Kao poslodavac imate dvostruku obvezu prema GDPR-u, s jedne strane trebate paziti kako postupate s podacima koje dobivate od svojih klijenata, a s druge strane i vaši radnici su nepresušni izvor osobnih podataka s kojima treba postupati na odgovarajući način. No u ovom tekstu ćemo se više osvrnuti na postupanje s podacima vaših radnika.
Osnove postupanja
Temelji na kojima poslodavac dolazi do osobnih podataka od svojih radnika su mnogostruki. Primarni temelj su zakonske obaveze, npr. Zakon o radu, ali osim njih moguće je i još su mu podaci potrebni radi ispunjenja obveza iz ugovora o radu ili zato što ima legitimni interes za prikupljanje osobnih podataka radnika. Ponekad ostvarivanje prava radnika (npr. bolovanje, trudnoća…) zahtijeva prikupljanje podataka od radnika, pa čak i onih zdravstvene prirode. Zdravstveni podaci, kao što znamo, spadaju u posebno štićenu kategoriju prema GDPR-u.
Privola kao jedna od često spominjanih temelja za obradu osobnih podataka, nije baš prikladna za odnose između poslodavca i radnika. Često se može zaključiti da se radnika nalazi u podređenom i ugroženom položaju kad se od njega traži privola. Iz toga se može zaključiti da takva privola nije slobodno dana što je čini upitnom kao temeljem za prikupljanje podataka. Zbog toga za poslodavca se bolje nasloniti na druge osnove.
Načelo transparentnosti
Transparentnost se provlači kroz cijeli materijal GDPR-a kao jedno od temeljnih načela, pa iz toga možemo zaključiti da radniku u svakom trenutku treba biti poznato koji osobni podaci se obrađuju u koju svrhu, da li se prosljeđuju nekome drugome i u koju svrhu, ako se obrađuju na temelju legitimnog interesa poslodavca, koji je to legitimni interes, na koji način se obrađuju, itd.
Radnika treba obavijestiti najkasnije prilikom sklapanja ugovora o radu, a i sve eventualne naknadne promjene potrebno je staviti na znanje radniku.
Prema GDPR-u, o aktivnostima obrade osobnih podataka potrebno je voditi evidenciju, poglavito kad se obrada provodi redovno. Obrada osobnih podataka radnika spada u redovnu obradu, pa je stoga jasna obveza voditi takvu evidenciju. Osim toga postoji i obveza izvršenja procjene učinka na zaštitu podataka u slučajevima kad se provodi sustavna i opsežna obrada osobnih podataka na temelju koje se donose odluke koje utječu na pojedinca. Odluke tog tipa bile bi npr. evaluacija radnika, jer rezultati evaluacije mogu utjecati na donošenje odluka poput odluke o povišici ili o otkazu.
Nadzor
Jedno od čestih pitanja koje se pojavljuje je upit oko nadzora radnika (videonadzor radnih prostorija, nadzor elektroničke pošte, nadzor online aktivnosti radnika i sl.). Generalni zaključak je da se o takvim mjerama treba obavijestiti radnike. Pravilo kojim se treba voditi jest proporcionalnost. Manje invazivne mjere uvijek se trebaju preferirati pred onim više invazivnim.
Službenik za zaštitu podataka je još jedna odluka koju treba donijeti. Kriterij kojim se treba voditi je broj radnika, odnosno ako imate više od 250 zaposlenika nužno je imati i DPO-a. Vrijedi razmisliti o tome da čak i ako imate manje radnika, GDPR zahtijeva od vas poprilični angažman koji vam imenovani službenik za zaštitu podataka može olakšati.
Zaključak
Sve u svemu, GDPR pred poslodavca stavlja set specifičnih obveza koje je potrebno zadovoljiti, ali uz primjenu osnovnih načela i zdravog razuma, nema potrebe da od tih obveza nastanu problemi. Dapače, poslodavcu se omogućuje da s osobnim podacima postupa na način koji će zadovoljiti njegove radnike, a ujedno i njemu pružiti određenu sigurnost.