Savjeti za članice HZTK: Obrada podataka zaposlenika

26.04.2018.

Poslodavac je obavezan prijaviti radnika po zaposlenju na mirovinsko i zdravstveno osiguranje, a za to ne treba privola (suglasnost) radnika jer je to zakonska obaveza; što ujedno predstavlja i zakonsku osnovu obrade. Ako zaposlenik ne želi dati svoje podatke u svrhu prijave, ne može sklopiti ugovor o radu. Zaposlenik u sam ugovor mora unijeti važeće i točne podatke, kako je već uređeno Zakonom o radu.
Ako nemate osnovu za prikupljanje i obradu podataka u Zakonu u radu, onda je možete temeljiti ili na privoli ili na potrebi sklapanja ugovora, primjerice radi sklapanja određenih vrsta ugovora s vanjskim suradnicima, fizičkim osobama.

Životopis kandidata

Životopise kandidata smijete obrađivati u svrhu selekcije za radno mjesto (bilo na pravnoj osnovi radnji koje prethode sklapanju ugovora ili privoli, ovisno za što se opredijelite). Smatra se da istekom natječaja, tj. zapošljavanjem kandidata više nemate daljnja prava na obradu tih životopisa te ih prema načelu smanjenja količine podataka morate obrisati i/ili uništiti.

Ipak, poželite li te podatke zadržati i nakon isteka natječaja, morate tražiti izričitu privolu kandidata i to adekvatno dokumentirati, najbolje pismenim putem. Unatoč privoli, ako kandidat naknadno zatraži da uklonite njegove podatke, to ste dužni učiniti. To vrijedi u svim slučajevima za koje ne postoji zakonska obveza čuvanja dokumentacije na određeni vremenski rok.

Evidencije podataka

Stupanjem na snagu Opće uredbe o zaštiti osobnih podataka u Republici Hrvatskoj prestaju vrijediti sljedeći propisi, kako je navedeno u Zakonu o provedbi Opće uredbe o zaštiti podataka:

  • Zakon o zaštiti osobnih podataka („Narodne novine“, broj 103/03, 118/06, 41/08 i 130/11),
  • Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka („Narodne novine“, broj 105/04)
  • Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka („Narodne novine“, broj 139/04).

To znači da propisani obrasci za vođenje zbirke osobnih podatka nisu potrebni, a prema Općoj uredbi ne postoje propisi koji bi zahtijevali redovito dostavljanje podataka nadzornom tijelu. Evidenciju ipak morate voditi unutar tvrtke i na uvid pružiti nadzornom tijelu. Ovdje vrijede opća pravila za vođenje evidencije koja pokrivaju osnovni sadržaj opisa, a to su:

  • kontakt podaci osobe unutar tvrtke
  • detaljno objašnjena svrha obrade
  • kategorije osobnih podataka koje se koriste
  • posebne kategorije osobnih podataka (osjetljivi podaci), ako ih ima – zdravstveni podaci, religijska pripadnost i sl.
  • podaci o prijenosu podataka u treće zemlje
  • razdoblje zadržavanja podataka
  • pregled sigurnosnih i tehničkih mjera za zaštitu podataka
  • dodatni podaci, ako su potrebni (postojanje podataka maloljetnika i sl.)
  • popis svih kategorija primatelja tih podataka (tko ima uvid u podatke)
  • pravna osnova za obradu (nije obavezno, ali je preporučeno)

Za podatke radnika, dakle, vrijede isti propisi kao i za sve ostale osobne podatke koji se obrađuju.

Evidencija radnog vremena

Na snazi ipak ostaje Pravilnik o sadržaju i načinu vođenja evidencije o radnicima („Narodne novine“, broj 73/17), odnosno na tjednoj se osnovi moraju popunjavati podaci o radnicima i radnom vremenu.

Pravilnikom je obuhvaćen širok spektar podataka koje ste zakonski dužni zabilježiti, na što imate pravo po osnovi zakonske obaveze. Ti podaci uključuju ime i prezime zaposlenika, spol, OIB, datum rođenja, državljanstvo itd.
Potrebno je biti osobito pažljiv kod vođenja ostalih vrsta podataka koji mogu biti vezani uz radni odnos, a potencijalno spadaju u posebno zaštićene vrste podataka (potvrde o trudnoći, bolovanjima, smanjenju radne sposobnosti, invalidnosti i sl.).

Podatke evidentirane na ovaj način dužni ste čuvati najmanje šest godina, a u slučaju sporova do okončanja spora.

Nadzor zaposlenika

Mjere nadzora zaposlenika u određenoj su mjeri potrebne i u svrhu popunjavanja evidencije radnog vremena – to uključuje evidenciju dolaska, odlaska, dnevne stanke itd.
Ipak, to se treba obaviti na minimalno invazivan način. Agencija za zaštitu osobnih podataka ne preporuča korištenje biometrijskih podataka (čitača prstiju i sl.) zbog povjerljive prirode podataka prikupljenih na taj način. Ako postoje manje invazivni načini (a postoje, poput npr. identifikacijskih kartica), morate ih koristiti.

Smijete ograničiti pristup određenim mrežnim stranicama na uredskim računalima tijekom radnog vremena, ali nemate pravo pretraživati povijest preglednika zaposlenika, jer se to smatra zadiranjem u privatnost. Podaci o pretraživanjima i posjećenim stranicama smatraju se osobnim podacima, a za to vam u načelu treba privola zaposlenika.

Situacija s privolama zaposlenika u ovom je slučaju posebno škakljiva jer se zaposlenik u odnosu na poslodavca smatra podređenim; ako privola uključuje elemente pritiska ili ako ne postoji alternativa davanu privole, takva privola nije valjana.

Nadzor možete temeljiti na legitimnom interesu, ali općenito gledano dozvoljen je samo u iznimnim situacijama poput sumnje na mobing ili otkrivanje povjerljivih podataka. Te uvjete morate definirati internim propisima s kojima svi zaposlenici moraju biti upoznati. Bez povoda nije dozvoljeno pregledavati ni sadržaj elektroničke pošte zaposlenika, čak i ako se radi o poslovnom računu.
U ovo ne ulaze posebni propisi poput obaveze slanja radnika na sistematske preglede ili provjera na utjecaj alkohola ili opojnih droga, što se uređuje Zakonom o zaštiti na radu.

Mjere zaštite

Zaposlenici u svakom trenutku trebaju imati pristup evidencijama podataka koje ih se tiču. To je važno i zbog njihove pravne obaveze pravovremenog ispravka netočnih podataka. Ako podatke obrađujete na temelju privole, obavezno ih čuvajte, jer to vam je jedini dokaz da podatke obrađujete na zakoniti način.

Općenito, preporuka Agencije za zaštitu osobnih podataka je da se podaci vode u elektroničkom obliku, uz redovitu izradu sigurnosnih kopija. Pristup bazama podataka zaštitite lozinkama. Najbolje je odrediti jednu osobu koja će voditi evidenciju i imati joj izravan pristup, uz direktora ili voditelja odjela zaduženog za vršenje nadzora. Ako dio podataka ipak odlučite zadržavati u pisanom obliku, neka to bude u zaključanim ormarima kojima pristup imaju samo osobe kojima su podaci neposredno potrebni. Ne zaboravite ni na pomalo banalne stvari poput zaključavanja arhiva ili ureda.

Te podatke u pravilu nije dozvoljeno slati trećim stranama bez izričitog dopuštenja zaposlenika, osim ako je zakonski drugačije propisano. Preporuka je da se izbjegava pohranjivati podatke na internetu.

vrh stranice