AZOP je izrekao upravnu novčanu kaznu od 2.000 EUR Osnovnoj školi X zbog nezakonite obrade osobnih podataka zaposlenika.

Škola je Gradu Y proslijedila platne liste 18 zaposlenika bez zakonite svrhe i pravne osnove, čime je povrijeđen članak 5. i članak 6. Opće uredbe o zaštiti podataka (GDPR).

AZOP je utvrdio da je dostavljanje podataka bilo neosnovano, a djelomična „anonimizacija“ neučinkovita.

Agencija za zaštitu osobnih podataka (dalje u tekstu: Agencija) zaprimila je predstavku djelatnika OŠ X (dalje u tekstu: podnositelji predstavke), zastupanih po odvjetnici, u kojem u bitnome navode da su dana 25. ožujka 2024. godine na Radničkom vijeću OŠ X izviješteni članovi navedenog radničkog vijeća o tome da je u tijeku nadzor Gradskog ureda za unutarnju reviziju i kontrolu, a koji se tiču platnih lista djelatnika.

Platne liste pojedinih članova Radničkog vijeća su, kako navode, dostavljene Gradskom uredu za unutarnju reviziju i kontrolu od strane v.d. ravnatelja OŠ X na dan 6. ožujka 2024. godine, a platne liste voditelja računovodstva su dostavljene u veljači 2024. godine. Pri tome podnositelji predstavke ističu da nisu dali nikakvu suglasnost za prethodno navedeno dostavljanje platnih lista.

Podnositelji predstavke dodaju kako Grad Y nije naveo, obrazložio niti dokumentirao u okviru kojeg postupka se predmetni podaci traže, je li započet postupak kontrole pri Gradu Y, na temelju čega i kojim aktom, odnosno nije dokazao koji je pravni temelj za prikupljanje predmetnih podataka, koje djelovanje, kako navode, predstavlja ozbiljno kršenje privatnosti i prava na zaštitu osobnih podataka.

Podnositelji predstavke nadalje ističu kako Grad Y nije poslodavac zaposlenicima čije su se liste dostavljale niti istima isplaćuje plaće te nema pravo uvida u platne liste niti pod uvjetima međuinstitucionalne suradnje jer navedeno nije u skladu s načelom razmjernosti obrade osobnih podataka zaposlenika. U predstavci se opetovano ističe kako nema akta o provedbi nadzora, nema ovlasti niti zakonske osnove da Grad Y provodi nadzor financijske naravi nad platnim listama zaposlenika čije se plaće ne financiraju iz gradskog proračuna.

Nadalje, u predstavci se opisuje i događaj koji je uslijedio nakon dostave platnih lista za Grad Y, a za koji događaj podnositelji predstavke navode da je neposredno u vezi s neovlaštenom obradom podataka, kada je zaposlenica Grada Y, Gradskog ureda za unutarnju reviziju i kontrolu, u prisutnosti v.d. ravnatelja škole i još jednog djelatnika Grada Y, na školskom računalu v.d. ravnatelja, u programu LABIS, vršila pretraživanje.

Podnositelji predstavke dodaju da je iz platnih lista moguće izvesti informacije odnosno zaključke o pojedincu na kojeg se odnose, a na kojima su uz ime i prezime, OIB i adresu stanovanja vidljivi i ostali podaci, primjerice članstvo u sindikatu, kreditna zaduženost (administrativna zabrana), iznos primanja, broj djece i ostali podaci.

Kod donošenja odluke Agencija je uzela u obzir mišljenje Ministarstva financija vezano uz pitanje nadležnosti financijskog nadzora u Osnovnoj školi X, u kojem su naveli da Grad Y, Gradski ured za unutarnju reviziju i kontrolu, nije ovlašten provoditi financijski nadzor nad sredstvima koji dolaze iz državnog proračuna Republike Hrvatske.

Slijedom navedenog, utvrđeno je kako Grad Y nije imao pravnu osnovu niti svrhu za obradu osobnih podataka zaposlenika voditelja obrade sadržanih u platnim listama. Prema tome, voditelj obrade nije imao pravnu osnovu i svrhu za prosljeđivanje osobnih podataka svojih zaposlenika Gradu Y.

Autor GDPR Croatia je vanjski Službenik za zaštitu podataka za niz škola u više županija i jako dobro zna koliko samo raznih zahtjeva raznih institucija dolazi školama za dostavu podataka, pri čemu je sva odgovornost na školama.

 

🔎 Ovaj slučaj jasno pokazuje važnost pažljivog postupanja s osobnim podacima zaposlenika, ali i ključnu ulogu službenika za zaštitu podataka.

Nažalost, često se događa da zaposlenici ne znaju kome se obratiti ili da imenovani službenik nema potrebna znanja, ne samo u školama već i u gradovima i općinama.

 

Rješenje AZOP-a o kazni osnovnoj školi je ovdje:

https://azop.hr/wp-content/uploads/2025/09/skola-kazna.pdf

 

Image from Freepik

#gdprcroatia