Samo u iznimnim slučajevima bi se eventualno to smjelo kako bi se organizacija zaštitila od mogućih nezakonitih poteza zaposlenika uz osiguranje ravnoteže između interesa poslodavca i prava na privatnost zaposlenika. Samo iznimne okolnosti (primjerice: sigurnosni incidenti, povreda radne dužnosti, odavanje poslovnih informacija konkurentu, sumnja na mobbing) mogu opravdati uvođenje takvog nadzora, a pri tom se ne smije obuhvaćati podatke o privatnom životu zaposlenika.
I o svemu tome zaposlenike se mora jasno informirati već pri samom zapošljavanju.
U prilog tome ide i presuda Upravnog suda u Rijeci nakon što je bivši zaposlenik HEP-a podnio tužbu protiv AZOP-a, kojem je inicijalno prijavio slučaj da mu je poslodavac provjeravao sadržaj računala i diskova i time provodio nezakonitu obradu osobnih podataka. Hmhm.
Bivši zaposlenik se pored posla u HEP-u privatno bavio održavanjem računala pa je na njegovom radnom stolu bilo službene i privatne računalne opreme u kojima su bili i osobni podaci osoba koje nemaju veze s poslodavcem.
Jedno od računala u inženjerskoj radnoj stanici, odnosno, poslovnom prostoru HEP-a je prestalo raditi, pa je dotični bivši zaposlenik, iako je bio na bolovanju, došao u ured i presložio opremu. To se događalo za vrijeme sigurnosnog incidenta na jednoj hidroelektrani, pa je tadašnja inženjerska radna stanica ostala bez neprekidnog napajanja.
Taj zaposlenik je prilikom svog dolaska pokušao manipulirati opremom i nije dopustio drugim kolegama da uđu u računala.
Tada je njegov tadašnji poslodavac uspostavio novu inženjersku radnu stanicu na drugoj lokaciji i na kojoj nije bilo opreme dotičnog zaposlenika. Poslodavac je optužio tog zaposlenika da je izvršio sabotažu inženjerske radne stanice i pokrenuo internu istragu i uzeo svu njegovu službenu i privatnu opremu i provjerio pohranjeni sadržaj.
Računalo je oduzeto zaposleniku u svrhu provedbe interne istrage i prikupljanja dokaza koji možebitno upućuju na njegova skrivljena ponašanja u okviru radnog odnosa te svrha i namjera poslodavca nije obrada njegovih osobnih podataka. Ali je sam ulazak u računalo bio nužan kako bi se istražio sigurnosni incident i da se osigura nastavak rada i sigurnost postrojenja hidroelektrane.
Stoga ako u takvim okolnostima i dođe do prikupljanja/obrade osobnih podataka uslijed oduzimanja računala zaposleniku, takva obrada je u suštini slučajna i uzgredna iz razloga što poslodavac ne zna i ne može unaprijed znati nalaze li se na predmetnom računalu osobni podaci zaposlenika te o kojoj količini i kategoriji osobnih podataka se radi. U slučaju izuzimanja/daljnjeg korištenja „pronađenih“ osobnih podataka zaposlenika od strane poslodavca se radi o njihovom legitimnom korištenju, a radi dokazivanja u određenom (sudskom) postupku. U tom pogledu se AZOP pozvao na uvodnu odredbu (20) GDPR-a.
Uvodnom izjavom (49) GDPR-a propisano je da obrada osobnih podataka u mjeri koja je nužna i proporcionalna za potrebe osiguravanja sigurnosti mreže i informacija, odnosno sposobnosti mreže ili informacijskog sustava da se odupre, na danom stupnju povjerljivosti, slučajnim događajima ili nezakonitim ili zlonamjernim radnjama koje ugrožavaju dostupnost, autentičnost, integritet i povjerljivost pohranjenih ili prenesenih osobnih podataka te sigurnost povezanih usluga koje nude ili koje su dostupne putem tih mreža i sustava, koju provode tijela javne vlasti, jedinice za hitne računalne intervencije (CERT-ovi), jedinice za računalne sigurnosne incidente (CSIRT-ovi), pružatelji elektroničkih komunikacijskih mreža i usluga te davatelji sigurnosnih tehnologija i usluga smatra se legitimnim interesom dotičnog voditelja obrade podataka. To bi, na primjer, moglo uključivati sprečavanje neovlaštenog pristupa elektroničkim komunikacijskim mrežama i širenja zlonamjernih kodova te zaustavljanje napada „uskraćivanjem usluge” te sprečavanje štete na računalnim i elektroničkim komunikacijskim sustavima.
Prilikom pristupa računalu su ovlašteni zaposlenici tadašnjeg HEP-ovog Ureda za korporativnu sigurnost pronašli i neprimjeren sadržaj pornografskog, erotskog te zabavnog sadržaja, a za što je razumno pretpostaviti da predstavlja opasnost te ugrozu za funkcioniranje računalnog, a time i cjelokupnog proizvodnog sustava hidrocentrale i za cijeli energetski sustav RH.
Osobni podaci su od strane istražitelja obrađivani u skladu s legitimnim interesom iz članka 6.1.f. a posebne kategorije osobnih podataka temeljem članka 9.2.f. jer je obrada nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu.
Presuda Upravnog suda u Rijeci je ovdje:
Image from Magnific
#gdprcroatia
