Poslodavac u Francuskoj se dosjetio iskoristiti dostupna IT rješenja i sustave kako bi sustavno pratio što zaposlenici rade na službenim računalima, stalnim snimanjem ponašanja i radnji zaposlenika u radnom prostoru i prostoru za rekreaciju.
Također, poslodavac je koristio softver koji je mjerio radno vrijeme zaposlenika koji rade izvan ureda praćenjem razdiblja neproduktivnosti ako zaposlenik nije koristio tipkovnicu ili miš u roku od 3 do 15 minuta. Ako zaposlenici nisu nadoknadili "izgubljeno vrijeme", bili su izloženi sankcijama, odnosno, smanjenju plaće.
Softver je također snimao posjete "produktivnim" ili "neproduktivnim" web stranicama, koje je odredio poslodavac. Svakih 3 do 15 minuta, softver je uzimao snimke zaslona računala zaposlenika.
Poslodavac je omogućio i zajednički pristup više osoba administratorskom računu softvera, čime je onemogućio ispravnu forenziku praćenjem logova korištenja tog računa.
Nadzorno tijelo za zaštitu podataka je utvrdilo:
: da je kontinuirano snimanje i snimanje zvuka neopravdano
: da poslodavac nije primjereno obavijestio zaposlenike o videonadzoru, jer je znak sadržavao samo simbol kamere bez daljih informacija o svrsi ili pohrani snimaka
: da praćenje razdoblja neproduktivnosti nije odražavalo stvarno radno vrijeme, stoga poslodavac nije imao zakonsku osnovu za ovu obradu podataka.
: da je praksa redovitih snimaka zaslona računala bila posebno invazivna jer je mogla uhvatiti osjetljive osobne informacije.
: da zajednički pristup administratorskom računu čini taj račun ranjivim na napade ransomwarea i da nadzornik nije spriječio to
: da je kontinuirani nadzor zaposlenika stvarao visok rizik za njihova prava i slobode, što je zahtijevalo od poslodavca da provede procjenu učinka na zaštitu podataka
Takav stav dijeli i AZOP:
https://azop.hr/najcesce-postavljena-pitanja/
- Poslodavac traži uvid u moju poslovnu e-poštu? Je li to zakonito?ž
Poslodavac može izvršiti uvid u poslovnu e-poštu kako bi zaštitio određena prava i interese i kako bi se zaštitio od mogućih nezakonskih poteza zaposlenika.
No, u takvim slučajevima mora postojati ravnoteža između interesa poslodavca i prava na privatnost zaposlenika, odnosno prije mora zadovoljiti određene uvjete. Samo iznimne okolnosti (primjerice; sigurnosni incidenti, povreda radne dužnosti, odavanje poslovnih informacija konkurentu, sumnja na mobbing) mogu opravdati uvođenje nadzora sadržaja elektroničke komunikacije zaposlenika, ako vrijednost dobra koje se želi zaštititi spomenutim nadzorom i stupanj ugroze koji mu prijeti prevladava nad pravom na zaštitu privatnosti.
Uvažavajući specifičnosti radnog odnosa između zaposlenika i poslodavca traženje privole zaposlenika/potencijalnih zaposlenika bilo bi samo forma, a izostanak privole mogao bi dovesti zaposlenike u neravnopravan položaj.
Nadzor elektroničke pošte mogu opravdati samo iznimne okolnosti i u slučaju uvođenja takvog nadzora isti je nužno detaljno propisati internim aktom.
U prvom redu, poslodavac je obvezan jasno i transparentno obavijestiti svoje zaposlenike o tome koje njihove osobne podatke prikuplja, zašto i s kojom svrhom, na koji rok, s kime ih dijeli, temeljem kojeg pravnog temelja, tko ima pristup istima i koja su prava zaposlenika u zaštiti svojih osobnih podataka.
GDPR ovdje traži da informiramo zaposlenike o tome i na određen način otvara mogućnost temeljenja određenih obrada na legitimnom interesu, posebice za potrebe osiguravanja sigurnosti informacijskog sustava, između ostalog u svrhe sprječavanja neovlaštenog pristupa informacijskom sustavu i širenja zlonamjernih kodova ili zaustavljanja napada „uskraćivanjem usluge“ te sprječavanja štete na informacijskom sustavu, kada organizacija ima nužnost obrađivati metapodatke o ostvarenom prometu (npr. IP adrese, vremena početka i završetka komunikacije i sl.) putem komunikacijskih sredstava koja omogućuje svojim zaposlenicima, pri tom ne ulazeći u sadržaj komunikacija.
I o svemu tome zaposlenike se mora jasno informirati već pri samom zapošljavanju.
Poslodavac treba u svojim internim aktima obvezati zaposlenike da ne posjećuju rizične web stranice, da ne skidaju neprovjerene aplikacije, da obrate pozornost na prijevare na internetu, čak i može svojim zaposlenicima ograničiti pristup društvenim mrežama za vrijeme radnog vremena ili stranicama za odrasle ili domenama na kojima se nalaze zlonamjerni programi ili prijevarni sadržaji, ali nema temelja pratiti njihovu aktivnost na internetu. Rješenje je u onemogućavanju posjećivanja određenih web stranica.
Osim preduvjeta nužnosti obrade osobnih podataka zaposlenika za ispunjenje legitimnih interesa poslodavca, mora se primijeniti MANJE INVAZIVNA metoda prikupljanja osobnih podataka.
Više o slučaju:
https://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2024-021&mtc=today
Image from FreePik
#gdprcroatia