Zaključak je to nizozemskog nadzornog tijela za zaštitu osobnih podataka u slučaju višestrukih propusta učinjenih na strani agencije za zapošljavanje.

Uobičajeno agencije za zapošljavanje prikupljaju niz osobnih podataka kandidata za pretragu radnih mjesta i pohranjuju ih na određene rokove koji moraju svima biti unaprijed poznati.

Po pronalaženju mogućeg slobodnog radnog mjesta agencija emailom obavještava kandidate o istome.

Međutim, konkretna agencija za zapošljavanje je u kratkom roku dobila 3 prijave nadzornom tijelu za zaštitu osobnih podataka jer nije izvršila višestruke zahtjeve za brisanjem osobnih podataka podnesenim od strane upisanih tražitelja posla. Naime, čak i po podnesenim zahtjevima za brisanjem tražitelji posla su dobivali emailove s obavijestima o otvorenim radnim mjestima.

Agencija za zapošljavanje je pokušala opravdati svoje neizvršenje zahtjeva za brisanjem opravdanjem da su u svojoj Politici privatnosti na web stranicama naveli na koju email adresu se podnose takvi zahtjevi, dok su zahtjevi za brisanjem od strane tražitelja posla dostavljeni na email adrese pojedinih njihovih agenata za zapošljavanje.

Činjenica je da agencija za zapošljavanje nije imala nikakve interne upute za svoje zaposlenike što činiti u slučaju dobivanja zahtjeva za pravima ispitanika, a očigledno je i da zaposlenici nisu bili educirani o osnovama GDPR-a.

Nakon ovih prijava i reakcije nadzornog tijela agencija za zapošljavanje uvela je internu proceduru koja uključuje prosljeđivanje takvih primljenih zahtjeva unutar organizacije na pravo mjesto gdje se takvi slučajevi rješavaju.

 

Isto je potvrđeno i u EDPB Smjernicama na temu prava na pristup podacima, javno dostupnim ovdje:

https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf

u kojima je dan primjer da je zahtjev valjano podnesen ako je poslan na neku opću email adresu voditelja obrade, ali ako pojedinac pošalje zahtjev na email adresu za zaprimanje prigovora na čistoću sanitarnog čvora, tada se takav GDPR zahtjev ne treba smatrati valjanim.

 

Ukratko, u svakoj organizaciji SVI zaposlenici moraju biti educirani kako postupati sa zahtjevima za pristup osobnim podacima, što činiti s njima kad ih zaprime i kome eskalirati slučaj.

To treba raditi putem edukacija i putem svima dostupnih internih uputa ili protokola, u kojima bi trebalo biti jasno navedena uputa da takve upite odmah i bez odlaganja proslijede svom nadređenom i službeniku za zaštitu podataka. Bez odlaganja.

Koliko tvrtki danas ima takve upute?

 

Više o nizozemskom slučaju:

https://gdprhub.eu/index.php?title=AP_(The_Netherlands)_-_z2019-28837&mtc=today

 

Image from FreePik

#gdprcroatia