Iskustvo (nemalo) nas uči da vrlo rijetko imamo prilike vidjeti da je neka organizacija ispunila obveze pravovremenog informiranja svojih zaposlenika o obradama njihovih osobnih podataka zajedno s informacijama o njihovim GDPR pravima i kako ih ostvariti. To je obveza iz članka 13. GDPR-a.
Pogotovo u većim organizacijama prisutne su i obrade osobnih podataka povezane sa službenim emailovima zaposlenika i zaista rijetko vidimo da su zaposlenici o tome upoznati.
GDPR ovdje traži da informiramo zaposlenike o tome i na određen način otvara mogućnost temeljenja određenih obrada na legitimnom interesu, posebice za potrebe osiguravanja sigurnosti informacijskog sustava, između ostalog u svrhe sprječavanja neovlaštenog pristupa informacijskom sustavu i širenja zlonamjernih kodova ili zaustavljanja napada „uskraćivanjem usluge“ te sprječavanja štete na informacijskom sustavu, kada organizacija ima nužnost obrađivati metapodatke o ostvarenom prometu (npr. IP adrese, vremena početka i završetka komunikacije i sl.) putem komunikacijskih sredstava koja omogućuje svojim zaposlenicima, pri tom ne ulazeći u sadržaj komunikacija.
Međutim, uvid u sadržaj elektroničke komunikacije zaposlenika je sasvim druga strana ploče. Samo u iznimnim slučajevima bi se eventualno to smjelo kako bi se organizacija zaštitila od mogućih nezakonskih poteza zaposlenika uz osiguranje ravnoteže između interesa poslodavca i prava na privatnost zaposlenika. Samo iznimne okolnosti (primjerice: sigurnosni incidenti, povreda radne dužnosti, odavanje poslovnih informacija konkurentu, sumnja na mobbing) mogu opravdati uvođenje nadzora sadržaja elektroničke komunikacije zaposlenika. Pri tom se ne smije obuhvaćati podatke o privatnom životu zaposlenika.
I o svemu tome zaposlenike se mora jasno informirati već pri samom zapošljavanju.
U jednoj talijanskoj banci to nije bio slučaj. U sporu radnika pred sudom, sud je donio presudu o nezakonitom otkazu zaposleniku zbog nezakonitog pristupa poslodavca emailovima zaposlenika, iako je zaposlenik bio optužen za kršenje pravila organizacije zbog „neprimjerenog“ odnosa s tržišnim takmacima i izostanka lojalnosti prema vlastitom poslodavcu, kao i zbog sumnji na učestala bolovanja koja su imala za posljedicu izostajanje s radnog mjesta.
Sud je zauzeo stajalište da je poslodavac pretjerao s pristupom sadržaju emailova zaposlenika i da je takav pristup bio previše invazivan, navodeći da „je potrebno osigurati odgovarajuću ravnotežu između zahtjeva zaštite interesa poslodavca i zaštite imovine u vezi sa slobodom poduzetničke inicijative i zaštite dostojanstva i privatnosti radnika.“
Sud je u konačnici naglasio da je poslodavac morao informirati svoje zaposlenike o takvim mogućnostima praćenja elektroničkih komunikacija zaposlenika.
Više o slučaju iz Italije:
https://gdprhub.eu/index.php?title=Corte_di_Cassazione_-_18168&mtc=today
Image by garetsvisual on Freepik
#gdprcroatia