Tvrtka nema vlastitu kuhinju i kantinu za zaposlenike već je organizirala pripremu toplih obroka u vanjskom restoranu koji organizira i dostavu pripremljenih obroka prema unaprijed utvrđenim narudžbama i količinama.

Radi pravoremene pripreme određenog broja toplih obroka, tvrtka vanjskom restoranu jednom tjedno dostavlja popis imena i prezimena svih zaposlenika s naznačenim odabirom konkretnog menija za tjedan dana unaprijed.

Hm, hm ...

 

Prvi "hm"

Tvrtka je angažirala restoran da obrađuje osobne podatke zaposlenika, uključujući ime i prezime te odabir konkretnog menija po tjednima već niz godina. Restoran time postaje izvršitelj obrade u ime tvrtke, a nije sklopljen ugovor iz članka 28. GDPR-a, ako je već nužno davati osobne podatke, a po nama nije nimalo.

 

Drugi "hm"

Tvrtka ne zna na koji rok restoran zadržava sve te evidencije s popisima zaposlenika i njihovim odabirom hrane kroz dugu razdoblje, niti ne zna kako restoran postupa s tim popisima, da li ih redovito i na siguran način uništava po isteku tjedna i briše iz računala i emailova. Upravo to je jedan od ključnih sastojaka obveznog ugovora iz članka 28. GDPR-a.

 

Treći "hm"

Tvrtka se nije nijednom zapitala jel restoranu stvarno trebaju imena i prezimena zaposlenika i zašto.

Definitivno restoranu ne trebaju imena i prezimena zaposlenika, već je tvrtka sama dizajnirala ovakav poslovni proces i odlučila restoranu dostavljati osobne podatke zaposlenika. Tvrtka mora obvezno uzeti u obzir načelo minimizacije osobnih podataka dovoljnih za ostvarenje svrhe, a u ovom slučaju je dovoljno da tvrtka dostavlja kumulativne brojke naručenih menija po danu, ili ako je tvrtki vrlo važno da svaki zaposlenik zna što je naručio i što je dobio za topli obrok, da na popisu odabira menija umjesto imena i prezimena stavi pseudonim ili šifru tog zaposlenika, kojim restoran više ni na koji način ne može identificirati pojedinog zaposlenika. A tvrtka kod sebe treba zadržati popis zaposlenika i pripadajućih pseudonima, dostupan samo najužem krugu ovlaštenih zaposlenika.

 

Veliki "hmm"

Tvrtka je niz godina restoranu otkrivala imena i prezimena svih zaposlenika ali i u određenoj mjeri informacije koje mogu predstavljati poslovnu tajnu, npr. o kretanju broja zaposlenika, njihovom rastu ili padu, sezonalnosti poslovnog modela ili nizu otkaza, pa i indirektno o rasporedu godišnjih odmora ili odsustva pojedinih zaposlenika te samim time i moguć manjak zaposlenika u uredu u određenim razdobljima tijekom godine što može upućivati i na smanjene poslovne kapacitete.

 

Najveći "hmmmm"

Suvremena i digitalnom transformacijom unaprjeđena osiguravajuća društva rado bi izdvojila određen iznos za kupnju ovakvih "sirovih" podataka o prehrambenim navikama pojedine osobe, kako bi temeljem višegodišnjeg praćenja kvalitete prehrane, odabira menija i vrste hrane, uz korištenje i drugih dostupnih informacija predviđati zdravstveno stanje pojedinca i sukladno takvim profilima izrađivali i individualizirane police zdravstvenog ili životnog osiguranja.

Ovakvih primjera vidjeli smo u praksi i iskustvo nam govori da ih nije malo. Kako bismo spriječili nastajanje štete za naše zaposlenike, u svakom slučaju treba izbjegavati slanje osobnih podataka zaposlenika restoranu ili otkrivanje bilo kakvih podataka temeljem kojih restoran ili neka treća strana može identificirati pojedinog zaposlenika.

 

I da napokon odgovorimo na pitanje iz naslova: DA ;-)


Photo by Elle Hughes from Pexels