Jedan od glavnih sektora u kojem se pojavljuju pitanja zaštite podataka i gde bi zaista trebalo staviti akcenat je zapošljavanje. Okolnosti na relaciji poslodavac-zaposleni, posebno zavisnost i neravnoteža moći između uključenih strana, moraju se uzeti u obzir prilikom sprovođenja opštih principa zakona o zaštiti podataka. U nastavku teksta dajemo pregled glavnih zakonskih stavova u okviru nacionalnih zakona na području jugoistočne Evrope koje se tiču zaštite podataka u radnim odnosima.
Svedoci smo da se često krše odredbe u pogledu prikupljanja, čuvanja, uopšte korišćenja podataka zaposlenih, posebno posredstvom tehnologije video nadzora. Pa da vidimo kako se tretiraju podaci zaposlenih i kojim zakonima su regulisani u Regionu. Gde se razlikujemo od naših suseda i ko ima najnaprednije mehanizme zaštite? Pregled po državama:
- Rumunija
- Bosna i Hercegovina
- Češka Republika
- Srbija
- Bugarska
- Grčka
- Albanija
Grčka
Grčki zakon 4624/2019, koji primenjuje određene odredbe GDPR-a, koristi opciju koju predviđa GDPR (član 88 stav 1) da se detaljnije regulišu konkretni slučajevi obrade, kao što je obrada podataka u kontekstu zapošljavanja. Član. 27 ovog zakona, takođe uzimajući u obzir radno-pravni princip koji poslodavcu nameće opštu obavezu da zaštiti svoje zaposlene, predviđa da poslodavci mogu obrađivati lične podatke (postojećih ili ranijih) zaposlenih i kandidata, pod uslovom da je to apsolutno neophodno: a ) radi odlučivanja da li će zaključiti ugovor o radu; ili b) u cilju izvršenja takvog ugovora o radu nakon njegovog zaključenja.
Posebne kategorije ličnih podataka mogu se obrađivati samo ako je to neophodno za ostvarivanje prava/ispunjavanje obaveza koje proizilaze iz zakona o radu, socijalnog osiguranja i zakona o socijalnoj zaštiti, i pod uslovom da legitimna prava nosioca podataka u vezi sa obradom nisu preovlađujuća. Saglasnost može samo izuzetno poslužiti kao odgovarajuća pravna osnova za obradu podataka zaposlenog (u skladu sa ustaljenom sudskom praksom Grčke uprave za zaštitu podataka – HDPA), pod uslovom da je ocenjena kao slobodno data.
U odnosu na CCTV sisteme u radnim prostorima, njihova upotreba je dozvoljena samo ako je to neophodno radi zaštite ljudi i dobara, i uz eksplicitne relevantne informacije zaposlenima, dok se lični podaci prikupljeni iz takvih sistema ne mogu koristiti za ocenu rada zaposlenih.
U kontekstu i za potrebe rada na daljinu, HDPA je izdao dodatne Smernice koje predviđaju dopunske mere koje poslodavci moraju preduzeti kako bi osigurali zaštitu ličnih podataka zaposlenih tokom rada na daljinu, kao i poštovanje važećeg zakona o zaštiti podataka.
Albanija
Albansko zakonodavstvo o zaštiti podataka trenutno je u procesu usklađivanja sa zakonodavstvom Evropske unije, pošto je Albanija u fazi pregovora za članstvo u EU.
Zakon br. 9887/2008 (od 10.03.2008) o zaštiti ličnih podataka, sa izmenama i dopunama (na osnovu zakona br. 48/2012. Poverenik za zaštitu podataka o ličnosti IDP („nadzorni organ“), definiše opšte podatke o ličnosti i posebne kategorije podataka o ličnosti na prilično sličan način kao GDPR, iako GDPR sadrži neke konkretnije odredbe, npr. precizne definicije genetskih, zdravstvenih i biometrijskih podataka, koji nisu izričito obuhvaćeni albanskim zakonodavstvom.
Predmet Zakona br. 9887/2008 je donošenje pravila za zaštitu i zakonsku obradu podataka o ličnosti. Delokrug Zakona je obrada podataka o ličnosti, u celini ili delimično, automatskim putem, kao i obrada drugim sredstvima podataka o ličnosti, koji se čuvaju u sistemu arhiviranja, po principu poštovanja i garancije prava i slobode, osnovnih ljudskih prava i posebno, pravo na privatnost. Zakon se primenjuje na sve javne i privatne institucije, kao i na pojedince, kada obrađuju lične podatke, izuzev obrade podataka od fizičkog lica u isključivo lične ili porodične svrhe.
Prema Zakonu o zaštiti podataka o ličnosti, podnošenje Obaveštenja o obradi podataka od strane rukovaoca podataka popunjavanjem odgovarajućeg Obrasca, je zakonska obaveza, koja služi ne samo Povereniku u svojoj nadzornoj nadležnosti, već i rukovaocima podataka, da obezbede visok nivo transparentnosti i pouzdanosti prema subjektima podataka. Osnovna svrha obaveštenja i objavljivanja informacija u relevantnom registru je obezbeđivanje transparentnosti za javnost, informisanje ili davanje mogućnosti javnosti da sazna ko obrađuje lične podatke, kao i druge detalje aktivnosti obrade, kao što su svrha obrade.
Bosna i Hercegovina
Osnovni zakon koji uređuje zaštitu ličnih podataka u Bosni i Hercegovini je Zakon o zaštiti ličnih podataka („Službeni glasnik Bosne i Hercegovine“, br. 49/2006, 76/2011 i 89/2011 – ispr.) (u daljem tekstu: Zakon). Zakon se primenjuje na teritoriji Bosne i Hercegovine, odnosno Federacije Bosne i Hercegovine i Republike Srpske, a nadzor nad primenom Zakona poveren je Agenciji za zaštitu ličnih podataka (APDP) u Bosni i Hercegovini. APDP je pripremio nacrt novog Zakona o zaštiti podataka o ličnosti na osnovu Opšte uredbe o zaštiti podataka (Uredba (EU) 2016/679) (u daljem tekstu: GDPR). U tom okviru će se rešavati dalja primena GDPR-a.
U pogledu obrade podataka zaposlenih, relevantan je član 16. Zakona, koji propisuje da podaci o ličnosti koje obrađuje rukovalac podataka ili obrađivač podataka predstavljaju poslovnu tajnu, a da ih poslodavac čuva u tajnosti i nakon prestanka radnog odnosa. Što se tiče posebnih kategorija ličnih podataka (kako je definisano u članu 3. Zakona), član 9. predviđa da je njihova obrada zabranjena, osim ako je, između ostalog, takva obrada neophodna radi ispunjavanja obaveze ili ostvarivanja posebnih prava rukovaoca podataka u oblasti radnog prava i u obimu koji je zakonom ovlašćen.
Osim Zakona, pitanje zaštite podataka u sektoru zapošljavanja regulisano je i Zakonom o radu Republike Srpske („Službeni glasnik RS“ br. 1/2016, 66/2018 i 91/2021 – Odluka br. Ustavni sud Republike Srpske broj U-66/20 od 29. septembra 2021. godine i 119/2021), a posebno člana 102. po kojem zaposleni ima pravo da izvrši uvid u sve dokumente koji sadrže njegove lične podatke, a koje čuva ili obrađuje poslodavac, kao i da zahteva brisanje podataka koji su nebitni za posao koji obavlja i ispravku netačnih podataka.
Podaci o ličnosti koji se odnose na zaposlene ne mogu biti dostupni trećem licu, osim u slučajevima i pod uslovima utvrđenim zakonom ili pod uslovom da je to neophodno za dokazivanje prava i obaveza iz radnog odnosa. Lične podatke zaposlenih može prikupljati, obrađivati, koristiti i dostavljati trećim licima samo ovlašćeno lice zaposlenog poslodavca u skladu sa propisom kojim se uređuje zaštita podataka o ličnosti. Zakon o radu Federacije Bosne i Hercegovine (Službene novine Federacije Bosne i Hercegovine broj 26/16 od 04.04.2016.) u članu 30. propisano je da se lični podaci zaposlenih ne mogu prikupljati, obrađivati, koristiti ili dostavljati trećim licima, osim ako je to zakonom određeno ili ako se smatra potrebnim radi ostvarivanja prava i obaveza iz radnog odnosa. Nepoštovanje ovog člana od strane poslodavca/pravnog lica ima za posledicu izricanje novčanih kazni u rasponu od 1.000,00 KM do 3.000,00 KM.
Bugarska
Od 2. marta 2019. bugarski Zakon o zaštiti ličnih podataka (BPDPA) je izmenjen u skladu sa GDPR-om. Kako je BPDPA (od donošenja 2002. godine) bio među najstrožim pravnim okvirima za zaštitu podataka i pre stupanja na snagu GDPR-a, pomenute izmene su rezultirale blažim zahtevima od onih u prethodnoj verziji. Glavni efekat koji izaziva obavezna primena GDPR-a povezan je sa pojačanim sankcijama predviđenim u njoj.
Kada je u pitanju radni odnos, čini se da kompanije koje obrađuju lične podatke u svojstvu poslodavaca podležu povećanim obavezama pre uvođenja GDPR-a. Zahtevi sadržani u BPDPA uključuju odredbe koje se tiču radnih odnosa, kao što su sledeće:
- Poslodavci imaju pravo da sami odrede rok čuvanja ličnih podataka kandidata za posao. Ovaj period, međutim, ne može biti duži od šest meseci od datuma završetka postupka zapošljavanja;
- Poslodavci će usvojiti pravila i procedure u vezi sa uzbunjivanjem, ograničenjima u korišćenju internih resursa firme, kontrolom pristupa, radnim vremenom i radnom disciplinom.
Vodeći nadzorni organ je Bugarska komisija za zaštitu ličnih podataka (PDPC) koja prati i olakšava obradu i prenos ličnih podataka. PDPC je takođe odgovoran za akreditaciju tela koja nadgledaju kodekse ponašanja, i nastavlja sa sertifikacijama odgovornih tela, koja izdaju, pregledaju i povlače sertifikate o zaštiti podataka, pečate i oznake. PDPC takođe odobrava kodekse ponašanja u određenim sektorima. Odgovornosti PDPC-a uključuju vođenje seminara i obuka službenika za zaštitu podataka (DPO).
Umesto registra rukovaoca podataka, PDPC vodi posebne registre za: rukovaoce i obrađivače koji su imenovali DPO, akreditovana tela za sertifikaciju, kodekse ponašanja, kršenja GDPR-a i zakona sa sprovedenim merama (interni registar), kao i obaveštenja o povredi ličnih podataka (interni registar).
Drugi organi povezani sa KPZS su Inspektorat pri VSS . Inspektorat prima sve pritužbe, zahtdeve i signale u vezi sa obradom ličnih podataka od strane sudova, istrage i tužilaštva, koje se više neće podnositi KPZK. Inspektorat, kao i PDPC, ima pravo da izrekne sankcije za kršenje GDPR-a do 20 miliona evra.
Češka
Češki Zakon o zaštiti podataka ne uključuje posebnu odredbu o zaštiti podataka zaposlenih u Češkoj. Većina takvih pravila za obradu ličnih podataka zaposlenih uključena je u Zakon br. 262/2006., Zakon o radu.
Zakon o radu sadrži nekoliko pravila o zakonitoj obradi ličnih podataka zaposlenih od strane poslodavca kao rukovaoca. Ova pravila regulišu:
- lične podatke zaposleni moraju dostaviti svojim poslodavcima pre zasnivanja radnog odnosa (član 30 (2) Zakona o radu)
- obaveza poslodavca da evidentira radno vreme zaposlenog (član 96 (1) Zakona o radu)
- pravo poslodavca da prati upotrebu opreme od strane zaposlenih u lične svrhe (član 316 (1) Zakona o radu)
- ograničenje poslodavca da nadgleda privatnost zaposlenog bez značajnog razloga (član 316 (2) Zakona o radu)
Zakonom o radu dalje je regulisana zaštita privatnosti zaposlenih. Zabranjuje poslodavcu da zahteva i dalje obrađuje informacije koje nisu direktno vezane za obavljanje poslova i za radni odnos. Potencijalni poslodavac treba da koristi podatke kandidata samo u svrhu donošenja odluke o zapošljavanju lica. Ako ova svrha više nije prisutna, poslodavac mora obrisati ili uništiti podatke. Poslodavac ne sme da koristi podatke iz CV-a u druge svrhe osim zapošljavanja, na primer za direktni marketing.
Poslodavac ima pravo da instalira sisteme za nadzor i kontrolu nad automobilima preduzeća bez saglasnosti zaposlenih samo kada je to neophodno zbog prirode obavljanja profesionalne delatnosti i mera bezbednosti. Ako se takvi sistemi koriste, poslodavac mora da obavesti zaposlenog o njihovom postojanju i uslovima korišćenja. Takođe postoji potreba da se korišćenje ovih sistema reguliše u formi internih pravila i podaci se moraju obrađivati samo u svrhe predviđene pravilima.
Rumunija
U Rumuniji je Zakonom br. 190/2018 implementirane odredbe GDPR-a. Što se tiče radnih odnosa, član 5. ovog Zakona posebno reguliše obradu podataka o ličnosti prikupljenih putem elektronskih uređaja/video nadzora u kontekstu radnog prava.
Prema navedenom članu 5. prikupljanje ličnih podataka o zaposlenima od strane poslodavca i putem elektronskih uređaja/video nadzora na radu dozvoljeno je samo ako poslodavac može da dokaže da je njegov legitimni interes potpuno opravdan i da ima prednost nad pravima i slobodama zaposlenih. Legitimni interes poslodavca ne treba mešati sa komercijalnim interesom, što znači da se dokazivanje komercijalnog interesa poslodavca ne smatra dovoljnim za opravdanje legitimnog interesa. Pravni osnov za obradu podataka o ličnosti u radnom odnosu kada se radi o elektronskim uređajima/video nadzoru je najčešće legitimni interes poslodavca jer se saglasnost zaposlenih smatra nevažećim zbog odnosa subordinacije između poslodavca i njegovog zaposlenih.
Prilikom prikupljanja podataka o ličnosti putem elektronskih uređaja/video nadzora, poslodavac mora da dokaže i da je pokušao svim drugim dostupnim i manje nametljivim sredstvima da zaštiti svoj legitimni interes, takva sredstva nisu uspela i da je video nadzor/nadzor preko elektronskih uređaja zaposlenih jedino odgovarajuće i delotvorno sredstvo za takvu zaštitu. Zaposleni moraju biti prethodno obavešteni o prikupljanju ličnih podataka na radnom mestu, a poslodavac je dužan da pre sprovođenja prikupljanja ličnih podataka putem elektronskih uređaja/video nadzora razgovara sa sindikatom ili sa predstavnicima zaposlenih, u zavisnosti od slučaja.
Lične podatke dobijene korišćenjem video nadzora ili drugih elektronskih uređaja poslodavac može čuvati samo u skladu sa i srazmerno odgovarajućoj svrsi obrade podataka, ali ne duže od 30 dana, osim u slučajevima izričito regulisanim zakonom ili na drugi način temeljno opravdanim.
Srbija
Zakon o zaštiti podataka o ličnosti Republike Srbije ( Službeni glasnik RS br. 87/2018 ) ne sadrži posebne odredbe o obradi podataka o ličnosti u vezi sa zapošljavanjem, već se poziva na regulatorni okvir koji reguliše zapošljavanje (Zakon o radu, Zakon o bezbednosti i zdravlju na radu). , Zakon o zapošljavanju i osiguranju za slučaj nezaposlenosti i dr.), kao i kolektivni ugovori o radu (član 91. Zakona). Važeći Zakon o radu propisuje opštu obavezu poslodavca da čuva podatke u tajnosti, kao i da omogući subjektima podataka – zaposlenima pristup tim podacima kako bi mogli i zahtevati ispravku netačnih, odnosno brisanje nepotrebnih podataka.
Član 91. Zakona o zaštiti podataka o ličnosti takođe propisuje da regulatorni okvir koji se odnosi na zapošljavanje i zaštitu podataka o ličnosti, mora da sadrži dodatne posebne mere (za zaštitu dostojanstva, legitimnih interesa i osnovnih prava subjekata podataka, posebno u pogledu transparentnost obrade, razmene ličnih podataka u okviru multinacionalne kompanije, odnosno grupe privrednih subjekata, kao i sistema praćenja u radnom okruženju). Činjenica da do promene regulatornog okvira nije došlo iako je trebalo da se desi do kraja 2020. godine, rezultirala je pravnom nesigurnošću po ovom pitanju.
Obrada posebnih kategorija podataka o ličnosti u Srbiji zasniva se na potrebi poštovanja zakona i regulatornog okvira i ispunjavanja obaveza iz zakona o zapošljavanju, socijalnom osiguranju i socijalnoj zaštiti, pod uslovom da je takva obrada propisana zakonom ili kolektivnim ugovorom o radu koji takođe predviđa primenu odgovarajućih mera za zaštitu osnovnih prava, sloboda i interesa subjekata podataka. Posebne kategorije ličnih podataka se izuzetno obrađuju na osnovu slobodnog pristanka nosioca podataka.
Korišćenje CCTV i GPS sistema u radnim prostorima/vozilima ne podleže posebnim propisima u Srbiji. Nadležni javni poverenik je doneo Rešenje o spisku akata obrade podataka o ličnosti za koje je potrebna prethodna procena uticaja na zaštitu podataka o ličnosti ( Sl. glasnik RS, br. 45/2019 i 112/2020 ). Navedenom Odlukom je takođe predviđeno da se pribavi saglasnost javnog poverenika na navedenu Procenu, u slučaju obrade biometrijskih podataka koji se koriste za identifikaciju nosilaca podataka, obrade korišćenjem aplikacija i sistema za nadzor, automatizovane obrade i dr.
Ako imate brojna pitanja, odgovore možete naći u našoj rubrici GDPR posvećenoj svima onima koji koriste lične podatke u procesu svog poslovanja i kao i onima čiji se podaci koriste. Takođe relevantne odgovore možete naći u SecuritySEE intervjuu sa Šefom odseka u sektoru za nadzor nad zaštitom podataka o ličnosti kancelarije Poverenika, Ivanom Trišovićem.