Jedno od najaktivnijih i nastrožih nadzornih tijela u zaštiti osobnih podataka u EU - francuski CNIL, objavilo je Smjernice o pravu pristupa zaposlenika svojim osobnim podacima.
 
Tema naizgled djeluje jednostavno, i zasigurno se svaka organizacija kad-tad može susresti s istom, posebice ako odnosi između poslodavca i zaposlenika nisu idilični.
 
Isto tako, prema našim nemalim iskustvima, još uvijek jako mali broj zaposlenika zna za svoja GDPR prava pristupa svojim osobnim podacima, izmjenama istih, eventualnom brisanju, ograničenju takve obrade i pravu na prigovor na postupanje s osobnim podacima kad se radi o legitimnom interesu poslodavca.
 
Prečesto uočavamo da zaposlenici nisu od strane poslodavca upoznati sa svojim pravima a poslodavci imaju takvu obvezu prema članku 13. GDPR-a.
 
Dakako, najzanimljivije pravo je pravo na pristup osobnim podacima iz članka 15. GDPR-a.
 
Besplatno je i može se koristiti u svakom trenutku.
 
Čemu to služi?
Da se sami uvjerimo i dobijemo u pisanom obliku odgovore KOJE osobne podatke o nama poslodavca ima, ZAŠTO ih uopće ima, ODAKLE ih je prikupio, KOME ih prosljeđuje ili daje pristup, NA KOJI rok ih pohranjuje, KOJA su nam ostala prava u zaštiti naše privatnosti i pri tom moramo dobiti KOPIJU naših osobnih podataka.
Svi ovi odgovori mogu nam se dati u pisanom obliku ili u elektroničkom obliku ako smo ga tako i zatražili ili nam se daje pristup nekom zaštićenom online sustavu kojem pristupamo daljinski i tamo možemo vidjeti sve odgovore i upravljati našim podacima.
Rok za ostvarenje tog prava je mjesec dana, u pravilu.
Francusko nadzorno tijelo dalo je konkretnije upute o načinu izvršavanja prava na pristup od strane poslodavaca, vrlo korisno:
 
...................
 
Obvezna provjera identiteta podnositelja zahtjeva:
 
- Ako organizacija opravdano sumnja u identitet osobe koja želi ostvariti svoje pravo, može zatražiti određene informacije kako bi dokazala svoj identitet, ali zatražene dodatne informacije ne smiju biti irelevantne niti nerazmjerne zahtjevu.
 
- Za sadašnjeg zaposlenika: ako komuniciramo putem elektroničke pošte ili intraneta - ne možemo tražiti npr. putovnicu ili osobnu iskaznicu
 
- Za bivšeg zaposlenika: tražimo ga neki podatak koji znaju samo on i poslodavac, kao npr. neki broj identifikacije u organizaciji kad je bio zaposlenik.
 
 
Pravo na pristup odnosi se samo na osobne podatke, a ne na kompletnu dokumentaciju. No, organizacija može dati i kopiju dokumentacije zaposleniku, a ne samo podatke, ako to smatra praktičnijim.
 
- Ako zaposlenik zahtijeva pristup email porukama, poslodavac mora dostaviti metapodatke (vremenske oznake, primatelje itd.) i sadržaj email poruka. U takvoj situaciji, dostavljanje preslike email poruka čini se najlakšim rješenjem za organizaciju da zadovolji zahtjev, ali nije obvezno. Naime, moramo dopustiti pristup samo podacima čija komunikacija ne krši nerazmjerno prava drugih osoba (npr. poslovna tajna i tajnost intelektualnog vlasništva, pravo na privatnost, tajnost korespondencije itd., bez odbijanja ispunjenja zahtjeva općenito.
 
 
Ako je podnositelj zahtjeva za pristup osobnim podacima pošiljatelj/primatelj:
 
- Pretpostavlja se da već zna sadržaj te stoga anonimizacija ili pseudonimizacija podataka koji se odnose na treće osobe predstavlja dobru praksu, a ne preduvjet za prijenos elektroničke pošte.
 
- U iznimnim slučajevima, pristup ili sadržaj emailova može predstavljati rizik za prava trećih osoba, na primjer zbog prirode podataka koji će se vjerojatno otkriti (npr. informacije kojima bi se prekršila nacionalna sigurnost ili poslovna tajna).
 
- Poslodavac tada mora:
(1) Pokušati izbrisati, anonimizirati ili pseudonimizirati podatke o trećim stranama ili kršiti tajnu kako bi se mogli pridržavati zahtjeva;
(2) Odbiti zahtjev za pristup, navodeći razloge i obrazlažući svoju odluku dotičnoj osobi.
 
- Čak i ako poslodavac odbije odgovoriti na zahtjev zaposlenika za pravo pristupa, potonji putem sudskog postupka ipak može dobiti dostavu sporne email korespondencije u kontekstu spora, pod uvjetom da je takav uvid nužan i da je povreda prava trećih osoba razmjerna cilju koji se želi postići.
 
 
Ako je podnositelj zahtjeva naveden u sadržaju email komunikacije:
 
- Poslodavac mora pronaći ravnotežu između zadovoljavanja prava zaposlenika na pristup i poštovanja prava i sloboda drugih zaposlenika, posebno tajnosti korespondencije.
 
(1) osigurati da način izvršenja zahtjeva kako bi se identificirala tražena email korespondencija ne krši nerazmjerno prava svih zaposlenika organizacije.
 
Na primjer: ako bi odgovaranje zahtijevalo skeniranje svih email poruka zaposlenika organizacije, trebali bismo zatražiti od podnositelja zahtjeva da konkretnije specificira svoj zahtjev. Ako se podnositelj zahtjeva usprotivi, možemo se pozvati, na poštovanje prava trećih strana. Međutim, ako informacije koje je dostavio podnositelj zahtjeva omogućuju utvrđivanje zatraženih email poruka bez nerazmjernog kršenja tajnosti korespondencije zaposlenika, mora se nastaviti kako slijedi dalje.
 
(2) proučiti sadržaj zatraženih emailova i procijeniti opseg povrede prava trećih strana koje bi njihova komunikacija predstavljala, posebno u pogledu tajnosti korespondencije i privatnosti pošiljatelja i primatelja. Ovaj korak uključuje analizu od slučaja do slučaja, ishod ovisno o prirodi informacija sadržanih u emailovima.
 
Na primjer: Poslodavac može odbiti zahtjev za dostavljanje kopije emailova koji se odnose na disciplinske mjere i istrage čiji bi sadržaj, čak i anonimiziran, mogao podnositelju zahtjeva omogućiti identifikaciju osoba kojih ne bi trebao biti svjestan.
 
 
Ako se radi o privatnim email porukama kao privatnom komunikacijom ili čiji se sadržaj čini naročito privatnim, ne smijemo im pristupati čak ni radi ispravljanja informacija, već se u originalnom obliku moraju pružiti podnositelju zahtjeva ako je on pošiljatelj ili primatelj takvih privatnih email poruka.
 
...................
 
CNIL smjernice su ovdje, na francuskom jeziku:
 
https://www.cnil.fr/fr/le-droit-dacces-des-salaries-leurs-donnees-et-aux-courriels-professionnels