thumbnail_Logo_4_vectorized
5 min čitanja

Podeli ovaj članak

Rate this Post

9 najčešćih zabluda poslodavaca u pogledu zaštite podataka o ličnosti

08/06/2022

GDPR standardi i Zakon o zaštiti podataka o ličnosti

Od stupanja na snagu Opšte uredbe EU o zaštiti podataka o ličnosti (GDPR) 2018. godine, u Srbiji je bilo mnogo nedoumica oko primene ovog akta u našoj državi. Imajući u vidu da je teritorijalno važenje GDPR-a veoma široko definisano, mnogi su smatrali da se primenjuje uvek kada se prikupljaju podaci lica koje ima državljanstvo članice EU. To je zabluda koju smo pokušali da otklonimo u blogu Kada se GDPR primenjuje u Srbiji, objašnjavajući uslove pod kojim Vaša kompanija treba da se uskladi sa GDPR-om.

Ipak, čak iako se na vas ne primenjuje GDPR, nažalost, niste izbegli obavezu da preispitate svoje procedure zaštite podataka o ličnosti.

Video nadzor na radnom mestu, monitoring mejlova zaposlenih, neobaveštavanje zaposlenih o prikupljanju podataka o ličnosti, monitoring društvenih mreža i nepravilna primena BYOD (bring your own device) politike, samo su neka od pitanja koja, kao poslodavac, morate da postavite u svetlu zaštite podataka o ličnosti zaposlenih.

U Republici Srbiji na snazi je Zakon o zaštiti podataka o ličnosti koji je donet 21.10.2018. godine, a počeo je da se primenjuje od 21.08.2019. godine (Zakon).

Iako je radna grupa zanemarila negativne komentare Evropske komisije, o čemu smo pisali u blogu GDPR u Srbiji – Ministarstvo pravde opet izgubljeno u prevodu, usvajanje ovog Zakona je ipak označilo značajan zaokret u zaštiti podataka o ličnosti. Njime se postavljaju daleko viši standardi zaštite u Srbiji, po ugledu na GDPR.

Poseban osvrt zaslužuje obrada podataka o ličnosti zaposlenih od strane poslodavca, što je oblast koju domaće firme najčešće potpuno zanemaruju.

Iskustvo nam je pokazalo da poslodavci imaju niz zabluda u vezi sa time šta je dozvoljeno u pogledu obrade podataka o ličnosti zaposlenih, kao i da su uglavnom nesvesni svojih obaveza u pogledu zaštite privatnosti ovih lica.

Nepoznavanje obaveza u pogledu obrade podataka o ličnosti zaposlenih, i postupanje suprotno obavezama koje u ovom smislu proizlaze za poslodavca, mogu rezultovati značajnom odgovornošću poslodavca, što smo u evropskoj praksi mogli da vidimo na primeru lanca modnih prodavnica H&M (Hennes & Mauritz) u Nemačkoj, kome je zbog nezakonite obrade podataka o ličnosti izrečena kazna u iznosu od čak 35.3 miliona evra. Iako ne u ovim razmerama, i domaći Zakon sadrži kaznene odredbe za slučaj neprodržavanja njime propisanih obaveza. Iz tog razloga smo odlučili da se u ovom tekstu bavimo najčešćim greškama poslodavaca, te da ponudimo rešenja u svetlu domaćeg zakona.

Zabluda br. 1: Moje društvo ne obrađuje podatke o ličnosti

Ovo je prva greška koju većina poslodavaca pravi. Ukoliko osnovna delatnost društva ne podrazumeva direktno prikupljanje podataka o ličnosti trećih lica (na primer, kao što bi bio slučaj sa prikupljanjem podataka o kupcima, klijentima, pacijentima i sl.), kompanije u Srbiji se često ne bave pitanjem zaštite podataka o ličnosti.

Ipak, istina je da svaka kompanija obrađuje podatke o ličnosti. Ukoliko to nisu podaci trećih lica u okviru osnovne delatnosti društva, svakako su podaci o zaposlenim licima. Naime, svaki poslodavac obrađuje podatke o ličnosti svojih zaposlenih lica.

Na primer: ime i prezime, adresa, kontakt podaci, broj bankovnog računa na koji ćete vršiti isplatu zarade zaposlenom, podaci o zaradama, podaci o porodičnom stanju… Sve se to smatra podatkom o ličnosti.

Osim toga, pod „obradom” podataka o ličnosti podrazumeva se svaka radnja preduzeta u vezi sa podacima kao što su: prikupljanje, beleženje, korišćenje, analiziranje i sl.

Očigledno je da već pri prvom kontaktu sa zaposlenim dolazi do obrade njegovih ličnih podataka… I to ne samo sa zaposlenima, već i sa kandidatima za zaposlenje, na koje poslodavci vrlo često zaborave. Takođe, pod terminom zaposleni u smislu ovog teksta se smatra, ne samo lice koje je u radnom odnosu već i pripravnici, lica na stručnoj praksi i osposobljavanju, kao i lica koja obavljaju rad van radnog odnosa.

Sve se to smatra obradom podataka o ličnosti pa tako morate i poštovati određene obaveze koje novi Zakon propisuje u tom smislu. Jedna od osnovnih obaveza jeste da sva lica obavestite o prikupljanju njihovih podataka o ličnosti pre nego što počnete sa obradom podataka o ličnosti.

Zabluda br. 2: Poslodavac ne mora da obavesti zaposlene o obradi njihovih ličnih podatka

Netačno. Poslodavac mora da obavesti zaposlene o obradi njihovih podataka o ličnosti. Ovo poslodavac treba učiniti u pisanoj formi. I ne samo to, obaveštenje mora da sadži sve neophodne elemente koje Zakon propisuje. Tako, zaposlenog morate obavestiti koje tačno podatke prikupljate, koja je svrha obrade, koji je pravni osnov obrade, način čuvanja podataka, da li ćete podatke iznositi u inostranstvo, rok čuvanja podataka, koja su prava zaposlenog i slično.

Dakle, postupak obrade podataka mora biti potpuno transparentan, a zaposleni mora da zna koje tačno podatke poslodavac obrađuje i u koje svrhe.

Zabluda br. 3: Dovoljno je da poslodavac pribavi saglasnost zaposlenog za obradu ličnih podatka

Sama činjenica da postoji mnoštvo tehničkih mogućnosti za obradu podataka o ličnosti, ne znači i da su svi zakonom dozvoljeni. Zakonit osnov je neophodan prilikom svake obrade podataka o ličnosti. Zakon predviđa čak 6 osnova za obradu podataka o ličnosti! Samo jedan od njih je saglasnost zaposlenog.

Šta više, saglasnost zaposlenog je najslabiji osnov obrade.

Sigurno se pitate zašto je to tako.

Prvo, saglasnost uvek može da se povuče. U tom slučaju, ukoliko vam je pravni osnov obrade bila saglasnost, a te saglasnosti više nema (jer lice čiji se podaci obrađuju u ovom slučaju ima pravo da povuče saglasnost u bilo kom trenutku), samim tim nemate ni pravo da nastavite da prikupljate podatke.

Drugo, telo koje se bavilo tumačenjem GDPR-a je uzimanje saglasnosti od zaposlenog čak okarakterisalo kao obmanjujuće za zaposlenog, te istaklo da je saglasnost potpuno nepodesan osnov za obradu podataka o ličnosti zaposlenih lica. Kada bolje razmislimo, takvo objašnjenje je i logično. Poslodavac uživa određeni autoritet, a zaposleni je ipak u podređenom položaju u odnosu na poslodavca pa se takva saglasnost zaposlenog ne bi mogla smatrati slobodno datom. Na primer, može se očekivati da će zaposleni, kao slabija strana, usled straha od gubitka posla ukoliko određeni podatak uskrati, potpisati saglasnost za obradu i onih podataka koje u drugačijim okolnostima ne bi podelio sa trećim licem.

Treće, saglasnost se traži samo u izuzetnim prilikama – na primer, želite svoje zaposlene da slikate u marketinške svrhe (na primer: radi štampanja publikacija, radi postavljanja fotografija na sajt i sl.). U tom slučaju je potrebna saglasnost, jer to nije neophodno za sam radni odnos i, prema tome, ne može da se svrsta u drugi zakonski osnov.

Četvrto, kada se daje saglasnost, ona se ne može dati uopšteno za sve obrade, već za tačno i precizno određene obrade. Na početku radnog odnosa sve vrste obrade nije moguće predvideti, pa i nije moguće dati saglasnost unapred.

Zabluda br. 4: Poslodavac može slobodno da nadgleda rad zaposlenog

Postoji mnoštvo načina na koji poslodavac može da nadgleda rad zaposlenog, od video nadzora pa sve do nadzora komunikacije. Svedoci smo nagle ekspanzije korišćenja najrazličitijih alata za praćenje rada i produktivnosti zaposlenih, do koga je došlo u periodu pandemije korona virusa. Iako se pandemiji nazire kraj, rad od kuće i nadzor zaposlenih putem ovih alata ne jenjava, već se, reklo bi se, i dalje proširuje. Međutim, da li je poslodavac potpuno slobodan i neograničen u tom nadzoru? Naravno da nije.

Ukoliko obrada podataka nije transparentna i ako ne postoje određena ograničenja, postoji visok rizik da se legitimni interes poslodavca pretvori u nepravično nadgledanje koje zadire u privatnost zaposlenih.

Zabluda br. 5: Poslodavac može slobodno da instalira video nadzor na radnom mestu

Da biste postavili video nadzor neophodno je da imate legitiman interes za tako nešto. Želite da obezbedite sigurnost Vaše imovine? To bi mogao biti legitiman osnov koji bi imao prevagu nad interesima privatnosti zaposlenog. Međutim, uvek morate postaviti pitanje da li postoji drugo sredstvo koje će manje ugrožavati privatnost zaposlenih, a kojim bi se postigli isti ciljevi. Na primer: postavljanje kamere tako da snima samo ulazna vrata, ali ne i radnu okolinu zaposlenih.

Ipak, sve i da u Vašem slučaju postoji osnov za postavljanje video nadzora, o tome morate da obavestite zaposlene.

Iskustvo nam je pokazalo da poslodavci slobodno uvode video nadzor, bez ikakvog obaveštenja zaposlenih. Napominjemo da nakon stupanja na snagu Zakona, više nije dovoljno da samo postoji nalepnica sa oznakom da je objekat pod video nadzorom, već će obaveštenje morati da sadrži sve elemente propisane Zakonom.

Zabluda br. 6 Poslodavac može slobodno da pregleda mejl zaposlenih

Poslovni mejl nije privatni, je ono što se obično čuje kao argument u prilog zabludi br. 6. Iako poslodavci mogu da nadziru komunikaciju koja se odvija putem poslovnog mejla, postavlja se pitanje da li je taj nadzor potpuno slobodan?

Tačno je da se mejlovi koji su poslati, odnosno primljeni preko mejl adrese poslodavca generalno ne smatraju privatnim. Poslodavac je slobodan da nadzire ovu komunikaciju, ali samo pod uslovom da postoji validan poslovni razlog za takvo postupanje.

U svakom slučaju, poslodavac bi trebalo da reguliše ova pitanja i da obavesti zaposlene, kako bi sve bilo transparentno.

Zabluda br. 7: BYOD politika ne ograničava poslodavca u kontroli

Sve je zastupljeniji trend BYOD (Bring your own device) koji podrazumeva da zaposleni koriste sopstvena sredstva za rad, na primer: telefon, laptop, tablet …

Tu se otvara pitanje suprotstavljenih intersa: zaštita poverljivih podataka poslodavca i nadzora rada zaposlenog, sa jedne strane i, zaštita podataka o ličnosti zaposlenog i članova njegove porodice, sa druge strane.

Sam GDPR ne vodi toliko računa o čijim se uređajima radi, tj. u čijem su vlasništvu – na prvom mestu je bezbednost i sigurnost podataka.

To ne znači da Vi kao poslodavac ne treba da brinete, budući da vlasništvo na uređaju može biti od velike važnosti, ako sadrži podatke za koje ste odgovorni. GDPR tretira podatke na računaru Vaše firme isto kao i kada se nalaze na personalnim uređajima zaposlenih – razmislite gde ćete pre čuvati Vaše poverljive podatke.

U svakom slučaju, ne može biti legitimno nadziranje putem uređaja koji mere broj otkucaja na tastaturi, aktivnost ekrana, snimanje preko web kamere i/ili praćenje zvuka putem mikrofona kako bi se pratile aktivnosti zaposlenih. Iako su ovakve tehnologije dostupne, zadiranje u privatnost je prevelika da bi se mogao opravdati ovakav nadzor, čak iako je oprema koju zaposleni koristi u vlasništvu poslodavca.

Zabluda br. 8: Poslodavac može slobodno da kontroliše službeni mobilni telefon zaposlenog

Ukoliko ste Vašim zaposlenim obezbedili službeni broj telefona, znači da se na Vas kao poslodavca vodi sam broj. To znači da kao vlasnik možete podneti zahtev za mesečni listing poziva pa ćete na taj način imati uvid u sve brojeve koje je zaposleni pozvao i koliko su ti pozivi trajali. Međutim, postavlja se pitanje šta ako zaposleni koristi taj telefon i u privatne svrhe? Da li ste povredili njegovo pravo na privatnost?

Pre svega, poslodavac bi mogao da zabrani upotrebu službenih telefona i službenog mejla za privatnu komunikaciju, ali nema pravo da zabrani zaposlenom primerenu količinu privatne komunikacije, dok je na radnom mestu.

Što se tiče snimanja razgovora zaposlenih, poslodavac ima to pravo samo ako je u opisu poslova zaposlenog komunikacija sa strankama, odnosno ako zaposleni rade u kol-centru ili tehničkoj podršci firme. Nasuprot tome, snimanje privatnih razgovora zaposlenog, predstavljalo bi kršenje privatnosti.

Zabluda br. 9: Poslodavac može slobodno da kontroliše zaposlene na društvenim mrežama

Sigurno ste se pitali da li je dozvoljeno da proveravate privatne naloge kandidata ili zaposlenih na društvenim mrežama.

Što se tiče kandidata, sam Zakon niti GDPR ne reguliše eksplicitno ovo pitanje. Ipak, telo koje se bavi tumačenjem GDPR-a je objavilo svoje mišljenje u kojem navodi da je moguće vršiti ovakve provere, ali pod sledećim uslovima:

1) Kandidati moraju biti obavešteni da ćete proveravati njihove profile na društvenim mrežama (čak iako su podešeni kao javni). 

2) Da poslodavac ima zakonit osnov za obradu takvih podataka.

3) Da postoji verovatnoća da profil sadrži informacije o sposobnostima i karakteristikama kandidata koje mogu biti veoma važne za zaposlenje, odnosno obavljanje posla.

4) Poslodavac mora da bude usaglašen sa svim principima koje propisuje GDPR.

Naravno, ovo mišljenje nije obavezujuće. Međutim, preporuke ovog tela imaju značajan uticaj na sudove i druge institucije EU koje primenjuju i tumače GDPR. Kako kod nas još uvek ne postoji relevantna sudska praksa, kao ni odgovarajuća tumačenja po ovom konkretnom pitanju, verujemo da će se naši sudovi kao i nadležni državni organi rukovoditi ovim mišljenima i stavovima. Zato je potrebno da poslodavci usklade svoje postupanje, kako bi se osigurali da je njihovo ponašanje u skladu sa domaćom i evropskom regulativom.

Što se tiče zaposlenih, mogla bi se primeniti ista pravila kao i za kandidate za zaposlenje.

Sa druge strane, postavlja se i pitanje korišćenja društvenih mreža od strane zaposlenih. Najbolje bi bilo da donesete odgovarajući Pravilnik kojim ćete regulisati korišćenje društvenih mreža i naloga od strane zaposlenih, kako biste usmerili njihovo ponašanje.

Uvek morate imati na umu da bilo kakve zabrane nisu moguće i da jedino što možete jeste da pokušate na ljubazan način da usmerite ponašanje Vaših zaposlenih.

Naravno, u svim ovim slučajevima morate voditi računa da ne zadirete u privatnost Vaših zaposlenih, kao i da obrađujete samo one podatke za koje postoji zakonski osnov. Potrebno je da zaposleni uvek budu unapred informisani o sprovođenju nadzora i obradi podataka, jer se u suprotnom, čak i u slučaju postojanja pravila zabrane upotrebe društvenih mreža, telefona i drugih sredstava komunikacije, poslodavac nalazi u opasnoj sferi narušavanja prava iz člana 8. Evropske konvencije o ljudskim pravima.

9 najčešćih zabluda poslodavaca u pogledu zaštite podataka o ličnosti – sumirano

Zaključak

Na osnovu svega možemo izvući nekoliko veoma važnih zaključaka.

Prvo, uvek se morate voditi principima neophodnosti i srazmernosti u svakom slučaju obrade podataka. Znači da morate voditi računa da mere koje primenjujete budu zaista neophodne i u srazmeri sa svrhom koju želite ostvariti.

Drugo, transparentnost i otvorenost je neophodna. Zaposleni moraju biti obavešteni o svakoj obradi podataka na jasan i razumljiv način.

Treće, obrada podataka mora biti fer prema Vašem zaposlenom.

Na kraju, ako Vas do sada nismo ubedili da uskladite Vaše postupanje sa domaćim Zakonom, podsećamo Vas da kazne za kršenje zakonskih obaveza idu čak do 2.000.000,00 dinara. Procenite sami da li se isplati preuzeti takav rizik.

Slični blogovi

Najnoviji blogovi

Niste sigurni odakle da krenete?

Ukoliko niste sigurni koji je prvi korak, zakažite konsultacije sa jednim od naših stručnjaka.

techlawafficiendo

privacywhisperer

cryptobuddy

evegreen

Ovo nije samo još jedan newsletter

Zaboravite dosadne pravničke analize i teoriju.
Saznajte za rokove i primajte vesti koje zaista pomažu vašem poslovanju.