Svjedoci smo javno dostupnih uputa institucija i stručnih savjetnika o tome kako se uskladiti s obvezama iz GDPR-a.
Nažalost, vrlo često nailazimo na slučajeve kada se upute temelje na kopiranju članaka GDPR-a, izradi dokumentacije, pravilnika, raznih privola, izjava zaposlenika, a pri tom se ni na koji način ne spominju ključni elementi uspješnog i istinskog usklađivanja s GDPR-om:
- kvalitetna edukacija zaposlenika i postizanje razumijevanja
- osiguranje ispravnog postupanja s dokumentacijom i osobnim podacima u skladu s normama informacijske sigurnosti
- pravovremena i puna transparentnost prema svim osobama čije osobne podatke obrađujemo, uključujući i vlastite zaposlenike, studente, praktikante, posjetitelje web stranice, posjetitelje poslovnog prostora, sudionike javnih događanja u organizaciji poslodavca...
Ovdje prilažemo presliku jednog primjera Izjave o povjerljivosti, kakva se preporuča od strane jedne uvažene institucije.
Tom Izjavom isključivo se nameću obveze zaposlenicima.
Da li je poslodavac prije zahtjevanja potpisivanja ove Izjave izvršio kvalitetnu edukaciju zaposlenika o načinima i postupcima obrada podataka u skladu s GDPR-om?
Da li je poslodavac prethodno izvršio obvezu transparentnosti i jasno pokazao zaposlenicima koje osobne podatke zaposlenika obrađuje, koliko dugo ih čuva, da li ih šalje nekome izvan organizacije, i koja su prava zaposlenika te na koji način ih mogu ostvariti? Istovremeno, poslodavac u svojstvu Izvršitelja nalaže da se Izjava zaposlenika odnosi na obradu podataka za konkretnog Voditelja obrade, koji je ujedno i klijent Izvršitelja obrade.
Da li to znači da se Izjava zaposlenika o povjerljivosti ne odnosi na sve osobne podatke koje obrađuje, uključujući podatke kolega u organizaciji i svih drugih tvrtki i organizacija?
Izjava o povjerljiosti od strane zaposlenika mora se odnositi na SVE obrade osobnih podataka koje vrši, bez obzira tko je Voditelj obrade.
Ali, prije nego prisilite zaposlenika da potpiše Izjavu, educirajte ga na kvalitetan način, nemojte štedjeti na edukaciji, i osigurajte transparentnu informaciju svakom svom zaposleniku o tome koje njegove osobne podatke obrađujete kao poslodavac, i kome ih dajete na daljnju obradu ili pohranu. Kao poslodavac sjetite se da, osim podataka zaposlenika za radno vrijeme, obračun plaća, zaštitu na radu, ozljede na radu, zdravstvene preglede, stručna osposobljavanja, imate i podatke o GPS lokaciji kretanja službenih vozila, RFID kartice, snimke video-nadzora, rodne listove zaposlenika i djece, preslike domovnica i kreditnih kartica, preslike isteklih osobnih iskaznica i kartica tekućih računa, i prvo riješite sve ovo navedeno, prije nego namećete obveze svojim zaposlenicima. Posebnost slučaja, koji ovdje navodimo, ćemo prikazati na način da zamislimo neki knjigovodstveni servis koji ima oko 20 zaposlenih i oko 300 klijenata za koje vrši knjigovodstvene usluge.
Prema ovdje priloženoj špranci proizlazi da bi trebalo biti prikupljeno nekoliko tisuća Izjava o povjerljivosti, iracionalno, zar ne?