GDPR i evidencija radnog vremena
Evidencija radnog vremena u kontekstu GDPR-a
Evidencija radnog vremena jedan je od ključnih segmenata kada je riječ o poslovnim procesima svake organizacije. Što je organizacija veća, to je i vođenje ovih procesa kompleksnije i zahtjevnije. S aspekta zaštite osobnih podataka, ovaj dio poslovanja školski je primjer prikupljanja velike količine osobnih podataka kroz dulje razdoblje, a neki od tih podataka su i posebno osjetljivi podaci. Stupanjem na snagu Opće uredbe o zaštiti podataka (poznatija kao GDPR), tvrtke moraju još više paziti na obradu osobnih podataka.
Obrada osobnih podataka prema GDPR-u, vrlo je široko definirana i uključuje niz segmenata, od uvida u osobne podatke pa do unosa, promjene i brisanja podataka.
GDPR definira značenje pojedinih termina koji su važni kako bi se shvatila srž ovog dokumenta. Ključan termin u GDPR-u je pojam Voditelja obrade. Voditelj obrade je definiran kao fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka (članak 4 GDPR-a). Nadalje, važan pojam je izvršitelj obrade koji se definira kao fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade. S druge strane, Ispitanik je svaka ona osoba čiji se osobni podaci obrađuju (dakle, nad čijim se podacima vrši uvid, promjena podataka, unos novih podataka i sl.).
Za početak, važno je naglasiti da GDPR propisuje više pravnih osnova, odnosno slučajeva kada se obrada smatra zakonitom. U kontekstu obrade podataka povezanih s evidencijom radnog vremena posebno je važna privola, postojanje legitimnog interesa te obrada podataka ako je takvo što nužno radi poštovanja pravnih obveza voditelja obrade.
Voditelji obrade imaju zakonsku obvezu voditi evidenciju o radnicima. Naime, u Zakonu o radu i Pravilniku o sadržaju i načinu vođenja evidencije o radnicima propisana je obveza poslodavaca za vođenjem evidencije. Osim toga, taksativno su navedene i kategorije osobnih podataka koje poslodavac mora prikupljati od svojih zaposlenika. Upravo zato, poslodavci moraju paziti da ne prikupljaju više informacija no što je to zakonski definirano. Naime, GDPR posebnu pozornost posvećuje tome da se izbjegne prekomjerno prikupljanje podataka. Što bi to konkretno značilo u području evidencije radnog vremena? To znači da bi poslodavci trebali prikupljati one podatke koji su navedeni u Zakonu o radu i Pravilniku o sadržaju i načinu vođenja evidencije o radnicima. Za prikupljanje ostalih podataka svakako bi trebalo napraviti procjenu jesu li poslodavcu zaista ti podaci potrebni.
Razvoj novih tehnologija ima utjecaj i na evidentiranje radnog vremena. Često se postavlja pitanje je li dozvoljena upotreba biometrije u poduzećima te na koji je to način regulirano. Ovaj dio podrobnije je objašnjen u Zakonu o provedbi Opće uredbe o zaštiti podataka, a koji kaže da je biometrija dozvoljena kao mogućnost evidentiranja podataka o zaposlenicima, ali je u tom slučaju potrebna privola radnika. Kako tu odredbu provesti u praksi? GDPR nalaže da privola treba biti dobrovoljno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose. Dakle, u tom kontekstu, poslodavci bi svakako trebali u privoli djelatnicima objasniti zašto traže takvu vrstu podatka od njih te im, u slučaju da radnici ne pristanu, ponuditi alternativu (primjerice, evidenciju radnog vremena karticom). U svakom slučaju, privola mora biti slobodno izražena i ne smije se uvjetovati (primjerice, otkazom radnicima koji odbiju dati privolu). Od početka primjene GDPR-a, Francuska je kaznila Google zbog toga što nije poštivao načela GDPR-a, a između ostalog i zato što njihove privole nisu bile jasne i jednostavne za korisnike. Iznos kazne koji Google zbog toga treba platiti je 50 milijuna eura i više je nego jasan poziv svima koji obrađuju podatke da usklade svoje poslovanje s GDPR-om.
Opća uredba o zaštiti osobnih podataka donosi brojne izazove koji se odnose na učinkovito upravljanje osobnim podacima. Evidencija radnog vremena svakako je područje koje zahtijeva obradu velike količine podataka i to na dulje razdoblje. Upravo zato, poslodavci bi posebnu pažnju trebali posvetiti ovom dijelu poslovnog procesa i paziti da njihovi procesi budu u skladu s GDPR-om i pratećim zakonodavstvom. Kvalitetno upravljanje podacima izazov je kojem se sve više pridaje pozornost, a očekuje se i da će svijest pojedinaca o ovom području biti sve veća. Na svima onima koji na bilo koji način obrađuju osobne podatke velika je odgovornost da podignu razinu pravne i tehnološke zaštite pojedinaca kako bi postigli zadovoljavajuće rezultate na ovom području. Stoga, zaštitu osobnih podataka ne treba promatrati kao teret već kao priliku da se interni procesi poduzeća dovedu na veću razinu.
Špica je svoj sustav za evidenciju radnog vremena i kontrolu pristupa (Time&Space sustav v10.30) uskladila s odredbama GDPR-a i pomaže Voditeljima obrade podataka da usklade svoje poslovanje s pozitivnim zakonodavstvom Republike Hrvatske i s GDPR-om.
Sukladnost se osigurava na više načina, a neki od njih su: mogućnost implementacije zapisnika evidencije obrade podataka pomoću kojeg se može vidjeti tko je i kada obrađivao pojedini osobni podatak; u sustavu je moguće dodijeliti različite razine pristupa osobnim podacima (primjerice, za Upravu, kontroling, voditelje organizacijskih jedinica ili za same djelatnike i sl.); podaci su zaštićeni pristupnim korisničkim imenima i lozinkama; moguće je u sustavu definirati automatsko brisanje podataka (primjerice, po isteku 6 godina od prestanka radnog odnosa – definirano u Pravilniku o sadržaju i načinu vođenja evidencije o radnicima) i sl. Zaštita podataka postaje sve važnija i u tom kontekstu i tvrtka Špica Sustavi d.o.o. osobitu pozornost posvećuje ovom kompleksnom pitanju kako bi osigurala dosljednu provedbu svih pravila koja nalažu zakoni koji se primjenjuju u Republici Hrvatskoj i koji će se odraziti na poslovanje svih tvrtki i na prava i obveze pojedinaca.
Naš sustav za evidenciju radnog vremena potpuno je usklađen s GDPR-om. Pročitajte više o Time&Space-u ili nas kontaktirajte na kristian.belobrajdic@spica.com za više informacija.