GDPR na radnom mjestu: pogreške koje poslodavci rade – i skupo ih plaćaju
Nije problem u tome što poslodavci ne poznaju GDPR - problem je što vjeruju da ga primjenjuju ispravno. U stvarnosti, upravo obrada osobnih podataka zaposlenika skriva najčešće pogreške koje mogu rezultirati višemilijunskim kaznama
Praksa nadzornih tijela diljem Europske unije jasno pokazuje da su radni odnosi jedno od najosjetljivijih područja primjene GDPR-a. Razlog je jednostavan - gotovo svaki poslovni proces, od zapošljavanja do prestanka radnog odnosa, uključuje obradu osobnih podataka zaposlenika.
Privola nije dopuštena?
Jedna od najčešćih pogrešaka poslodavaca odnosi se na pogrešno korištenje pravne osnove za obradu podataka zaposlenika. U praksi se i dalje često koristi privola, iako ona u radnom odnosu najčešće nije valjana. Razlog je jednostavan - zaposlenik nije u ravnopravnom položaju i ne može slobodno odlučiti, pa se takva privola teško može smatrati stvarno dobrovoljnom. Iako nije u potpunosti zabranjena, njezino korištenje biti će opravdano u iznimnim situacijama.
Zato se obrada podataka zaposlenika u pravilu treba temeljiti na zakonskoj obvezi, ugovoru o radu ili legitimnom interesu poslodavca. Međutim, ako se poslodavac poziva na legitimni interes, primjerice kod objave fotografije zaposlenika, važno je putem testa razmjernosti provjeriti je li takva obrada zaista opravdana i razmjerna. Osim toga, zaposlenike je potrebno jasno informirati o takvoj obradi te im omogućiti da se usprotive ili zatraže njezino ograničenje.
Prekomjerna obrada - OIB ili fotografija kandidata
Dodatni problem predstavlja prekomjerno prikupljanje podataka, iako GDPR jasno propisuje da se smije prikupljati samo ono što je nužno. U praksi se i dalje traže podaci poput OIB-a ili fotografije već u fazi selekcije kandidata, a u radnom odnosu vode se evidencije koje zadiru u privatni život zaposlenika bez jasne svrhe i pravne osnove. Nerijetko se traže i preslike bankovnih kartica ili drugi osjetljivi financijski podaci, što predstavlja posebno rizičnu praksu. Takve situacije nisu samo administrativni propusti, već izravno kršenje temeljnih načela zaštite osobnih podataka.
Kazne i do 35 milijuna eura
Koliko skupe mogu biti pogreške u ovom području, najbolje pokazuju konkretni slučajevi iz prakse. H&M je kažnjen s više od 35 milijuna eura zbog nezakonite obrade podataka zaposlenika, dok je njemačka tvrtka notebooksbilliger.de platila 10,4 milijuna eura zbog nezakonitog video nadzora. Sličan trend prisutan je i u Hrvatskoj. Agencija za zaštitu osobnih podataka posljednjih godina izriče sve veći broj kazni, pri čemu pojedinačne dosežu i nekoliko stotina tisuća eura. Ukupan iznos izrečenih kazni u jednoj godini premašio je 6,7 milijuna eura, a najviša pojedinačna kazna iznosila je čak 5,47 milijuna eura.
Podaci o zdravlju zaposlenika
Posebno rizično područje predstavlja obrada podataka o zdravlju zaposlenika, koja spada u posebne kategorije osobnih podataka. Unatoč strogim pravilima, u praksi se i dalje bilježe slučajevi evidentiranja dijagnoza, vođenja podataka o bolestima ili prikupljanja informacija o privatnim okolnostima zaposlenika, što predstavlja visok rizik i često rezultira najvišim kaznama.
Praćenje zaposlenika
Jednako osjetljivo područje odnosi se na praćenje zaposlenika. Iako poslodavci imaju pravo organizirati rad i nadzirati poslovne procese, granica između zakonitog nadzora i povrede prava zaposlenika vrlo je tanka. Sustavi poput video nadzora, praćenja rada ili digitalnog nadzora moraju biti nužni, razmjerni i transparentni, što znači da se smiju koristiti samo kada su zaista potrebni, a zaposlenici moraju biti jasno i pravodobno informirani o takvoj obradi. U suprotnom, vrlo brzo prelaze u nezakonitu obradu osobnih podataka.
GDPR usklađenost organizacija
U praksi problem često nije samo nepravilna obrada, već činjenica da organizacije ne mogu dokazati da postupaju zakonito. Upravo zato dokumentacija nije formalnost, već temelj stvarne usklađenosti. Bez pravilnih evidencija, jasnih politika i stručnih analiza, čak i zakonita obrada može postati problem u slučaju nadzora. GDPR na radnom mjestu zato nije administracija, već pitanje pravne sigurnosti, zaštite zaposlenika i reputacije poslovanja.
"GDPR na radnom mjestu"
Upravo zbog složenosti ovog područja nastao je stručni priručnik „GDPR na radnom mjestu“ autorice Ines Krečak (r.Bolkovac), hrvatske predstavnice u Europskoj federaciji službenika za zaštitu podataka, predsjednice FERALIS Centra za zaštitu podataka. Riječ je o prvom praktičnom vodiču u Hrvatskoj koji na sustavan i jasan način obrađuje obradu osobnih podataka zaposlenika kroz konkretne situacije iz prakse, s naglaskom na rješenja koja su uistinu primjenjiva u svakodnevnom poslovanju. Priručnik je namijenjen poslodavcima, privatnog I javnog sektora, pravnicima, HR stručnjacima, službenicima za zaštitu podataka, ali i svima koji žele ne samo razumjeti GDPR, već ga i pravilno primijeniti u praksi.
DINA Fund
Priručnik ima i humanitarnu dimenziju. Posvećen je autoričinom udomljenom, nažalost preminulom slijepom psu Dini iz osječkog azila Pobijede, a dio prihoda od njegove prodaje namijenjen je DINA Fundu za pomoć napuštenim psima.
