Prenosimo slučaj s Islanda, kakav se svakako može u nizu primjera primijeniti i kod nas, posebice u organizacijama čije se uprave odjednom sjete koristiti osobne podatke zaposlenika u nezakonite svrhe, odnosno, suprotno GDPR-u.

Jedan zaposlenik prijavio je svog poslodavca nadzornom tijelu za zaštitu osobnih podataka. Njegov poslodavac (voditelj obrade) koristio je tahografe u službenim vozilima i njime bilježio vremena vožnje i odmore, kao i razdoblja raspoloživosti vozača i rada na drugim poslovima.

Pri njegovom zapošljavanju bio je od strane poslodavca informiran o tome da su tahografi ugrađeni u službena vozila iz sigurnosnih razloga.

Međutim, podatke iz tahografa o njegovom radnom učinku i pauzama za obrok kasnije je poslodavac koristio kako bi opravdao otkaz njegovog ugovora o radu.

Otpušteni zaposlenik se požalio nadzornom tijelu da obrada njegovih osobnih podataka uoči njegovog otkaza nije bila u skladu s izvornom svrhom korištenja tahografa i da prije takve obrade podataka iz tahografa nije bio obaviješten o promijenjenoj namjeni tih podataka.

Poslodavac je u odgovoru na tužbu izjavio da je zaposlenik trebao biti svjestan da se tahograf mogao koristiti u svrhu praćenja njegovog ispunjavanja radnih obveza te je tvrdio da je privola zaposlenika pravni temelj za takvu obradu osobnih podataka.

Islandsko tijelo za zaštitu podataka utvrdilo je da je voditelj obrade prekršio članak 5. stavak 1. točku (a) i članak 5. stavak 1. točku (b) GDPR-a.

Prvo, poslodavac kao voditelj obrade tražio je privolu kao pravnu osnovu za obradu prema članku 6. stavku 1. GDPR-a unatoč jasnoj neravnoteži moći između poslodavca i zaposlenika, čime privola nikako ne može biti izrazom slobodne volje, odnosno, da je takav pristanak prisilan i nevažeći.

Poslodavac je morao i smio obrađivati osobne podatke iz tahografa prema članku 6. stavku 1. točki (f) GDPR-a ako može dokazati valjani legitiman interes.

Drugo, osim ako relevantne strane nisu unaprijed obaviještene o promijenjenoj namjeni, zabranjeno je koristiti osobne podatke u druge svrhe od prethodno navedenih. Nadzorno tijelo je zaključilo da su prikupljeni osobni podaci korišteni u drugu svrhu od one o kojoj je zaposlenik bio prvotno obaviješten i da ni na koji način nije bio obaviješten o toj promjeni. To znači da obrada od strane voditelja obrade nije bila poštena ni transparentna, što je rezultiralo kršenjem članka 5. stavka 1. točke (a) GDPR-a. Dodatno, ukazuje da je daljnja obrada njegovih osobnih podataka obavljena na način koji nije bio u skladu s izvornom svrhom, što je u suprotnosti s člankom 5. stavkom 1. točkom (b) GDPR-a.

 

GDPR u svojoj uvodnoj izjavi (50) utvrđuje:

Obrada osobnih podataka u svrhe različite od svrha za koje su podaci prvotno prikupljeni smjela bi se dopustiti samo ako je obrada usklađena sa svrhama za koje su osobni podaci prvotno prikupljeni. U takvom slučaju nije potrebna pravna osnova zasebna od one kojom je dopušteno prikupljanje osobnih podataka.

Nastavak obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebalo bi smatrati usklađenom zakonitom obradom.

Pravna osnova koja se predviđa pravom Unije ili pravom države članice za obradu osobnih podataka također može činiti pravnu osnovu za daljnju obradu.

Radi utvrđivanja je li svrha nastavka obrade usklađena sa svrhom prvotnog prikupljanja osobnih podataka, voditelj obrade nakon ispunjavanja svih zahtjeva zakonitosti izvorne obrade trebao bi uzeti u obzir, među ostalim, svaku vezu između te svrhe i svrhe planiranog nastavka obrade, kontekst u kojem su prikupljeni osobni podaci posebno opravdana očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade u pogledu daljnje uporabe podataka, prirodu osobnih podataka, posljedice planiranog nastavka obrade za ispitanike i postojanje primjerenih zaštitnih mjera u izvornoj i planiranoj daljnjoj obradi.

Ako je ispitanik dao privolu ili se obrada temelji na pravu Unije ili pravu države članice koje čini potrebnu i razmjernu mjeru u demokratskom društvu posebno za zaštitu važnih ciljeva od općeg javnog interesa, voditelju obrade trebalo bi dopustiti daljnju obradu osobnih podataka neovisno o usklađenosti svrha.

 

Više o islandskom slučaju na:

https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Island)_-_M%C3%A1l_nr._2022050836&mtc=today

 

Image from FreePik

#gdprcroatia