Jeste li usklađeni s GDPR-om? Zaštita podataka iz perspektive poslodavaca
Igor Barlek je nositelj globalno priznatog certifikata CIPP/E - Certified Information Privacy Professional / Europe, certificiran od strane IAPP (International Association of Privacy Professionals), član Uprave EADPP - European Association of Data Protection Professionals i na poziciji Strategy & Policy Committee Chair, vlasnik i direktor tvrtke BI CONSULT d.o.o. i na poziciji Chief Compliance Officer u Pragmatekh timu profesionalaca u zaštiti podataka iz Zagreba te autor i urednik referentnog nacionalnog portala o zaštiti privatnosti GDPR Croatia.
2016. godine je po donošenju GDPR-a sudjelovao u prvom projektu usklađivanja s GDPR obvezama u jednoj regionalnoj multinacionalnoj korporaciji i započeo pripreme za samostalni nastup na tržištu u ulozi konzultanta i profesionalca u zaštiti osobnih podatka s krajem 2017. godine. Zajedno s renomiranim timom profesionalaca u području zaštite osobnih podataka PRAGMATEKH d.o.o., Zagreb, sudjelovao je do sada na više od 100 zahtjevnih projekata usklađivanja tvrtki i ustanova u Hrvatskoj i Sloveniji i globalnih renomiranih udruženja. Imenovan je vanjskim Službenikom za zaštitu podataka za 34 pravna subjekta u Republici Hrvatskoj.
S Igorom je bila izuzetno zadovoljstvo razgovarati na temu GDPR-a. Izuzetan je Igorov doprinos boljem razumijevanju ove teme na cijelom tržištu, a njegova vještina kvalitetne prezentacije dodatno olakšava uspješniju primjenu. Iako imamo još dosta izazova ispred nas, neke ćemo možda razjasniti i ovim intervjuom.
Koliko se često susrećete s GDPR temom u području ljudskih potencijala odnosno području zaštite osobnih podataka između poslodavaca i zaposlenika te kakva je neka trenutna ocjena usklađenosti zakona i prakse?
Mogu odmah odgovoriti da se s temom usklađenosti procesa u području ljudskih potencijala i zaštite osobnih podataka susrećem svakodnevno jer sam prisutan ili imam učestale kontakte s brojnim poslovnim subjektima, javnim ustanovama i tijelima javne vlasti, kojima je upravo zajedničko područje ljudskih potencijala. Mnogi me zovu radi običnog savjeta a neki i radi spašavanja incidentne situacije.
No, vrlo iskreno, u tom području nalazi se i najviše pogrešaka u usklađenosti organizacija, kojih organizacije nisu inicijalno svjesne. Kada im spomenem da u svakoj organizaciji postoje i „malo manje zadovoljni“ zaposlenici i da znam da imaju negdje na mailovima i ladicama životopise kandidata za posao koje nisu nikad pozvali na razgovor niti im se povratno javili te da svaki pojedinac može u svakom trenutku tražiti svoja prava iz GDPR-a, tada se osviještenost organizacija i ozbiljnost izraza lica bitno mijenja.
Volim predložiti organizacijama da kolektivno uzmu 15 minuta vremena prvi slijedeći dan da izvrnu sve svoje ladice i ormare te mailove i pronađu zaostale životopise i zamolbe nekadašnjih kandidata za posao, i da ih na pametan način odmah unište i ekološki zbrinu. Nakon takvih akcija na njihova namrštena lica dolazi i osmijeh. Prvi korak je učinjen.
Već laganim grebanjem po površini vrlo često nailazim na privole zaposlenika za razne svrhe ili na izostanak davanja jasnih i jednostavnih informacija zaposlenicima i kandidatima kako će naša organizacija postupati s njihovim osobnim podacima i koja im prava osigurava. Odmah ću reći, privolama je rijetko mjesto ovdje, jer privole moraju biti predmetom slobodne volje i slobodnog odabira. Zaposlenici se u pravilu boje odbiti dati privolu i tada takva privola nije zakonita i po GDPR-u ne vrijedi.
Tu su svakako i posebno teški izazovi sezonskih zapošljavanja, video nadzora zaposlenika na radnom mjestu, praćenja službenih vozila GPS nadzorom, upravljanja liječničkom dokumentacijom i dokumentacijom o ozljedama na radu, i u konačnici, najteži dio – određivanje rokova pohrane svih dokumenata i osobnih podataka. Naime, uvjerljivo najčešće se susrećem s trajnim zadržavanjem dokumentacije, što je u suprotnosti s GDPR-om.
Transparentan i pošten odnos prema svakom zaposleniku treba proširiti i na područje zaštite njihovih osobnih podataka s naglaskom na njihova prava iz GDPR-a i kako ih ostvariti. Vjerujte, zaposlenici to znaju cijeniti.
Za one tvrtke koje još nisu strukturirano pristupile temi zaštite osobnih podataka, kako bi izgledao postupak kojim bi strukturirali svoje aktivnosti? Koji im recept možete ponuditi?
Iako je područje upravljanja ljudskim resursima nepresušno što se tiče zaštite osobnih podataka, svakako bih izdvojio slijedeće korake:
1. Uzmimo poveći komad praznog papira i fokusirajmo se na ovu temu s punom iskrenošću, postupak će nas podsjećati na tzv. brainstorming.
2. Raspišimo čije osobne podatke imamo (zaposlenici, bivši zaposlenici, kandidati za posao, bivši kandidati za posao, članovi obitelji zaposlenika, djeca zaposlenika, privremeni tuđi zaposlenici, studenti, đaci, stipendisti…).
3. Sada ispod svake prepoznate skupine osoba napišimo koje njihove dokumente imamo kao i koje osobne podatke (npr. evidencije radnih vremena, životopisi, isplatne liste, kopije osobnih iskaznica, kopije rodnih listova, privatne i službene mobilne brojeve i emailove, zapisnike s alkotesta, ocjene rada ili procjene prilikom zapošljavanja, ispunjenje uvjeta za bonuse ili kazne, kopije bankovnih kartica, zapisi s GPS sustava praćenja vozila ili video nadzora ili RFID kartica za pristup prostorima ili printerima…).
4. Nakon što smo do sada položili test iz iskrenosti, tada idemo za svaku kategoriju osobnih podataka ili dokumenata ili kopija utvrditi:
-
Jesmo li ih zakonski obvezni imati i na koji rok zadržati?
-
Jesmo li ih dužni obrađivati prema ugovoru o radu?
-
aAko nismo obvezni koji podatak ili dokument obrađivati, da li nam zaista treba ili možemo i bez njega?
-
Upitajmo se imamo li neke dokumente ili evidencije ili osobne podatke koji nam uopće ili više ne trebaju, jesu li nam rokovi pohrane prošli? Ako nam ne trebaju i nemamo obvezu ni opravdanu potrebu ih zadržavati, uništimo ih trajno i na siguran način.
-
Utvrdimo za svaku vrstu dokumenta s osobnim podacima ili evidenciju, bez obzira bili oni ispisani ili na računalima ili cloudu, našem ili tuđem serveru, u našoj ili tuđoj aplikaciji, gdje nam se nalaze, kod koga u organizaciji, moraju li tamo biti i tko uopće ima pristup do njih, jel ih šaljemo nekoj drugoj organizaciji ili tijelu javne vlasti ili pak izvan EU/EEA?
5. Sada idemo utvrditi također čuvamo li ih tako da nitko neovlašten ne može do tih dokumenata i evidencija, zaključavamo urede i ormare, očistimo radne stolove kad odlazimo iz ureda, zaključavamo računala i pametne telefone, ažuriramo softvere, revidiramo tko im ima pristup, i odredimo tko je zapravo u našoj organizaciji voditelj tog pojedinog procesa obrada podataka.
6. Kad to sve prikupimo, idemo izraditi evidencije aktivnosti obrada osobnih podataka, ne samo zato što je to GDPR obveza već i što nam je to mapa naših postupaka obrada podataka sa svim prethodno navedenim stavkama.
7. Po izvršenju ovih faza i sami ćemo moći prepoznati gdje sve griješimo, i uz pomoć kvalitetnog i provjerenog profesionalca u zaštiti podataka može se jednostavnije krenuti u ispravljanje pogrešaka.
8. Ako organizacija sama može to sve odraditi, imamo savršen slučaj. Tu se svakako mora voditi briga o:
-
osiguranju informiranosti svih zaposlenika i kandidata za radno mjesto o obradama njihovih osobnih podataka, s kojom svrhom ih obrađujemo, zašto nam trebaju, kome dajemo pristup, jel ih otkrivamo nekom trećem ili ih prenosimo izvan EU/EEA, jel angažiramo možda vanjske psihologe za procjenu ili agencije za zapošljavanje, imamo li video nadzor i GPS praćenje vozila, pratimo li rad zaposlenika, dokle podatke zadržavamo, koji nam je pravni temelj iz članka 6. GDPR-a i koja GDPR prava i na koji način osiguravamo
-
nakon što se riješimo svih zaostalih i nepotrebnih životopisa kandidata za posao, uvedimo nove procedure upravljanja prikupljanjem podataka kandidata i njihovih zamolbi, uključujući i odgovore kandidatima bez obzira radi li se o dobrim ili neželjenim kandidatima, nemojmo propustiti svakome se povratno javiti da smo njihove podatke primili, da ćemo ih zadržati ili smo ih uništili i da ćemo ih vratiti. Već takvim postupanjem neće nam se dogoditi više da zadržavamo životopise kandidata i iz 1998. Dokumentirajmo te procedure i neka postanu interni obvezujući akt organizacije.
-
osigurajmo jasne i dokumentirane procedure prihvaćanja i izvršavanja zahtjeva za GDPR pravima svake osobe, kao što su prava na pristup podacima, brisanje i izmjene, prijenos ili ograničenje te za podnošenje prigovora, nemojmo nikada i baš nikada ignorirati neki od takvih zahtjeva. Osigurajmo jedinstvene kontakte (email adresu) na koju se takvi zahtjevi primaju.
-
sklopimo ugovore o obradi podataka s održavateljima aplikacija za do sada spomenute obrade osobnih podataka, za održavatelje video nadzora i GPS nadzora vozila, s knjigovodstvenim servisom koji obrađuje plaće zaposlenika, s vanjskim psiholozima koji nam pomažu u procjeni kandidata ilis agencijama za zapošljavanje te tvrtkama koje nam osiguravaju stručno osposobljavanje zaposlenika,
-
ako privremeno zapošljavamo radnu snagu koja je iznajmljena od strane tvrtki koje se time bave, sklopimo ugovor o zajedničkim voditeljima obrade s takvim tvrtkama,
-
svu dokumentaciju zaposlenika moramo držati u sigurnim ormarima sa zaključavanjem, po zaključavanju ključić ne smijemo ostavljati u bravicama pod izlikom da ga ne izgubimo,
-
svoja računala, pametne telefone zaključavajmo kompleksnim lozinkama i redovito ažurirajmo operativne sustave, antivirusne alate i aplikacije,
-
redovito educirajmo sve zaposlenike koji sudjeluju u obrada osobnih podataka, vodite evidenciju o edukacijama i angažirajte one predavače koji neće čitati puke članke već one koji će odgovoriti na vaša pitanja.
To bi bio osnovni skup mjera za koliko-toliko miran san.
Imate li primjer nekog slučaja u kojem je možda najviše pogrešaka i kako pristupiti izbjegavanju takvih situacija?
Želio bih usmjeriti pozornost na možda najopasniji slučaj na koji prečesto nailazim u organizacijama svih vrsta i oblika – uzimanje preslika kartica tekućeg računa.
To je ostavština davnih vremena kada su kartice tekućeg računa zaista bile samo to.
No danas su te kartice zapravo bankovne ili kreditne kartice sa svojim podacima o broju, mjesecu isteka valjanosti, IBAN-u i CVV-u – najvažnijem sigurnosnom podatku na bankovnim karticama, kojeg zna samo vlasnik kartice.
Navika uzimanja kopija bankovnih kartica time postaje iznimno opasna. Ako zaposleniku „nestanu“ novci s računa, zaposlenik će razmisliti tko bi mogao uopće imati podatke s njegove kartice. I optužiti poslodavca.
A poslodavac uzima presliku cijene bankovne kartice samo zbog IBAN broja, koji mu treba samo jednom za isplatu prve plaće. Nemojmo uzimati kopije bankovne kartice, uništimo sve kopije koje imamo.
Pratite GDPR Croatia za savjete i upute i sretno.