Tehnički aspekt zaštite osobnih podataka zaposlenika

Još je grčki filozof Heraklit davnih dana izrekao danas dobro poznatu rečenicu: “Samo mjena stalna jest“. Oduvijek je to vrijedilo, a posebno danas. Svijet se nevjerojatno brzo mijenja, a promjene vrlo brzo postaju vidljive i u svakodnevnom životu pojedinca. Ništa drugačije nije ni kada je riječ o radnim mjestima i pojmu rada općenito. Dok je u prošlom stoljeću bilo normalno zadržati se dugi niz godina u jednom poduzeću, danas to više nije tako čest slučaj i promjena radnog mjesta, pa čak i zanimanja sve je učestalija. U tom kontektstu i evidencija radnog vremena postaje sve složenija, osobito s aspekta obrade osobnih podataka radnika.

Evidencija radnog vremena zakonska je obveza za sve poslodavce. Zakon o radu i Pravilnik o sadržaju i načinu vođenja evidencije o radnicima detaljno propisuju načine na koji se podaci moraju prikupljati, ali i podatke koji se moraju prikupljati. U nastavku ćemo odgovoriti na pitanja koja su nam često postavljana, a vezano za evidenciju radnog vremena: koje podatke je dozvoljeno prikupljati, koliko dugo se smiju ti podaci obrađivati te na koji način se moraju zaštititi i koji je to tehnički aspekt zaštite osobnih podataka?

Općenito o zaštiti osobnih podataka zaposlenika

Najveću zbunjenost i strah izaziva, kada je riječ o osobnim podacima, GDPR koji daje određena prava zaposlenicima vezana za prestanak obrade podataka i brisanje podataka kada ne postoji više potreba za obradom podataka. Međutim, niti jedan pojedinac (ili, kako je u GDPR-u definiran – ispitanik) ne može bez ograničenja tražiti promjene i/ili brisanje podataka iz sustava. Kada brisanje podataka nije opravdano i kada poslodavac može odbiti prihvatiti takav zahtjev? Na koji način čuvati podatke? Koji se zakonski okvir odnosi na osobne podatke u ljudskim resursima? U nastavku teksta odgovorit ćemo na ova pitanja.

Kada je riječ o osobnim podacima koji se tiču zaposlenika, više je pravnih akata koji uređuju ovo pitanje, a to su:

• Zakon o radu
• Pravilnik o sadržaju i načinu vođenja evidencije o radnicima
• Opća uredba o zaštiti podataka – Uredba (EU) 2016/679
• Zakon o provedbi Opće uredbe o zaštiti podataka
• Zakon o računovodstvu

Temeljni dokument koji regulira radno zakonodavstvo u Republici Hrvatskoj je Zakon o radu. Osim toga, kada je riječ o evidenciji zaposlenika bitno je istaknuti da Pravilnik o sadržaju i načinu vođenja evidencije o radnicima definira pojednosti koje se odnose na prikupljanje osobnih podataka zaposlenika.

GDPR pak kao, možemo reći krovni dokument, regulira obradu osobnih podataka pojedinca i propisuje potrebu zaštite osobnih podataka. S tim u vezi, kako bi obrada osobnih podataka bila zakonita i usklađena s GDPR-om, potrebno je imati valjanu pravnu osnovu za obradu podataka. Članak 6 GDPR-a definira u kojem slučaju je obrada osobnih podataka zakonita te se navodi da mora biti zadovoljen jedan od navedenih kriterija:

• postojanje privole
• nužnost obrade podataka zbog potrebe izvršavanja ugovora
• nužnost obrade zbog poštovanja pravnih obveza voditelja obrade
• obrada je dopuštena u slučaju zaštite ključnih interesa pojedinca ili neke treće osobe
• postojanje javnog interesa ili postojanje službene ovlasti voditelja obrade
• obrada je dopuštena i u slučaju postojanja legitimnog interesa voditelja obrade.

Dakle, kako bi obrada podataka bila u skladu s odredbama GDPR-a, potrebno je da zadovolji jedan od navedenih kriterija. Privola je samo jedan od nekoliko pravnih temelja i ono što je pogrešno je što se često privola traži i ondje gdje nije potrebna.

Važno je napomenuti da je, prema GDPR-u, obrada podataka kao takva vrlo široko definirana. Tako je, čak i samo čitanje podataka, definirano kao obrada, a da ne spominjemo prepisivanje podataka, pohrana, prikupljanje, izmjena i sl.

Zaštita podataka zaposlenika

Zakon o radu i Pravilnik o sadržaju i načinu vođenja evidencije o radnicima propisuju detalje vezano za vođenje evidencije o zaposlenicima. Spomenuti Pravilnik u članku 3 (vezano za podatke o zaposlenicima) te u članku 8 (vezano za radno vrijeme zaposlenika) propisuje koji su to podaci koji se moraju prikupljati. Za te podatke, nije potrebna privola zaposlenika već je tu pravni temelj poštovanje zakonskih obveza voditelja obrade (voditelj obrade je poslodavac koji prikuplja podatke zaposlenika).

Kada je riječ o rokovima do kada se podaci o zaposlenicima moraju čuvati, potrebno je istaknuti da Pravilnik propisuje rok od najmanje 6 godina za čuvanje podataka koji se odnose na:

• podatke o radnom vremenu zaposlenika (članak 8 Pravilnika)
• podatke o zaposlenicima koji rade na izdvojenom radnom mjestu (članak 12 Pravilnika)
• podatke o zaposlenicima čije radno vrijeme nije moguće mjeriti odnosno unaprijed odrediti ili ih zaposlenik samostalno određuje (članak 13 Pravilnika).

Iznimno, ukoliko dođe do sudskog spora, tada se podaci mogu i dulje čuvati, odnosno do okončanja spora i pravomoćne sudske presude.

Kada je riječ o prikupljanju podataka potencijalnih zaposlenika (primjerice, kod otvorenih prijava za posao ili kod prijave za natječaj, nigdje nije propisano koliko dugo se smiju takvi podaci čuvati. Međutim, mora u svakom slučaju postojati pravna osnova za prikupljanje podataka. U ovom slučaju je to isključivo privola za obradu podataka. Poslodavac bi trebao propisati rok u kojem se takvi podaci čuvaju. Primjerice, preporuka je da se propiše rok od godinu dana od zaključenja natječaja kako bi se izbjegli eventualni problemi oko mogućih žalbi na provedbu zapošljavanja. Nakon završetka natječaja ili propisanog roka na koji je kandidat za radno mjesto dao privolu, podatke je potrebno izbrisati.

Neki podaci se moraju trajno čuvati. Primjerice, Zakon o računovodstvu navodi da se isplatne liste te evidencija o plaćama za koje se plaćaju obvezni doprinosi čuvaju trajno, a isprave na temelju kojih su podaci uneseni u dnevnik i glavnu knjigu i/ili u pomoćne knjige, čuvaju najmanje 11 godina.

Posebno skrećemo pažnju da pazite na to da podaci moraju biti zaštićeni, odnosno da se moraju implementirati tehničke, kadrovske i organizacijske mjere zaštite. Ovo propisuje GDPR, ali posredno i Zakon o radu u svom članku 29 gdje se govori o zaštiti podataka zaposlenika. Poslodavac koji ima više od 20 zaposlenika treba imenovati osobu koja uživa povjerenje zaposlenika i koja, osim poslodavca, također ima pravo nadzirati prikupljaju li se podaci sukladno zakonu te postupa li se s podacima zaposlenika onako kako to pozitivni propisi nalažu. Također, treba se voditi računa o tome da se podaci koji se saznaju moraju trajno čuvati kao povjerljivi. Posebno upozoravamo da se ovaj dio ne treba miješati s potrebnom za Službenikom za zaštitu osobnih podataka, a čije ovlasti, prava i obveze definira GDPR u člancima 37 – 39. Osim toga, svakako je potrebno definirati tko ima uvid u koje podatke, tko ima pravo promjene podataka te je potrebno štiti podatke (primjerice, korisničkim imenom i lozinkom za pristup podacima te zapisnikom aktivnosti kako bi se moglo utvrditi tko je i kada mijenjao podatke zaposlenika). Poslodavci svakako moraju provjeriti jesu li obvezni imenovati službenika za zaštitu podataka te provesti edukaciju svojih zaposlenika vezano za obradu osobnih podataka.

Zaštita osobnih podataka postaje bitno područje i sve više će rasti svijest kako poslodavaca tako i pojedinaca o potrebi učinkovite zaštite podataka. Ne treba posebno isticati da je GDPR unio dodatni strah i paniku vezano za zaštitu osobnih podataka, posebno u kontekstu velikih kazni koje su zapriječene u slučaju kršenja odredbi GDPR-a. Ništa drugačije nije niti sa zaštitom podataka zaposlenika i u ovom području je potrebno posebno paziti na to koji podaci se smiju obrađivati, a koji ne i na temelju koje pravne osnove.

Želite li osigurati kvalitetnu evidenciju radnog vremena svojih zaposlenika u skladu s GDPR-om? Svakako nas kontaktirajte za više informacija i slanje neobvezujuće ponude.