U radnom odnosu poslodavac mora obrađivati određene osobne podatke radi ispunjenja zakonskih obveza i upravljanja radnim procesima. Međutim, “treba nam” nije isto što i “smijemo”. Kombinacija GDPR-a i radnog prava postavlja jasne granice: svrha, nužnost, razmjernost i zaštita dostojanstva radnika.
Osnovni HR podaci
Zakonom o radu kao posebnim zakonom propisana su prava radnika vezano uz radni odnos kao i obveze poslodavca, a vezano uz obradu osobnih podataka radnika. Članak 29. Zakona o radu propisuje da se osobni podaci radnika smiju prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ovim ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom.
Primjeri obrada podataka koje se temelje na pravnoj obvezi poslodavca su: evidencija o radnicima i radnom vremenu, prijava na obvezno mirovinsko i zdravstveno osiguranje, isplata plaće, isplata naknada, zaštita na radu, sanitarni pregled, posebni stručni uvjeti (obrazovanje, usavršavanje, školovanje).
Pravilnik o sadržaju i načinu vođenja evidencije o radnicima propisuje, između ostalog, opseg osobnih podataka koji poslodavac mora prikupljati u svrhu vođenja evidencije o radnicima. Poslodavac evidenciju o osobama iz članka 4. Pravilnika počinje voditi datumom početka rada osoba kod poslodavca i ažurno je vodi do prestanka rada tih osoba kod poslodavca te istu čuva najmanje šest godina od dana prestanka njihovog rada.
Obrada posebnih kategorija podataka
Člankom 9. Opće uredbe uređena je obrada posebnih kategorija osobnih podataka te je stavkom 1. propisano da se zabranjuje obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu, te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca. Stavkom 2. navedenog članka propisane su iznimke od zabrane obrade.
Primjeri obrade posebnih kategorija podataka u radnim odnosima su: bolovanje (privremena nesposobnost za rad), trudnoća, dojenje, profesionalna bolest, ozljeda na radu, ostvarivanje prednosti pri zapošljavanju (invaliditet, posebne potrebe), vjeroispovijest, članstvo u sindikatu.
Primjerice, poslodavac ima ovlaštenje tražiti podatak o vjeroispovijesti radnika ako radnik koristi neradni dan u vrijeme vjerskog blagdana. U konkretnom slučaju zakonit pravni temelj za obradu postoji u smislu članka 6. stavka 1. točke c) (poštivanje pravnih obveza voditelja obrade), dok je iznimka od načelne zabrane obrade posebnih kategorija osobnih podataka sadržana u članku 9. stavku 2. točki b) Opće uredbe o zaštiti podataka (obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti).
Privola kao pravni temelj u kontekstu radnog odnosa
Privola često nije adekvatan pravni temelj za obradu osobnih podataka u radnom odnosu te se pojavljuje kao pravni temelj u iznimnim situacijama. Privola radnika može biti pravni temelj za obradu osobnih podataka koje poslodavac nije obvezan prikupljati i obrađivati sukladno posebnim propisima (primjerice: osobna fotografija radnika na internetskoj stranici tvrtke, poput fotografije s team buildinga).
Legitimni interes poslodavca kao obrade osobnih podataka radnika
Poslodavac je dužan dokazati postojanje pravnog temelja, odnosno legitimnog interesa, i to provođenjem testa (razmjernosti) legitimnog interesa. Legitimni interes može predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade podataka.
Primjeri legitimnih interesa u radnim odnosima su: zaštita osoba i imovine, GPS nadzor, mrežna i informacijska sigurnost (jer može doći do praćenja ponašanja radnika). Primjerice, zaposlenici u call centrima razumno očekuju da će razgovor biti sniman u svrhe usavršavanja.
Načelo transparentnosti
Poslodavac bi trebao informirati radnike o podacima koje prikuplja, svrsi i pravnoj osnovi obrade podataka, pravima radnika vezano uz osobne podatke i sl., posebnim dokumentom, primjerice “Obavijest o obradi osobnih podataka radnika”, Pravilnikom o radu, drugim internim pravilnicima (pravilnik o videonadzoru, pravilnik o informacijskoj sigurnosti itd.).
Radnika treba informirati u svim fazama zapošljavanja: u selekcijskom postupku, tijekom trajanja radnog odnosa (osobito ukoliko dolazi do izmjena u obradi) i na zahtjev radnika. Radnike treba informirati jasnim, sažetim i jednostavnim jezikom razumljivim prosječnom ispitaniku. Za strane radnike uputno je prevesti dokumente na engleski jezik.
Nekoliko primjera za kraj
1. Poslodavac je dužan voditi brigu o opsegu osobnih podataka koji se obrađuje na način da se u svrhu zaštite privatnosti radnika na pločici/radnom odijelu ističu samo oni osobni podaci koji su nužni za identifikaciju radnika. Stoga bi na pločici/radnom odijelu radnika bilo dovoljno istaknuti, primjerice, samo ime i/ili broj pod kojim se radnik u društvu vodi kod poslodavca.
2. Kod oznake operatera kao bitnog sadržaja računa pitanje je isticanja imena i prezimena radnika na računu. S aspekta zaštite osobnih podataka, račun koji ispostavlja pravna osoba u dijelu u kojem je navedena „oznaka operatera“, u konkretnom slučaju ime i prezime radnika koji obavlja poslove naplate na naplatnom uređaju, predstavljao bi prekomjernu obradu osobnih podataka te za isti ne nalazimo pravnu osnovu u citiranim zakonima. Poslodavac je dužan voditi brigu o opsegu osobnih podataka koji se obrađuje na način da se u svrhu zaštite privatnosti radnika istakne eventualno ime radnika ili šifra.
3. Poslodavci ne smiju poticati radnike na aktivnost na društvenim mrežama obzirom da navedeno ne može biti opravdano legitimnim interesom te se time zadire u temeljno ljudsko pravo slobode izražavanja.
Zaključno
Za HR compliance je ključna ravnoteža: ispuniti zakonske obveze poslodavca, ali i zaštititi privatnost i dostojanstvo radnika. Najbolji rezultat daje kombinacija dobrih politika, ograničenja pristupa i jasnih rokova.
