosje zaposlenika škole od strane zaposlenika Sigurnosno-obavještajne agencije

U tim slučajevima primjenjuje se Zakon o sigurnosno–obavještajnom sustavu, koji kao poseban zakon, između ostalog, regulira i pitanja djelovanja SOA-e na području Republike Hrvatske. Nadzor nad primjenom ovog posebnog Zakona nije u nadležnosti Agencije za zaštitu osobnih podataka.

Ustezanje iznosa za sindikalnu članarinu iz plaće službenika uz njegovu privolu

Poslodavac ima pravnu obvezu sukladno Zakonu o radu ustezati iznos sindikalne članarine iz plaće službenika uz njegovu privolu te su poslodavci obvezni izvršavati sve svoje obveze iz posebnih propisa prema radnicima.

Poslodavac je dužan poduzimati odgovarajuće tehničke i organizacijske mjere zaštite, kako bi se podaci, a osobito posebna kategorija osobnih podataka, zaštitili od neovlaštene ili nezakonite obrade. Iz tog razloga je potrebno da svi zaposlenici koji u svom svakodnevnom radu obrađuju navedene osobne podatke o sindikalnom članstvu, također i sve druge osobne podatke ispitanika, potpišu izjavu o povjerljivosti koja ih obvezuje na čuvanje povjerljivosti osobnih podataka koje obrađuju.

Prikupljanje i obrada osobnih podataka zaposlenika pravnih subjekata od strane edukacijskog centra

Edukacijski centar pruža usluge edukacije kroz razne seminare te na taj način utvrđuje svrhe i načine obrade osobnih podataka polaznika. Sukladno čl. 4. Opće uredbe o zaštiti podataka edukacijski centar je u tom slučaju voditelj obrade i mora primjenjivati sve svoje obaveze propisane Uredbom. Posebno se primjenjuju obveze pružanja informacija pojedincima sukladno čl. 13. ako se podaci prikupljaju izravno od ispitanika ili čl. 14. ako su podaci zaposlenika dobiveni od njihovih poslodavaca koji ih upućuju na edukacije i koji su uslugu s edukacijskim centrom izravno ugovorili.

Uz sve gore navedeno, poslodavac je na vaš zahtjev obvezan dati vam informacije o svim podacima koje posjeduje o vama i prema tome vam osigurati i sva vaša prava propisana GDPR-om, a koja nisu drugačije definirana drugim nacionalnim zakonima koji ga obvezuju.

Vaša prava propisana GDPR-om su: pravo na transparentnost, pravo na pristup podacima, pravo na ispravak, pravo na brisanje, pravo na prenosivost, pravo na prigovor te pravo usprotiviti se donošenju automatiziranih pojedinačnih odluka (profiliranje).

Autorica: Natalija Parlov Una, doktorandica Međunarodnih odnosa i stručnjakinja za informacijsku sigurnost i bihevioralni digitalni marketing. Autorica je brojnih znanstvenih i stručnih radova iz područja informacijske sigurnosti, bihevioralnog marketinga, plasmana na vanjska tržišta i međunarodnih odnosa. Konzultantica je inozemnim i domaćim tvrtkama te institucijama u poljima procesne forenzike, informacijske sigurnosti, bihevioralne marketinške analitike te uvođenja sukladnosti s europskom pravnom regulativom. Auditorica je sustava upravljanja informacijskom sigurnosti (ISO 27001), sustava upravljanja kvalitetom (ISO 9001) te sustava upravljanja za suzbijanje podmićivanja (ISO 37001) najveće njemačke certifikacijske kuće TÜV NORD. Direktorica je dviju tvrtki: PARLOV Digital Intelligence za bihevioralni digitalni marketing te APICURA Business Intelligence za informacijsku sigurnost i usklađivanje s europskom pravnom regulativom. LinkedIn