9 najčešćih zabluda poslodavaca u pogledu zaštite podataka o ličnosti

08.
Maj 2019.

Autor teksta: Jelena Mihić 

Tijana Žunić Marić, Advokatska kancelarija Žunić Novi Sad

Autor teksta: Tijana Žunić Marić

GDPR Srbija, Zaštita podataka o ličnosti

GDPR standardi konačno stigli u Srbiju

Od stupanja na snagu Opšte uredbe EU o zaštiti podataka o ličnosti (GDPR) u Srbiji je bilo mnogo nedoumica oko primene ovog akta u Srbiji. Imajući u vidu da je teritorijalno važenje GDPR-a veoma široko definisano, mnogi su smatrali da se primenjuje uvek kada se prikupljaju podaci lica koje ima državljanstvo članice EU.

Ipak, čak iako se na vas ne primenjuje GDPR, nažalost, niste izbegli obavezu da preispitate svoje procedure zaštite podataka o ličnosti.

Video nadzor na radnom mestu, monitoring mejlova zaposlenih, neobaveštavanje zaposlenih o prikupljanju podataka o ličnosti, monitoring društvenih mreža i nepravilna primena BYOD (bring your own device) politike samo su neka od pitanja koja, kao poslodavac, morate da postavite u svetlu novih, tektonskih promena u domaćem zakonodavnom okviru.

Posle dugog niza godina debatovanja oko nacrta Zakona o zaštiti podatka o ličnosti, dana 21.10.2018. godine donet je novi zakon o Zaštiti podataka o ličnosti. Za usklađivanje i pripremu za ovaj zakon ostavljeno je devet meseci tako da zakon počinje da se primenjuje od 21.08.2019. godine.

Zakon o zaštiti podataka ličnosti, Zakon o zaštiti podataka o ličnosti

Iako je radna grupa zanemarila negativne komentare Evropske komisije, o čemu smo pisali u prethodnom blogu GDPR u Srbiji – Ministarstvo pravde opet izgubljeno u prevodu, zakon ipak predstavlja značajan zaokret u zaštiti podataka o ličnosti. Njime se postavljaju daleko viši standardi zaštite u Srbiji, po ugledu na Opštu uredbu EU o zaštiti podataka o ličnosti (dalje: GDPR).

Poseban osvrt zaslužuje obrada podataka o ličnosti zaposlenih od strane poslodavca, što je oblast koju domaće firme najčešće potpuno zanemaruju.

Iskustvo nam je pokazalo da poslodavci imaju niz zabluda u vezi sa time šta je dozvoljeno, kao i da su uglavnom nesvesni svojih obaveza u pogledu zaštite privatnosti zaposlenih. Iz tog razloga smo odlučili da se u ovom tekstu bavimo najčešćim greškama poslodavaca, te da ponudimo rešenja u svetlu novog zakona.

Zabluda br. 1: Moje društvo ne obrađuje podatke o ličnosti

Ovo je prva greška koju većina poslodavaca pravi. Ukoliko osnovna delatnost društva ne podrazumeva direktno prikupljanje podataka o ličnosti trećih lica (na primer, kao što bi bio slučaj sa prikupljanjem podataka o kupcima, klijentima, pacijentima i sl.), kompanije u Srbiji se često ne bave pitanjem zaštite podataka o ličnosti.

Ipak, istina je da svaka kompanija obrađuje podatke o ličnosti. Ukoliko to nisu podaci trećih lica u okviru glavne (osnovne) delatnosti društva, svakako su podaci o zaposlenim licima. Naime, svaki poslodavac obrađuje podatke o ličnosti svojih zaposlenih lica.

Na primer, ime i prezime, adresa, kontakt podaci, broj bankovnog računa na koji ćete vršiti isplatu zarade zaposlenom, podaci o zaradama, podaci o porodičnom stanju… Sve se to smatra podatkom o ličnosti.

Osim toga, pod “obradom” podataka o ličnosti podrazumeva se svaka radnja preduzeta u vezi sa podacima kao što su: prikupljanje, beleženje, korišćenje, analiziranje i sl.

Očigledno je da već pri prvom kontaktu sa zaposlenim dolazi do obrade njegovih ličnih podataka…I to ne samo sa zaposlenima, već i sa kandidatima za zaposlenje, na koje poslodavci vrlo često zaborave. Takođe, pod terminom zaposleni u smislu ovog teksta se smatra, ne samo lice koje je u radnom odnosu već i pripravnici, lica na stručnoj praksi i osposobljavanju, kao i lica koja obavljaju rad van radnog odnosa.

Sve se to smatra obradom podataka o ličnosti pa tako morate i poštovati određene obaveze koje novi Zakon o zaštiti podataka o ličnosti propisuje u tom smislu. Jedna od osnovnih obaveza jeste da sva lica obavestite o prikupljanju njihovih podataka o ličnosti pre nego što počnete sa obradom podataka o ličnosti.

Zabluda br. 2: Poslodavac ne mora da obavesti zaposlene o obradi njihovih ličnih podatka

Netačno.  Poslodavac mora da obavesti zaposlene o obradi njihovih podataka o ličnosti. I ne samo to, obaveštenje mora da sadži sve neophodne elemente koje Zakon propisuje. Tako, zaposlenog morate obavestiti koje tačno podatke prikupljate, koja je svrha obrade, koji je pravni osnov obrade, način čuvanja podataka, da li ćete podatke iznositi u inostranstvo, rok čuvanja podataka, koja su prava zaposlenog i slično.

Dakle, postupak obrade podataka mora biti potpuno transparentan, a zaposleni mora da zna koje tačno podatke poslodavac obrađuje i u koje svrhe.

Jasno je da je ključ svega transparentnost i otvorenost. Najbolji način da to postignete je da svakom zaposlenom dostavite pisano obaveštenje, odnosno da donesete odgovarajući Pravilnik o zaštiti podataka o ličnosti. Važno je naglasiti da obaveštenje morate dostaviti zaposlenom pre, odnosno prilikom stupanja na rad zaposlenog, jer će sa Pravilnikom moći da se upozna tek kada stupi na rad i počne da obavlja posao.

Ukoliko ovu obavezu niste ispunili u odnosu na trenutno zaposlena lica, potrebno je da im takvo obaveštenje dostavite što je pre moguće, a svakako pre 21.08.2019. godine (dan stupanja na snagu novog Zakona o zaštiti podataka o ličnosti).

Zaštitia ličnih podataka, Zakon o zaštiti podataka o ličnosti

Zabluda br. 3: Dovoljno je da poslodavac pribavi saglasnost zaposlenog za obradu ličnih podatka

Sama činjenica da postoji mnoštvo tehničkih mogućnosti za obradu podataka o ličnosti, ne znači i da su svi zakonom dozvoljeni. Zakonit osnov je neophodan prilikom svake obrade podataka o ličnosti. Zakon predviđa čak 6 osnova za obradu podataka o ličnosti! U slučaju obrade podataka zaposlenih, poslodavac ima čak 4 pravna osnova na raspolaganju. Samo jedan od njih je saglasnost zaposlenog.

Šta više, saglasnost zaposlenog je najslabiji osnov obrade.

Sigurno se pitate zašto je to tako.

Prvo, saglasnost uvek može da se povuče. U tom slučaju kada vam je pravni osnov obrade bila saglasnost, a te saglasnosti više nema, samim tim nemate ni pravo da nastavite da prikupljate podatke.

Drugo, telo koje se bavilo tumačenjem GDPR-a1 (tj. propisa u oblasti zaštite podataka o ličnosti) je uzimanje saglasnosti od zaposlenog čak okarakterisalo kao obmanjujuće za zaposlenog, te istaklo da je saglasnost potpuno nepodesan osnov za obradu podataka. Kada bolje razmislimo, takvo objašnjenje je i logično. Poslodavac uživa određeni autoritet, a zaposleni je ipak u podređenom položaju u odnosu na poslodavca pa se takva saglasnost zaposlenog ne bi mogla smatrati slobodno datom.

Treće, saglasnost se traži samo u izuzetnim prilikama – na primer, želite svoje zaposlene da slikate u marketinške svrhe (na primer, radi štampanja publikacija, radi postavljanja fotografija na sajt i sl.). U tom slučaju je potrebna saglasnost, jer to nije neophodno za sam radni odnos i, prema tome, ne može da se svrsta u drugi zakonski osnov.

Četvrto, kada se daje saglasnost, ona se ne može dati uopšteno za sve obrade, već za tačno i precizno određene obrade. Na početku radnog odnosa sve vrste obrade nije moguće predvideti, pa i nije moguće dati saglasnost unapred.

Zabluda br. 4: Poslodavac može slobodno da nadgleda rad zaposlenog

Postoji mnoštvo načina na koji poslodavac može da nadgleda rad zaposlenog, od video nadzora pa sve do nadzora komunikacije. Međutim, da li je poslodavac potpuno slobodan i neograničen u tom nadzoru? Naravno da nije. Ukoliko obrada podataka nije transparentna i ako ne postoje određena ograničenja, postoji visok rizik da se legitimni interes poslodavca pretvori u nepravično nadgledanje koje zadire u privatnost zaposlenih.

Hajde da pogledamo koje sve vrste nadzora postoje i pod kojim uslovima je dozvoljen.

video nadzor zakon, kamere na radnom mestu, video nadzor gdpr

Zabluda br. 5: Poslodavac može slobodno da instalira video nadzor na radnom mestu

Da biste postavili video nadzor neophodno je da imate legitiman interes za tako nešto. Želite da obezbedite sigurnost Vaše imovine? To bi mogao biti legitiman osnov koji bi imao prevagu nad interesima privatnosti zaposlenog. Međutim, uvek morate postaviti pitanje da li postoji drugo sredstvo koje će manje ugrožavati privatnost zaposlenih, a kojim bi se postigli isti ciljevi. Na primer, postavljanje kamere tako da snima samo ulazna vrata, ali ne i radnu okolinu zaposlenih.

Ipak, sve i da u Vašem slučaju postoji osnov za postavljanje video nadzora, o tome morate da obavestite zaposlene.

Iskustvo nam je pokazalo da poslodavci slobodno uvode video nadzor, bez ikakvog obaveštenja zaposlenih. Napominjemo da nakon 21.08.2019. godine neće biti dovoljno da samo postoji nalepnica sa oznakom da je objekat pod video nadzorom, već će obaveštenje morati da sadrži sve elemente propisane novim Zakonom o zaštiti podataka o ličnosti.

Takođe, ne bi se moglo opravdati postavljanje video nadzora u toaletima ili kantinama. Teško da bi se našlo i opravdanje video nadzora kancelarija u kojima zaposleni obavljaju svoj rad. Za tako nešto se ne bi mogao naći legitiman razlog, jer bi se obavljanje rada pretvorilo u Velikog brata ili Orvelov roman.

Treba naglasiti da saglasnost zaposlenih na video nadzor ne bi bio valjan pravni osnov, jer bi doveo do paradoksalnih situacija. To bi značilo da kada bi makar jedan zaposleni povukao svoju saglasnost za praćenje putem video nadzora, morali biste ukinuti video nadzor na svim mestima. To bi bila apsurdna situacija i naravno da u tim slučajevima pravni osnov obrade podataka, odnosno video nadzora ne bi bila saglasnost već drugi zakonom predviđen osnov. Ovo je još jedna potvrda da je saglasnost najslabiji osnov obrade podataka o ličnosti.

email monitoring

Zabluda br. 6 Poslodavac može slobodno da pregleda mejl zaposlenih

Poslovni email nije privatni, je ono što se obično čuje kao argument u prilog zabludi br. 6. Iako poslodavci mogu da nadziru komunikaciju koja se odvija putem poslovnog emaila postavlja se pitanje da li je taj nadzor potpuno slobodan?

Tačno je da se mejlovi koji su poslati odnosno primljeni preko mejl adrese poslodavca generalno ne smatraju privatnim. Poslodavac je slobodan da nadzire ovu komunikaciju, ali samo pod uslovom da postoji validan poslovni razlog za takvo postupanje. Mnoge kompanije ovo pravo regulišu tako što zaposlenima daju pisano obaveštenje da njihov poslovni mejl nije privatni i da se vrši njihova kontrola od strane poslodavca. Međutim, čak iako ne postoji pisano obaveštenje o nadzoru mejlova, to ne znači da ne postoji legitimnost u postupanju poslodavca.

U svakom slučaju, poslodavac bi trebalo da reguliše ova pitanja i da obavesti zaposlene, kako bi sve bilo transparentno.

Takođe, telo koje se bavi tumačenjem GDPR-a1 ističe da bi bilo najbolje uvesti odgovarajuće procedure (npr. da zaposleni čuvaju kopije mejlova, da naprave poseban folder za privatne mejlove kako poslodavac ne bi slučajno otkrio njihovu sadržinu i slično). Na taj način bi poslodavac preduzeo sve neophodne mere, a osnov obrade bi bilo postojanje legitimnog interesa poslodavca, a ne pristanak zaposlenog.

Zabluda br. 7: BYOD politika ne ograničava poslodavca u kontroli

Sve je zastupljeniji trend BYOD (Bring your own device) koji podrazumeva da zaposleni koriste sopstvena sredstva za rad, na primer telefon, laptop, tablet…

Tu se otvara pitanje suprotstavljenih inetersa: zaštita poverljivih podataka poslodavca i nadzora rada zaposlenog, sa jedne strane, i zaštita podataka o ličnosti zaposlenog i članova njegove porodice, sa druge strane.

Sam GDPR ne vodi toliko računa o čijim se uređajima radi, tj. u čijem su vlasništvu – na prvom mestu je bezbednost i sigurnost podataka.

To ne znači da Vi kao poslodavac ne treba da brinete, budući da vlasništvo na uređaju može biti od velike važnosti, ako sadrži podatke za koje ste odgovorni. GDPR tretira podatke na računaru Vaše firme isto kao i kada se nalaze na personalnim uređajima zaposlenih – razmislite gde ćete pre čuvati Vaše poverljive podatke.

U svakom slučaju, ne može biti legitimno nadziranje putem uređaja koji mere broj otkucaja na tastaturi, aktivnost ekrana, snimanje preko web kamere, i/ili praćenje zvuka putem mikrofona kako bi se pratile aktivnosti zaposlenih. Iako su ovakve tehnologije dostupne, zadiranje u privatnost je prevelika da bi se mogao opravdati ovakav nadzor, čak iako je oprema koju zaposleni koristi u vlasništvu poslodavca.

Ukoliko oprema nije u vlasništvu poslodavca, već zaposlenog, postavljanje bilo kojeg uređaja za neko od gore navedenih oblika nadzora bi se čak graničilo sa kompjuterskim kriminalom. Poslodavac mora da osigura da njegovi serveri ili aplikacije slučajno ne koriste personalne podatke zaposlenih. Takođe, mora se voditi računa i o članovima porodice koji možda koriste uređaje Vašeg zaposlenog. Ako pratite i članove porodice zaposlenog bez njihovog znanja, to predstavlja ozbiljno kršenje privatnosti. Ukoliko postoji ovakva mogućnost, obavezno morate obavestiti zaposlenog.

zakon o zaštiti ličnih podataka,

Zabluda br. 8: Poslodavac može slobodno da kontroliše službeni mobilni telefon zaposlenog

Ukoliko ste Vašim zaposlenim obezbedili službeni broj telefona, znači da se na Vas kao poslodavca vodi sam broj. To znači da kao vlasnik možete podneti zahtev za mesečni listing poziva pa ćete na taj način imati uvid u sve brojeve koje je zaposleni pozvao i koliko su ti pozivi trajali. Međutim, postavlja se pitanje šta ako zaposleni koristi taj telefon i u privatne svrhe? Da li ste povredili njegovo pravo na privatnost?

Pre svega, poslodavac bi mogao da zabrani upotrebu službenih telefona i službenog mejla za privatnu komunikaciju, ali nema pravo da zabrani zaposlenom primerenu količinu privatne komunikacije, dok je na radnom mestu.

Što se tiče snimanja razgovora zaposlenih, poslodavac ima to pravo samo ako je u opisu poslova zaposlenog komunikacija sa strankama, odnosno ako zaposleni rade u kol-centru ili tehničkoj podršci firme. Takođe, zaposleni u svakom slučaju moraju biti obavešteni o tome, bilo kroz ugovor o radu ili posebno obaveštenje.

Zakon o zaštiti podataka

Zabluda br. 9: Poslodavac može slobodno da kontroliše zaposlene na društvenim mrežama

Sigurno ste se pitali da li je dozvoljeno da proveravate privatne naloge kandidata ili zaposlenih na društvenim mrežama.

Što se tiče kandidata, sam Zakon niti GDPR ne reguliše eksplicitno ovo pitanje. Ipak, telo koje se bavi tumačenjem GDPR-a1 je objavilo svoje mišljenje u kojem navodi da je moguće vršiti ovakve provere, ali pod sledećim uslovima:

1) Kandidati moraju biti obavešteni da ćete proveravati njihove profile na društvenim mrežama (čak iako su podešeni kao javni). Na primer, to možete učiniti tako što će kandidati koji konkurišu preko Vašeg sajta dobiti odgovarajuće obaveštenje.

2) Da poslodavac ima zakonit osnov za obradu takvih podataka.

3) Da postoji verovatnoća da profil sadrži informacije o sposobnostima i karakterisitikama kandidata koje mogu biti veoma važne za zaposlenje odnosno obavljanje posla.

4) Poslodavac mora da bude usaglašen sa svim principima koje propisuje GDPR.

Naravno, ovo mišljenje nije obavezujuće. Međutim, preporuke ovog tela imaju značajan uticaj na sudove i druge institucije EU koje primenjuju i tumače GDPR. Kako kod nas još ne postoji relevantna sudska praksa, kao ni odgovarajuća tumačenja, verujemo da će se naši sudovi kao i nadležni državni organi rukovoditi ovim mišljenima i stavovima. Zato bi bilo najbolje da poslodavci počnu da usklađuju svoje postupanje, kako bi se osigurali da je njihovo ponašanje u skladu sa domaćom i evropskom regulativom.

Što se tiče zaposlenih, mogla bi se primeniti ista pravila kao i za kandidate za zaposlenje.

Sa druge strane, postavlja se i pitanje korišćenja društvenih mreža od strane zaposlenih. Najbolje bi bilo da donesete odgovarajući Pravilnik kojim ćete regulisati korišćenje društvenih mreža i naloga od strane zaposlenih kako biste usmerili njihovo ponašanje. Na primer, možete urediti pitanje da li zaposleni mogu da iznose lično mišljenje koje je u vezi sa delatnošću Vaše firme i ako mogu, pod kojim uslovima. Takođe, možete regulisati i situaciju da li i pod kojim uslovima zaposleni mogu da koriste društvene mreže tokom radnog vremena. Uvek morate imati na umu da bilo kakve zabrane nisu moguće, i da jedino što možete jeste da pokušate na ljubazan način da usmerite ponašanje Vaših zaposlenih.

Naravno, u svim ovim slučajevima morate voditi računa da ne zadirete u privatnost Vaših zaposlenih, kao i da obrađujete samo one podatke za koje postoji zakonski osnov. Potrebno je da zaposleni uvek budu unapred informisani o sprovođenju nadzora i obradi podataka, jer se u suprotnom, čak i u slučaju postojanja pravila zabrane upotrebe društvenih mreža, telefona i drugih sredstava komunikacije, poslodavac nalazi u opasnoj sferi narušavanja prava iz člana 8. Evropske konvencije o ljudskim pravima.

snimanje radnika na radnom mestu, pravilnik o video nadzoru, video nadzor zaposlenih

Zaključak

Na osnovu svega možemo izvući nekoliko veoma važnih zaključaka.

Prvo, uvek se morate voditi principima neophodnosti i srazmernosti u svakom slučaju obrade podataka. Znači da morate voditi računa da mere koje primenjujete budu zaista neophodne i u srazmeri sa svrhom koju želite ostvariti.

Drugo, transparentnost i otvorenost je neophodna. Zaposleni moraju biti obavešteni o svakoj obradi podataka na jasan i razumljiv način.

Treće, obrada podataka mora biti fer prema Vašem zaposlenom.

Na kraju, ako Vas do sada nismo ubedili da uskladite Vaše postupanje sa novim Zakonom, podsećamo Vas da kazne za kršenje zakonskih obaveza idu čak do 2.000.000 dinara. Procenite sami da li se isplati preuzeti takav rizik.

1 https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
2 https://edps.europa.eu/data-protection/data-protection/reference-library/access-ecommunications-data-when-employee-absent_en
3 Article 29 Data protection Working party, Opinion 2/2017 on data processing at work

Najnovije:

NEWSLETTER

NEWSLETTER