"Data Protection by Default and by Design" ili na hrvatskom jeziku Tehnička i integrirana zaštita podataka, obuhvaćeni člankom 25. GDPR-a nalažu svim voditeljima obrade osobnih podataka da moraju voditi brigu o provođenju organizacijskih i tehničkih mjera kao što je npr. smanjenje količine podataka, odnosno, da budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost.
 
Poslodavac osigurava svojim zaposlenicima laptope, u pravilu na Windows 10 ili 11 operativnom sustavu.
 
Također je u pravilu ograničen broj zaposlenika kojima su dodijeljena administratorska prava pristupa laptopima, dok se zaposlenicima u pravilu dodijeljuju prava "običnog" korisnika.
 
No, admin može i daljinski pristupiti korporativnom laptopu i mijenjati određene konfiguracije, voditi troubleshooting ili provjeravati ispravnost laptopa.
 
I u jednom trenutku zaposlenici otkriju u postavkama Windowsa (Settings - Privacy&Security - Location) da im se prati lokacija laptopa bez ikakve informacije poslodavca o svrhu, pravnom temelju, svrhi i pravima zaposlenika i bez mogućnosti da onemoguće praćenje lokacije.
 
Naravno da takvo praćenje od strane poslodavca teško može pronaći svoju opravdanost i zakonitost i naravno da je poslodavac odgovora osigurati usklađenost s temeljnim načelima GDPR-a i prije predaje laptopa zaposleniku na korištenje treba ograničiti prikupljanje osobnih podataka kroz Windows postavke u okviru onog što može opravdati valjanim pravnim temeljima iz članka 6. GDPR-a.
 
Pri tom se poslodavac ne može vaditi opravdanjem da su takve laptope dobili prekonfigurirane i da je za to odgovoran Microsoft ili dobavljač laptopa. Ne, poslodavac je odgovoran za poštivanje načela "Data Protection by Default and by Design" i mora onemogućiti opcije ponuđene u softwareu treće strane koje nisu u skladu s GDPR principima.
 
Takav slučaj dogodio se u Finskoj gdje je zaposlenik prijavio problem nadzornom tijelu za zaštitu osobnih podataka, s obzirom da nije imao mogućnosti onemogućiti praćenje njegove lokacije niti je dobio ikakvo obrazloženje poslodavca zašto je to omogućeno u postavkama operativnog sustava, u kojima postoji niz postavki privatnosti korisnika.
 
 
Više o slučaju iz Finske:
 
https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_6813/171/21&mtc=today
 
 
 
Photo by fauxels from Pexels