Premda sve tvrtke nužno ne obrađuju osobne podatke klijenata i korisnika te ne žive od osobnih podataka, svaka obrađuje podatke zaposlenika i kandidata za posao. Propisi iz GDPR-a štite i takve podatke, što znači da taj dio poslovanja mora biti usklađen s GDPR-om. U ovome ćemo se članku pozabaviti s nekoliko situacija u kojima treba pripaziti na nove propise.
Zaposlenje i ugovori o radu
Vaša je obaveza radnika po zaposlenju prijaviti na mirovinsko i zdravstveno osiguranje. Za to vam ne treba privola radnika jer je to vaša zakonska obaveza; što ujedno predstavlja i zakonsku osnovu obrade. Ako zaposlenik ne želi dati svoje podatke u svrhu prijave, ne može sklopiti ugovor o radu. Zaposlenik u sam ugovor mora unijeti važeće i točne podatke, kako je već uređeno Zakonom o radu. Smijete tražiti i podatke koji su nužno za ispunjavanje odnosno utvrđivanje prava i obaveza kako je utvrđeno vašim Pravilnikom o radu, ako je isti u skladu sa zakonom.
Ako nemate osnovu za prikupljanje i obradu podataka u Zakonu u radu, onda je možete temeljiti ili na privoli ili na potrebi sklapanja ugovora, primjerice radi sklapanja određenih vrsta ugovora s vanjskim suradnicima, fizičkim osobama.
Životopisi
Životopise kandidata smijete obrađivati u svrhu selekcije za radno mjesto (bilo na pravnoj osnovi radnji koje prethode sklapanju ugovora ili privoli, ovisno za što se opredijelite). Smatra se da istekom natječaja, tj. zapošljavanjem kandidata više nemate daljnja prava na obradu tih životopisa te ih prema načelu smanjenja količine podataka morate obrisati i/ili uništiti.
Ipak, poželite li te podatke zadržati i nakon isteka natječaja, morate tražiti izričitu privolu kandidata i to adekvatno dokumentirati, najbolje pismenim putem. Unatoč privoli, ako kandidat naknadno zatraži da uklonite njegove podatke, to ste dužni učiniti. To vrijedi u svim slučajevima za koje ne postoji zakonska obveza čuvanja dokumentacije na određeni vremenski rok. Zakonski propis u ostalim slučajevima ima prvenstvo nad GDPR-om i treba ga poštovati.
Evidencije podataka
Stupanjem GDPR-a na snagu u Hrvatskoj prestaju vrijediti sljedeći propisi, kako je navedeno u Zakonu o provedbi Opće uredbe o zaštiti podataka:
- Zakon o zaštiti osobnih podataka („Narodne novine“, broj 103/03, 118/06, 41/08 i 130/11),
- Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka („Narodne novine“, broj 105/04)
- Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka („Narodne novine“, broj 139/04).
To u prijevodu znači da propisani obrasci za vođenje zbirke osobnih podatka nisu potrebni, a prema Općoj uredbi ne postoje propisi koji bi zahtijevali redovito dostavljanje podataka nadzornom tijelu. Evidenciju ipak morate voditi unutar tvrtke i na zahtjev je dati na uvid nadzornom tijelu. Ovdje vrijede opća pravila za vođenje evidencije koja pokrivaju osnovni sadržaj opisa, a to su, uz ostale propise:
- Kontakt podaci osobe unutar tvrtke
- Detaljno objašnjena svrha obrade – u ovom slučaju, vođenje evidencije prema Pravilniku
- Kategorije osobnih podataka koje se koriste
- npr. ime i prezime, datum rođenja, OIB, spol, prebivalište, državljanstvo, podaci o radnom odnosu i stručnom obrazovanju, datum početka rada, vrsta ugovora, datum i razlog prestanka radnog odnosa, mirovanje radnog odnosa, mjesto rada – NE navoditi konkretne podatke, već kategorije, jer jednim zapisom obuhvaćate aktivnosti evidentiranja svih radnika
- Posebne kategorije osobnih podataka (osjetljivi podaci), ako ih ima – zdravstveni podaci, religijska pripadnost i ostali osjetljivi podaci kojima se regulira status radnika
- Podaci o prijenosu podataka u treće zemlje
- Razdoblje zadržavanja podataka
- Pregled sigurnosnih i tehničkih mjera za zaštitu podataka
- Dodatni podaci, ako su potrebni (postojanje podataka maloljetnika i sl.)
- Popis svih kategorija primatelja tih podataka (tko ima uvid u podatke)
- Pravna osnova za obradu (nije obavezno, ali preporučamo)
Za podatke radnika, dakle, vrijede isti propisi kao i za sve ostale osobne podatke koje obrađujete, uz Pravilnik opisan ispod. Vođenje evidencije bit će manje formalizirano, barem u ovom pogledu jer se ukidaju obrasci zbirke osobnih podataka. Ovom ste evidencijom, u biti, evidentirali aktivnost vođenja evidencije o radnicima – koje i dalje mora biti. Sve podatke koje prikupite prema Pravilniku o sadržaju i načinu vođenja evidencije o radnicima („Narodne novine“, broj 73/17) obrađivat ćete, na primjer, na temelju zakonske obaveze.
Podatke o zaposlenicima u pravilu morate čuvati kao dokumentaciju trajne vrijednosti.
Evidencija radnog vremena
Prema gore navedenom pravilniku, na tjednoj se osnovi moraju popunjavati podaci o radnicima i radnom vremenu.
Pravilnikom je obuhvaćen širok spektar podataka koje ste zakonski dužni zabilježiti, na što imate pravo po osnovi zakonske obaveze. Potrebno je biti osobito pažljiv kod vođenja ostalih vrsta podataka koji mogu biti vezani uz radni odnos, a potencijalno spadaju u posebno zaštićene vrste podataka (potvrde o trudnoći, bolovanjima, smanjenju radne sposobnosti, invalidnosti i sl.).
Podatke o evidenciji radnog vremena dužni ste čuvati najmanje šest godina, a u slučaju sporova do okončanja spora.
Nadzor zaposlenika
Mjere nadzora zaposlenika u određenoj su mjeri potrebne i u svrhu popunjavanja evidencije radnog vremena – to uključuje evidenciju dolaska, odlaska, dnevne stanke itd. Ipak, to se treba obaviti na minimalno invazivan način. Ne preporučujemo korištenje biometrijskih podataka (čitača prstiju i sl.) zbog povjerljive prirode podataka prikupljenih na taj način. Ako postoje manje invazivni načini (a postoje, poput npr. identifikacijskih kartica), morate ih koristiti.
Smijete ograničiti pristup određenim mrežnim stranicama na uredskim računalima tijekom radnog vremena, ali nemate pravo pretraživati povijest preglednika zaposlenika, jer se to smatra zadiranjem u privatnost. Podaci o pretraživanjima i posjećenim stranicama smatraju se osobnim podacima, a za to vam u načelu treba privola zaposlenika.
Situacija s privolama zaposlenika u ovom je slučaju posebno škakljiva jer se zaposlenik u odnosu na poslodavca smatra podređenim; ako privola uključuje elemente pritiska ili ako ne postoji alternativa davanju privole, takva privola nije valjana. Najbolje se zapitajte: ako se osjećate prinuđenim tako nadzirati zaposlenika, što on uopće radi kod vas?
Nadzor možete temeljiti na legitimnom interesu, ali općenito gledano dozvoljen je samo u iznimnim situacijama poput sumnje na mobing ili otkrivanje povjerljivih podataka. Te uvjete morate definirati internim propisima s kojima svi zaposlenici moraju biti upoznati. Bez povoda nije dozvoljeno pregledavati ni sadržaj elektroničke pošte zaposlenika, čak i ako se radi o poslovnom računu.
U ovo ne ulaze posebni propisi poput obaveze slanja radnika na sistematske preglede ili provjera na utjecaj alkohola ili opojnih droga, što se uređuje Zakonom o zaštiti na radu.
Mjere zaštite
Zaposlenici u svakom trenutku trebaju imati pristup evidencijama podataka koje ih se tiču. To je važno i zbog njihove pravne obaveze pravovremenog ispravka netočnih podataka. Ako podatke obrađujete na temelju privole, obavezno ih čuvajte, jer to vam je jedini dokaz da podatke obrađujete na zakoniti način.
Općenito, preporučujemo da podatke vodite u elektroničkom obliku, uz redovitu izradu sigurnosnih kopija. Pristup bazama podataka zaštitite lozinkama. Najbolje je odrediti jednu osobu koja će voditi evidenciju i imati joj izravan pristup, uz direktora ili voditelja odjela zaduženog za vršenje nadzora. Ako dio podataka ipak odlučite zadržavati u pisanom obliku, neka to bude u zaključanim ormarima kojima pristup imaju samo osobe kojima su podaci neposredno potrebni. Ne zaboravite ni na pomalo banalne stvari poput zaključavanja arhiva ili ureda.
Te podatke u pravilu nije dozvoljeno slati trećim stranama bez izričitog dopuštenja zaposlenika, osim ako je zakonski drugačije propisano. Izbjegavajte podatke pohranjivati na Internetu. Podatke za koje više nemate zakonsku osnovu obrade trebate obrisati, sukladno načelu smanjenja količine podataka. (Obaveza pohrane podataka na određeno razdoblje smatra se zakonskom obvezom, pa takve podatke ne smijete brisati).
Nova papirologija?
Budući da dolazak GDPR-a stavlja izvan snage nekoliko zakona, ne čudi da postoje određene promjene. Ipak, usudili bismo se reći da se količina birokracije, barem u ovom pogledu, poprilično smanjila. Uz ispravnu praksu zaštite podataka i ispravnu metodologiju evidentiranja sigurno ćete uspješnije voditi evidencije o obradi. Veseli nas činjenica da ćete podatke uvelike moći obrađivati kao i do sad, ali nemojte ignorirati novi zakon kao što je dosta tvrtki radilo s postojećim: nadzor će neupitno biti stroži, a kazne se penju i do 20 milijuna eura.
Članak ažuriran 21. svibnja s detaljnijim podacima o vođenju evidencije radnika.