Možda će organizacijama koje ne poštuju strogo pravilo iz naslova ovaj post pomoći u „odvikavanju“ od loše navike.
Američko-njemački poslodavac bio je u fazi uvođenja novog HRM (Human Resources Management) sustava, kojim će upravljati gotovo svim podacima o svojim zaposlenicima.
Sustav se, kao i svi napredniji današnji HRM sustavi, nalazio u Cloudu i prije njegove pune implementacije krenulo se s testiranjem. Odlično.
Prije testiranja utvrđena su stroga pravila i sklopljeni su ugovori kojima se zabranjuje korištenje tog sustava u testnoj fazi na živim, odnosno, stvarnim podacima zaposlenika, ali da će se koristiti samo uzak skup osobnih podataka zaposlenika radi kvalitetnije provjere točnosti rada testnog sustava, konkretno, ime, prezime, datum početka radnog odnosa, mjesto rada i broj službenog telefona.
No, pravila i ugovori su bili samo slovo na papiru.
Poslodavac je u testni sustav unio i puno osjetljivije osobne podatke zaposlenika, podatke o plaćama, privatne adrese, datume rođenja, bračne statuse, matične brojeve, podatke o nacionalnosti i porezne oznake, sve to u kompanijski Cloud kojim su se svi ti podaci prenosili u SAD s obzirom da se radilo o američko-njemačkoj grupaciji, izvan unaprijed definiranih pravila testiranja.
Jedan zaposlenik se požalio sudu smatrajući da ovakav opseg osobnih podataka nije ni na koji način bio nužan za testiranje sustava i da su se morali u tu svrhu koristiti testni anonimizirani podaci. Zatražio je pri tom naknadu štete zbog izostanka kontrole nad vlastitim osobnim podacima. Savezni njemački sud je naglasio da se uvijek mora poštivati GDPR, u skladu s presudom Europskog suda C-65/23 koja jasno obvezuje da se obrada osobnih podataka u kontekstu radnih odnosa uvijek mora voditi u skladu s GDPR obvezama, konkretno, člancima 6. i 9. Pri tom je tom zaposleniku usvojio odštetni zahtjev zbog gubitka kontrole nad vlastitim podacima.
Pri tom je sud jasno naglasio da korištenje živih podataka zaposlenika za testiranje HRM sustava može biti utemeljeno na legitimnom interesu kao pravnom temelju iz članka 6. GDPR-a, ali samo ako poslodavac može dokazati da anonimizirani testni podaci nisu dovoljni za izvršenje testova sustava.
Sad zamislimo koliki bi iznos odštete poslodavac ili organizacija morala isplatiti da su se tako požalili svi zaposlenici, ili svi klijenti ili korisnici čiji se podaci koriste za testiranje sustava.
Više od slučaju:
https://gdprhub.eu/index.php?title=BAG_-_Az._8_AZR_209/21&mtc=today
Image from Freepik
#gdprcroatia