Europska unija poseban naglasak na zaštitu osobnih podataka stavlja još od 1995. godine kada je donesena Direktiva 95/46/EZ koja je za cilj imala pružanje okvira za zaštitu i postupanje s osobnim podacima. Međutim, nagli razvoj tehnologije otvorio je nova pitanja vezano za ovu tematiku i bilo je potrebno donijeti novi zakonodavni okvir, što je i učinjeno. 27. travnja 2016. kada je donesena Opće uredba o zaštiti osobnih podataka (poznatija kao GDPR – General Data Protection Regulation). Radi se o uredbi koja za cilj ima ujednačavanje primjene zaštite osobnih podataka u svim državama članicama Europske unije. To konkretno znači da država ne treba donijeti niti jedan dodatni zakon, a uredba se primjenjuje. Kako bi se države mogle pripremiti, educirati stanovništvo i poslovne subjekte, određen je rok od dvije godine za prilagodbu i GDPR je počeo s primjenom 25. svibnja 2018.
GDPR donosi mnoge promjene u obradi osobnih podataka. Pritom je važno naglasiti da se odredbe GDPR-a ne odnose na pravne osobe već samo na podatke fizičkih osoba, ali i na osobne podatke zaposlenika (primjerice, službena e-mail adresa zaposlenika). Dakle, svi podaci zaposlenika (e-mail, podaci o radnom vremenu zaposlenika, broj službenog mobitela i sl.) smatraju se osobnim podacima i dužni su se obrađivati u skladu s odredbama GDPR-a (praksa Suda EU, predmeti: C-615/13P, C-398/15 i C-398/15).
Načela zakonite i poštene obrade podataka
Promjene se odnose na sve dijelove poslovanja, a poseban je naglasak na zakonitoj i poštenoj obradi podataka. To znači da obrada podataka mora biti utemeljena na barem jednoj od osnova koje su navedene u GDPR-u, a to su: postojanje privole, potreba izvršavanja ugovora u kojem je pojedinac stranka ili kako bi se poduzele radnje na zahtjev pojedinca, obrada je potrebna zbog izvršenja pravnih obveza voditelja obrade, obrada podataka je nužna kako bi se zaštitili ključni interesi pojedinca ili druge fizičke osobe, postojanje legitimnih interesa voditelja obrade ili je obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade. Dakle, kako bi obrada podataka bila zakonita, potrebno je ispuniti barem jednu od šest pravnih osnova. Osim toga, GDPR propisuje načela prema kojima je potrebno obrađivati osobne podatke, a ona uključuju: zakonitu, poštenu i transparentnu obradu, definiranje svrhe obrade, smanjenje količine podataka koji se prikupljaju, briga o točnosti podataka, definiranje roka do kojeg se podaci obrađuju i, na kraju, načelo cjelovitosti i povjerljivosti podataka koje uključuje brigu o zaštiti podataka i sprječavanje neovlaštenog pristupa podacima.
Navedene odredbe GDPR-a osobito su bitne u kontekstu kontrole pristupa i evidencije radnog vremena. U svrhu boljeg razumijevanja ovog teksta, termini koji će se rabiti u ovom članku su Voditelj obrade i Izvršitelj obrade osobnih podataka. Prema definiciji GDPR-a, Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka, a Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade.
Obveza vođenja evidencije radnog vremena propisana je u Zakonu o radu i Pravilnikom o sadržaju i načinu vođenja evidencije o radnicima i, prema tome, nije potrebna privola radnika za obradu ove vrste podataka jer je obrada potrebna kako bi se izvršile pravne obveze Voditelja obrade i to je pravna osnova za obradu podataka. Potrebno je naglasiti da je Voditelj obrade (najčešće je to poslodavac), dužan informirati svoje zaposlenike o tome koje informacije prikuplja o njima. To se može odraditi na način da se izmjene Ugovori o radu ili da se, ukoliko to dopušta radno mjesto, objavi dokument na serveru tvrtke, a koji je lako dostupan svim zaposlenicima.
Za prikupljanje podataka kod evidencije radnog vremena, važno je obratiti pažnju na obradu posebnih kategorija podataka. U tu skupinu spadaju podaci o zdravlju, biometrijski podaci, genetski podaci, podaci o vjeroispovijesti, članstvu u sindikatu i sl. Za evidenciju radnog vremena najvažniji su podaci o zdravlju i biometrijski podaci. Podaci o zdravlju u svrhu evidentiranja privremene nesposobnosti za rad mogu se prikupljati i bez posebne privole jer je to potrebno kako bi se ispunile pravne obveze Voditelja obrade.
Novi Zakon o provedbi Opće uredbe o zaštiti podataka (NN 42/2018) koji je izglasao Sabor Republike Hrvatske i koji je stupio na snagu 25. svibnja 2018. detaljnije uređuje pitanja evidencije radnog vremena i kontrole pristupa s obzirom na videonadzor i na biometrijske podatke.
Kada je riječ o prikupljanju osobnih podataka za evidenciju radnog vremena, a koji se odnose na biometriju (primjerice: otisak prsta, sken rožnice i sl.), važno je naglasiti da se takvi podaci mogu prikupljati samo uz postojanje privole zaposlenika, s tim da je potrebno omogućiti da zaposlenik ima alternativnu mogućnost odabira (primjerice, evidencija putem kartica) ukoliko odbije biometrijski način prikupljanja podataka. Dakle, privola mora biti slobodna i nedvosmislena.
Novosti u videonadzoru
Novosti koje donose GDPR i Zakon o provedbi Opće uredbe za zaštitu podataka odnose se i na videonadzor. Videonadzor se može postaviti jedinu u svrhu koja je nužna i opravdana za zaštitu osoba i imovine, ako ne prevladavaju interesi ispitanika koji su u suprotnosti s obradom podataka putem videonadzora.
Zakonom je propisano da se podaci, odnosno videozapisi mogu čuvati najviše šest mjeseci od prikupljanja što znači da je potrebno podatke izbrisati nakon proteka šest mjeseci ili nakon kraćeg vremena ukoliko Voditelj obrade (primjerice, poduzeće ili obrt) tako definiraju u svojim internim aktima. Naravno, snimke se mogu i dulje čuvati ukoliko se vodi sudski proces i potrebne su u svrhu provođenja dokaznog postupka.
Pristup videozapisima mogu imati samo osobe koje je voditelj obrade ovlastio i ne smije se dogoditi da netko treći ima uvid u takve podatke. U ovom kontekstu potrebno je naglasiti da sustav videonadzora mora imati uspostavljen automatizirani zapis za evidentiranje pristupa snimkama videonadzora. Ta evidencija mora sadržavati vrijeme i mjesto pristupa te oznaku osoba koje su izvršile pristup podacima prikupljenim putem videonadzora. Ova odredba je u skladu s načelom transparentnosti prikupljanja podataka, a koje je temelj GDPR-a. Važno je reći da se ova obveza odnosi i na Voditelje obrade i na Izvršitelje obrade osobnih podataka.
Potrebno je istaknuti i da mjesto koje je pokriveno videonadzorom mora biti adekvatno označeno. Ova odredba je pojačana u odnosu na dosadašnju praksu i sada je u Zakonu o provedbi Opće uredbe o zaštiti podataka jasno navedeno da se moraju dati sve relevantne informacije koje propisuje GDPR u članku 13., a posebno mora biti slika uz tekst s podacima o tome da je prostor pod videonadzorom, navedeni podaci o Voditelju obrade te podaci za kontakt putem kojih pojedinac može ostvariti svoja prava. Važno je naglasiti da su zakonski propisane upravne novčane kazne u iznosu do 50.000 kuna u slučaju nepridržavanja opisanih postupaka obrade osobnih podataka. Tijelo koje je ovlašteno izreći navedenu kaznu je Agencija za zaštitu osobnih podataka (AZOP).
Kao zaključak
Razvidno je da GDPR donosi promjene vezano za obradu osobnih podataka, a posebno što se tiče unifikacije provedbe prava zaštite pojedinaca na razini Europske unije. U ovom kontekstu potrebno je naglasiti da su i kazne mnogo veće nego što je to ranije bilo. Međutim, za mnoge odredbe GDPR-a potrebno je vidjeti kako će se provoditi u praksi i što će to značiti za Voditelje i Izvršitelje obrade osobnih podataka jer postoje različita tumačenja pravnih stručnjaka i konzultanata oko primjene pojedinih odredbi. Važno je da se svi oni na koje se GDPR odnosi adekvatno pripreme i svoje poslovanje prilagode odredbama GDPR-a i Zakona o provedbi Opće uredbe o zaštiti podataka kako bi izbjegli moguće neugodnosti ili povredu osobnih podataka zaposlenika, dobavljača, klijenata i drugih čije podatke obrađuju, a samim time i kazne koje propisuje GDPR i domaće zakonodavstvo.
Kako se Špica prilagodila
Tvrtka Špica Sustavi uskladila je sve svoje interne procese s odredbama Opće uredbe o zaštiti podataka (GDPR). Osim toga, vodimo računa i o našim korisnicima te smo omogućili i da su naši proizvodi i usluge koje pružamo u potpunosti usklađeni s GDPR-om pa je tako, primjerice, sustav za evidenciju radnog vremena i kontrole pristupa (Time&Space sustav v10.30) kompatibilan s odredbama GDPR-a i pomaže Voditeljima obrade podataka da usklade svoje poslovanje s pozitivnim zakonodavstvom Republike Hrvatske i s GDPR-om.
Sukladnost se osigurava na više načina, a neki od njih su: mogućnost implementacije zapisnika evidencije obrade podataka pomoću kojeg se može vidjeti tko je i kada obrađivao pojedini osobni podatak; u sustavu je moguće dodijeliti različite razine pristupa osobnim podacima (primjerice, za Upravu, kontroling, voditelje organizacijskih jedinica ili za same djelatnike i sl.); podaci su zaštićeni pristupnim korisničkim imenima i lozinkama; moguće je u sustavu definirati automatsko brisanje podataka (primjerice, po isteku šest godina od prestanka radnog odnosa – definirano u Pravilniku o sadržaju i načinu vođenja evidencije o radnicima) i sl. Zaštita podataka postaje sve važnija i u tom kontekstu i tvrtka Špica Sustavi d.o.o. osobitu pozornost posvećuje ovom kompleksnom pitanju kako bi osigurala dosljednu provedbu svih pravila koja nalažu zakoni koji se primjenjuju u Republici Hrvatskoj i koji će se odraziti na poslovanje svih tvrtki i na prava i obveze pojedinaca.