Autor: Klementina Chiabudini, dipl.iur.
Hrvatski sindikat telekomunikacija ima članove kod svih velikih telekom operatera u Republici Hrvatskoj, te kontaktnim centrima koji daju usluge korisnicima putem telefona.
Poslodavci prekomjerno prikupljaju osobne podatake radnika audio snimanjem razgovora radnika s korisnicima, postavljanjem video nadzora koji pohranjuje snimljeni materijal, praćenjem IT komunikacije radnika, nadziranjem kretanja radnika koji koriste službena vozila putem GPSa, pri čemu se poslodavci pozivaju na čitav niz propisa koji po njima predstavljaju pravnu podlogu za prikupljanje, obradu i korištenje navedenih osobnih podataka radnika, počevši od Opće uredbe o zaštiti podataka (GDPR) preko Zakona o radu, pa sve do Općih uvjeta poslovanja.
Međutim, ni jedan od navedenih pravnih akata nije izvor prava koji bi poslodavca ovlastio na prikupljanje osobnih podataka radnika audio i video snimanjem niti praćenjem putem GPSa ili bilo kojeg drugog sustava za praćenje kretanja i lociranje.
Zaštita osobnih podataka radnika regulirana je prvenstveno GDPRom i Zakonom o provedbi Opće uredbe o zaštiti podataka, Zakonom o radu te Zakonom o zaštiti na radu.
Za provedbu Opće uredbe o zaštiti podataka (GDPR) osnovana je na razini EU posebna radna skupina.
RADNA SKUPINA ZA ZAŠTITU PODATAKA IZ ČLANKA 29. 17/HR koja je osnovana je u skladu s člankom 29. Direktive 95/46/EZ. kao neovisno europsko savjetodavno tijelo za zaštitu podataka i privatnosti i njezine su zadaće opisane u članku 30. Direktive 95/46/EZ i članku 15. Direktive 2002/58/EZ. donijela je i 8. lipnja 2017. objavila Mišljenje 2/2017 o obradi podataka na radnome mjestu.
U Mišljenju Radna skupina među ostalim navodi:
Legitimni interes poslodavca sam po sebi nije dovoljan da bi imao prednost pred pravima radnika. Mora biti osigurana ravnoteža u odnosu na temeljna prava i slobode radnika i obrazlaže:
Ako se poslodavac želi osloniti na legitimni interes kao na pravnu podlogu svrha obrade podataka mora biti zakonita, a odabrana metoda ili posebna tehnologija obrade mora biti neophodna (nužna) za potrebne legitimnog interesa poslodavca.
Obrada podataka mora biti i proporcionalna poslovnim potrebama, tj. svrsi, zbog kojih se podaci obrađuju.
Obradu podataka na radnome mjestu trebalo bi provoditi na što je moguće nenametljiviji način te bi trebala biti usmjerena na konkretno područje rizika.
Osim toga, u slučaju pozivanja na legitimni interes poslodavca radnik zadržava pravo prigovora na obradu zbog jakih i zakonitih razloga iz članka 14. GDPR
Nadalje, Radna skupina smatra da postoji opasnost da se s novim tehnologijama legitimni interes poslodavca za poboljšanje učinkovitosti i zaštitu imovine poduzeća pretvori u neopravdano i nametljivo praćenje, jer te tehnologije omogućuju prikriveno prikupljanje i daljnju obradu potencijalno velike količine osobnih podataka i predstavlja opasnost od pretjeranog prikupljanja osobnih podataka radnika.
Radna skupina kaže: Povećanje količine podataka stvorenih u okruženju radnog mjesta, u kombinaciji s novim tehnikama za analizu i unakrsno provjeravanje podataka, isto tako može stvoriti rizike od daljnje obrade u nesukladne svrhe. Na primjer, nezakonita daljnja obrada može biti upotreba sustava koji je zakonito ugrađen radi zaštite imovine za praćenje dostupnosti i učinkovitosti zaposlenika i njihove ljubaznosti prema klijentima.
Drugi su primjeri upotreba podataka prikupljenih putem sustava za redovito praćenje ponašanja i učinkovitosti zaposlenika ili upotreba podataka iz sustava za geolociranje za stalno provjeravanje kretanja i ponašanja zaposlenika.
Takvo praćenje može stoga narušavati prava zaposlenika na privatnost, neovisno o tome je li riječ o sustavnom ili povremenom praćenju. Rizik nije ograničen na analizu sadržaja komunikacija. Analiza metapodataka o nekoj osobi mogla bi omogućiti detaljno praćenje života i obrazaca ponašanja pojedinca na način koji u jednakoj mjeri zadire u privatnost.
Radna skupina izrijekom navodi: Uređaji za praćenje vozila nisu uređaji za praćenje radnika. Poslodavci ih ne smiju smatrati uređajima koji služe za praćenje ili nadziranje ponašanja ili lokacije radnika npr. slanjem podataka o brzini kretanja vozila.
Obrada podataka o lokaciji može biti opravdana ako se provodi kao dio praćenja prijevoza ljudi ili robe ili poboljšanja raspodjele resursa za usluge na raspršenim lokacijama (npr. planiranje operacija u stvarnom vremenu) ili ako se želi ostvariti sigurnosni cilj u pogledu samog zaposlenika ili robe ili vozila za koje je odgovoran. S druge strane, Radna skupina smatra da je obrada podataka pretjerana ako zaposlenici sami organiziraju svoje putovanje u skladu s vlastitim željama ili ako se provodi isključivo u svrhu praćenja rada zaposlenika, ako se njegov rad može pratiti na druge načine.”
Kod praćenja vozila bi trebalo biti izvedeno na način da se podatci o položaju vozila ne prikazuju poslodavcu.
Na kraju Radna skupina zaključuje: Kada odlučuju o uvođenju novih tehnologija, poslodavci moraju uzeti u obzir načelo smanjenja količine podataka.
Informacije bi trebalo pohraniti na minimalno potrebno vrijeme, s točno određenim vremenom njihova čuvanja. Čim informacije više nisu potrebne, trebali bi ih izbrisati.
U Republici Hrvatskoj na snazi je Zakon o zaštiti na radu koji propisuje da poslodavac smije koristiti nadzorne uređaje kao sredstvo zaštite na radu pod uvjetima propisanima tim Zakonom:
Korištenje nadzornih uređaja dozvoljeno u dva slučaja:
Poslodavac je obvezan prilikom zapošljavanja pisanim putem obavijestiti radnika da će biti nadziran nadzornim audio, odnosno video uređajima.
Poslodavac ne smije koristiti snimljene materijale u svrhe koje nisu propisane ovim člankom, ne smije ih emitirati u javnosti niti pred osobama koje nemaju ovlasti na nadzor opće sigurnosti i zaštite na radu te je obvezan osigurati da snimljeni materijali ne budu dostupni neovlaštenim osobama. (čl 43. Zakona)
Iz navedenog jasno proizlazi da Poslodavac smije audio i video snimke stvarati isključivo radi kontrole ulaska i izlaska osoba iz objekta i radi zaštite radnika, a ne smije te snimke koristitini za kakve druge svrhe ( npr. kontrolu prisutnosti na radu odnosno evidenciju radnog vremena, nadziranje rada radnika, način ponašanja radnika prema korisnicima, procjnu njihovog radnog učinka i sl.).
Iz svega naprijed navedenog jasno je da se audio snimke razgovora s korisnicima koje sadrže osobne podatke radnika ne smiju koristiti niti u edukativne svrhe odnosno za unaprijeđivanje usluga.
Snimanje razgovora radnika s korisnicima može se dozvoliti samo ako se snimke obrade na način da nije moguće prepoznati identitet snimljenog radnika i to niti glas radnika niti se na snimci smije razabrati alias kojim se radnik predstavlja korisniku, niti smije biti vidljiva šifra koju prema prijedlogu ovog Pravilnika tehnika dodjeljuje svakom radniku (Agent ID). Dodatno je takve snimke potrebno arhivirati na način da se ni iz arhivske oznake ne može utvrditi čiji je glas snimljen.
Tako potpuno anonimizirane snimke mogu se koristiti za edukaciju ostalih radnika jer one više ne sadrže osobne podatke radnika.
U praksi postoje već brojni primjeri u kojima su poslodavci u zemljama članicama EU kažnjeni visokim kaznama zbog nedozvoljenog prikupljanja i obrade osobnih podataka radnika, primjerice zbog korištenja video nadzora. Tako je neimenovana tvrtka u Njemačkoj 2020. godine kažnjena kaznom od preko 10 000 000 eura, jer je tijekom dvije godine provodila videonadzor na način da je pratila radnike za cijelo vrijeme njihova rada, odnosno video nadzor je obuhvaćao radna mjesta radnika, prodajni prostor, skladišni prostor, te zajedničke prostorije. Iako je glavna svrha postavljanja videonadzora bila sprečavanje i istraga kaznenih djela, njemačko nacionalno tijelo za zaštitu podataka smatra da je bilo potrebno razmotriti i druge mogućnosti koje imaju manji negativni utjecaj na privatnost.
Poslodavac se pozivao na svoj legitimni interes, međutim nadzorno tijelo je zauzelo stav da legitiman interes treba uistinu postojatim, te mora upućivati na postojeći problem (ne smije biti fiktivne ili špekulativne prirode) a što treba biti vidljivo iz procjene učinka na zaštitu osobnih podataka.
Procjenu učinka na zaštitu podataka potrebno je provesti prije uvođenja videonadzora ili drugog oblika prikupljanja osobnih podatakaradnika u kojoj će se kritički ispitati je li mjera prikladna za postizanje željenog cilja te je li primjerena i nužna u odnosu na njezine svrhe. Njome mogu biti utvrđene razne situacije neposredne opasnosti koje mogu predstavljaju valjani legitimni interes, a takvim situacijama izložene su primjerice banke ili trgovine koje prodaju skupocjenu robu (npr. zlatarnice) ili područja poznata po čestim kaznenim djelima protiv imovine (npr. benzinske postaje, kladionice, pošte). Budući da kod navedenog poslodavca koji se bavi trgovinom tehničkom robom nije postojala opasnost od takve vrste ugroze te da je nezakoniti video nadzor trajao više od dvije godine, njemačko nacionalno tijelo odredilo je tako visoku kaznu.
Europski povjerenik za zaštitu podataka pak u jednom drugom slučaju navodi da je potrebno uzeti u obzir situacije kada videonadzor nije nužno potreban ako postoje druga sredstva s pomoću kojih je moguće ostvariti temeljnu svrhu te da je prije svake uspostave sustava videonadzora potrebno provesti kvalitetnu procjenu učinka na zaštitu podataka kojom će se utvrditi sve relevantne činjenice i realna nužnost videonadzora koji će počivati na stvarnom i zakonitom legitimnom interesu voditelja obrade ili trećih strana.
Na isti način kao kod ovih primjera uvođenja videonadzora poslodavac mora izvršiti procjenu svaki puta kad osobne podatke radnika namjerava prikupljati isključivo temeljem tvrdnje na postojanje svojeg legitimnog interesa.
Opće uredbe o zaštiti podataka (GDPR) propisuje da se pravilnikom mora propisati i popisati način prikupljanja osobnih podataka radnika. Svrha tog pravilnika trebala bi biti zaštita osobih podataka radnika, međutim poslodavci pravilnik koncipiraju na način da mu on posluži kao pravna podloga za neprestani nadzor radnika snimanjem njihovih razgovora s korisnicima, praćenjem njihovog kretanja u službenim vozilima za vrijeme i izvan radnog vremena, video nadzorom kao i za neograničen pristup svim podatcima svakog radnika od strane interne revizije, ukratko za sve za što ne postoji stvarna pravna podloga za prikupljanje, obrađivanje i korištenje nego se poslodavci pozivaju isključivo na svoj legitimni interes.
Kod donošenja pravilnika poslodavci ne vode računa o načelima nužnosti niti načelu minimalnog prikupljanja osobnih podataka nego naprotiv pravdaju prikupljanje ogromnog broja osobnih podataka za čije prikupljanje ne postoji nužnost u smislu definicije određene GDPRom, a dodatno se predviđa enormni broj radnika kojima bi ti podaci (osobito audio snimke) temeljem ovog Pravilnika trebale biti dostupne u različite svrhe.
Obzirom da za Pravilnik o prikupljanju i zaštiti osobnih podataka radnika poslodavci moraju dobiti suglasnost radničkog vijeća ili sindikalnog povjerenika s pravima i obvezama radničkog vijeća, pozivamo predstavnike radnika da sa osobitom pažnjom razmotre je li Pravilnik u skladu s tumačenjima i preporukama Radne skupine za zaštitu podataka iz članka 29 Direktive 95/46/EZ.