Donošenjem i impelmentacijom GDPR regulative, odnosno Zakona o zaštiti podataka o ličnosti, podignuti su standardi u poslovanju kompanija. Aspekt koji je veoma značajan, a kome se ne pridaje velika pažnja su zaposleni i njihovo pravo na privatnost na radnom mestu. Veliki broj poslodavaca ne zna:
- da njihovo preduzeće vrši obradu personalnih podataka (zaposlenih, klijenata, kupaca, trećih strana)
- da ne smeju instalirati video-nadzor po sopstvenom nahođenju
- da je neophodno obavestiti zaposlene o njihovoj obradi podataka ili o instalaciji video nadzora
- da treba da postoji politika privatnosti kojom se detaljno regulišu svi aspekti zaštite podataka o ličnosti
- da je njihov nadzor nad radom zaposlenih, ipak, ograničen
OBRADA PODATAKA ZAPOSLENIH
Iako primarna delatnost Društva ne podrazumeva obradu podataka, ipak u svakom preduzeću postoji obrada podataka o ličnosti. Ne smemo da zaboravimo zaposlene (pripravnike, lica na stručnoj praksi) i kandidate, čiji se podaci obrađuju prvim kontaktom sa poslodavcem. Budući da obrada podrazumeva svaku radnju koja se preduzima u vezi sa podacima, to dalje povlači da se obradom smatra bilo koja aktivnost: prikupljanje, beleženje, snimanje, analiziranje, korišćenje, prosleđivanje, uništavanje podataka i drugo. Svaki podatak koji ima cilj da identifikuje lice je lični podatak. Dakle, Ime i prezime zaposlenog ili kandidata, svi podaci iz radne biografije (stručna sprema, iskustvo, slika), broj bankovnog računa zaposlenog na koji se vrši isplata mesečne zarade i slično.
Obaveštenje zaposlenog o obradi
Shodno Zakonu o zaštiti podataka o ličnosti, poslodavac je dužan da obavesti zaposlenog i sva druga lica (klijenti, kupci) o obradi njihovih podataka, pre nego što ona i nastupi. Najadekvatnije je da se obaveštenje za zaposlenog pripremi kao odvojeni dokument i da se priloži prilikom potpisivanja ugovora o radu sa svim neophodnim informacijama, vodeći računa da svi zakosnki uslovi budu ispunjeni. Neophodno je da zaposleni bude obavešten o tome koja je svrha obrade, pravni osnov, vrsta podataka koja se prikuplja, rok čuvanja, koja su njegova prava i drugo.
Osnovi za obradu podataka o ličnosti zaposlenih:
Zakon je predvideo šest osnova za obradu podataka, pri čemu ćemo navesti one koji se najčešće koriste i saglasnost kao najneadekvatniji osnov:
- Izvršenje zakonske obaveze – najčešće obrada podataka o ličnosti u vezi sa zakonskim obavezama propisanim Zakonom o radu ili Zakonom o evidencijama u oblasti rada, zakoni koji regulišu zdravstveno, penzijsko, invalidsko osiguranje.
- Izvršenje ugovorne obaveze – izvršenje obaveza po osnovu ugovora o radu sa ograničenim brojem podataka koji se obrađuju u navedene svrhe (ime i prezime, broj telefona, e –mail, bankovni račun i sl. )
- Legitiman Interes – retko ga treba koristiti kao osnov, a i kada se koristi najčešće je to u pogledu zaštite imovine i sigurnost poslodavca u pogledu poslovanja.
- Pristanak – najneadekvatniji osnov. Prvo, u samom odnosu poslodavac – zaposleni postoji odnos suprematije, pri čemu se saglasnost ne bi mogla smatrati slobodnom. Sa druge strane, treba imati u vidu da se saglasnost zaposlenog u svako doba može povući, a to znači da više ne postoji osnov za dalje prikupljanje podataka.
Kontrola zaposlenih / kandidata preko društvenih mreža
Veliki broj kompanija praktikuje proveravanje kandidata, pa čak i zaposlenih putem društvenih mreža. Treba imati u vidu da sam GDPR, odnosno ZZPL ne regulišu ovo pitanje, ipak postoje tumačenja u kontekstu GDPR-a i javno dostupnih informacija koje zaposleni / kandidati sami učine javno dostupnim putem socijalnih medija (facebook, twiter, instagram.) U tim slučajevima, jedini mogući osnov za obradu mogao biti legitiman interes, s tim da bi postojala obaveza da se pomenutoj kategoriji lica čiji se podaci obrađuju, dostavi obaveštenje o obradi podataka sa svim informacijama propisanim zakonom, posebno ako profil sadrži relevantne informacije za obavljanje posla (karakteristike kandidata, veštine, sposobnosti), a sama lica bi imala pravo da podnesu prigovor na takvu vrstu obrade podataka.
VIDEO NADZOR I ZAPOSLENI
Praksa je pokazala da poslodavci prema sopstvenom nahođenju uvode video- nadzor u svoje poslovne prostorije, pri čemu nisu u potpunosti informisani o nužnosti postojanja legitimnog interesa, obaveznosti izrade procene rizika, plana obezbeđenja sa planom tehničke zaštite, angažovanja eksterne organizacije sa licencom za projektovanje, instalaciju, puštanje u rad sistema tehničke zaštite.
Video nadzor je alat za prikupljanje (obradu) podataka o ličnosti kojim se u velikoj meri zadire u privatnost fizičkih lica, ali i druga prava i slobode koja su garantovane Ustavom RS, kao što su pravo na zaštitu podataka o ličnosti i pravo na poštovanje dostojanstva ličnosti na radu.
Da bi ovakva obrada podataka o ličnosti bila zakonita, mora da postoji i pravni osnov i opravdana svrha obrade koja je jasno određena i koja se ne može ostvariti bez poštovanja Zakona o zaštiti podataka o ličnosti kao i Zakona o privatnom obezbeđenju kojim je propisano da se planiranje sistema tehničke zaštite vrši na osnovu procene rizika u zaštiti lica, imovine i poslovanja.
Nadziranje hodnika i nadziranje kancelarija putem video nadzora nije isto. Da bi kancelarijski prostor bio pokriven kamerama, neophodno je da postoji imovina velike vrednosti ili da je u datoj kancelariji smešten glavni server. Postavljanje video nadzora u kancelarije u principu ne narušava privatnost zaposlenog, pod uslovom da su ispunjeni sledeći uslovi:
- Da je uočljiv na prvi pogled i da zaposleni znaju za njegovo postojanje (neophodno je da postoji obaveštenje da je objekat pod video-nadzorom i ko vrši datu uslugu obezbeđenja, sa svim neophodnim elementima)
- Da se ne nalazi na mestima kao što su svlačionice, toaleti, trpezarije, i slično
- Da snima samo video signal
Ukoliko video nadzor za cilj ima isključivo nadzor nad ponašanjem i radnim aktivnostima zaposlenih, takva obrada podataka o ličnosti nije dozvoljena jer se na taj način narušava privatnost zaposlenih.
Saglasnost zaposlenih nije neophodna niti je izričito proklamovana, ali moramo imati na umu da bi saglasnost zaposlenog bila neophodna kada se obrada podataka koristi u svrhe koje nisu predviđene ugovorom, kao što je na primer, upotreba njihove snimljene slike u reklamne svrhe kompanije.
Imajući u vidu prethodno navedeno, neophodno je da kompanija ima legitimni interes. Nakon utvrđivanja legitimnog interesa za obradu podataka o ličnosti, rukovalac – kompanija, bi trebalo da utvrdi obim neophodnosti ličnih podataka. To znači da podaci o ličnosti moraju biti adekvatni, relevantni, i ograničeni samo na ono što je u vezi sa svhom zbog koje se obrađuju, čime se poštuje načelo minimizacije propisano Zakonom.
Video nadzor bi se trebalo koristiti samo ukoliko se svrha obrade podataka o ličnosti ne bi mogla ostvariti drugim sredstvima koja su manje invazivna prema osnovnim pravima i slobodama lica čiji se podaci obrađuju.
Pored video nadzora rukovalac može da preduzme i druge mere za zaštitu imovine i lica, poput angažovanja obezbeđenja, instaliranja boljeg osvetljenja, osnaživanja kapija, ulaznih vrata – odnosno da izvrši detaljnu analizu i procenu i utvrdi da li ove mere za zaštitu od krađa i provala mogu na adekvatan način zameniti video nadzor.
Kompanijske kontrole zaposlenih su brojne, od kontrole pristupa (kontrola radnog vremena) pa sve do GPS sistema. Ovaj sistem kontrole je posebno koristan u voznim parkovima i komercijalnim vozilima, prevoznicima i dostavljačima, ali takođe počinje da se koristi, na primer, za komercijalnu opremu kojoj se na pametnim telefonima dodaje GPS aplikacija. Zaposleni koji upravlja vozilom mora biti obavešten o postojanju ovakvog ili bilo kog drugog tehničkog sistema koji se uvodi.