Poslodavac u Italiji se dosjetio iskoristiti dostupna IT rješenja i sustave kako bi sustavno pratio što zaposlenici rade na službenim računalima, između ostalog i koje stranice posjećuju na internetu uz zadržavanje tih zapisa 30 dana.
Istovremeno je s obvezujućom instalacijom Data management sustava (inače sasvim dobar način upravljanja poslovnom dokumentacijom uz upravljanje pravima pristupa i mjerama osiguranja kontinuiteta poslovanja), otvorio nove službene email račune na koje su stizali svi emailovi koje su njegovi zaposlenici primali jednostavnim preusmjerivanjem dolaznih mailova i zadržavali su se 30 dana.
Jasno je da je time poslodavac ulazio u sadržaj pohrane na IT opremi i uređajima zaposlenika.
Štoviše, naložio je zaposlenicima iz odjela IT-a da izvan radnog vremena bez prisustva zaposlenika uđu u računalo zaposlenika i provjere što to on sve drži gore.
Slučaj je ovdje:
Slučaj je eskalirao prijavom od strane zaposlenika nadzornom tijelu za zaštitu osobnih podataka.
Poslodavac je opravdavao ovakav nadzor „osiguranjem ispravnog funkcioniranja IT sustava“, a nadzorno tijelo je presjeklo daljnju diskusiju jasnim stavom da pravna osnova za obradu podataka radi osiguranja sigurnosti i učinkovitosti IT sustava mora biti uravnotežena s pravima i slobodama ispitanika.
Ukratko, kazna od 20.000 EUR je po nama i preblaga, ali još je važnije da ovakav nadzor nad zaposlenicima putem IT opreme i mobilnih uređaja ne može biti balansiran s temeljnim pravima i slobodama zaposlenika.
Takav stav dijeli i AZOP:
https://azop.hr/najcesce-postavljena-pitanja/
- Poslodavac traži uvid u moju poslovnu e-poštu? Je li to zakonito?ž
Poslodavac može izvršiti uvid u poslovnu e-poštu kako bi zaštitio određena prava i interese i kako bi se zaštitio od mogućih nezakonskih poteza zaposlenika.
No, u takvim slučajevima mora postojati ravnoteža između interesa poslodavca i prava na privatnost zaposlenika, odnosno prije mora zadovoljiti određene uvjete. Samo iznimne okolnosti (primjerice; sigurnosni incidenti, povreda radne dužnosti, odavanje poslovnih informacija konkurentu, sumnja na mobbing) mogu opravdati uvođenje nadzora sadržaja elektroničke komunikacije zaposlenika, ako vrijednost dobra koje se želi zaštititi spomenutim nadzorom i stupanj ugroze koji mu prijeti prevladava nad pravom na zaštitu privatnosti.
Uvažavajući specifičnosti radnog odnosa između zaposlenika i poslodavca traženje privole zaposlenika/potencijalnih zaposlenika bilo bi samo forma, a izostanak privole mogao bi dovesti zaposlenike u neravnopravan položaj.
Nadzor elektroničke pošte mogu opravdati samo iznimne okolnosti i u slučaju uvođenja takvog nadzora isti je nužno detaljno propisati internim aktom.
U prvom redu, poslodavac je obvezan jasno i transparentno obavijestiti svoje zaposlenike o tome koje njihove osobne podatke prikuplja, zašto i s kojom svrhom, na koji rok, s kime ih dijeli, temeljem kojeg pravnog temelja, tko ima pristup istima i koja su prava zaposlenika u zaštiti svojih osobnih podataka.
GDPR ovdje traži da informiramo zaposlenike o tome i na određen način otvara mogućnost temeljenja određenih obrada na legitimnom interesu, posebice za potrebe osiguravanja sigurnosti informacijskog sustava, između ostalog u svrhe sprječavanja neovlaštenog pristupa informacijskom sustavu i širenja zlonamjernih kodova ili zaustavljanja napada „uskraćivanjem usluge“ te sprječavanja štete na informacijskom sustavu, kada organizacija ima nužnost obrađivati metapodatke o ostvarenom prometu (npr. IP adrese, vremena početka i završetka komunikacije i sl.) putem komunikacijskih sredstava koja omogućuje svojim zaposlenicima, pri tom ne ulazeći u sadržaj komunikacija.
I o svemu tome zaposlenike se mora jasno informirati već pri samom zapošljavanju.
Poslodavac treba u svojim internim aktima obvezati zaposlenike da ne posjećuju rizične web stranice, da ne skidaju neprovjerene aplikacije, da obrate pozornost na prijevare na internetu, čak i može svojim zaposlenicima ograničiti pristup društvenim mrežama za vrijeme radnog vremena ili stranicama za odrasle ili domenama na kojima se nalaze zlonamjerni programi ili prijevarni sadržaji, ali nema temelja pratiti njihovu aktivnost na internetu. Rješenje je u onemogućavanju posjećivanja određenih web stranica.
Osim preduvjeta nužnosti obrade osobnih podataka zaposlenika za ispunjenje legitimnih interesa poslodavca, mora se primijeniti MANJE INVAZIVNA metoda prikupljanja osobnih podataka.
Image from FreePik
#gdprcroatia
