Ovaj članak će zasigurno izazvati puno bure i negodovanja, ali ga pišemo za vaše dobro i dobro vaših tvrtki.

Niz godina i desetljeća tvrtke u Hrvatskoj su izrađivale popise djece zaposlenika za dolazak Djeda Mraza ili Djeda Božičnjaka ili Svetog Nikole, pripremu popisa poklona, koliko curica ili dječaka, prikupljale rodne listove djece i roditelja, vodile evidencije na papirima i raznim excellicama, čuvale ih zauvijek na bezbroj računala, emailova, fascikli, dijelile ih s nizom ljudi unutar i izvan tvrtke, bezbrižno u stilu doba godine kada se svi želimo napokon opustiti.

Štoviše, tvrtkama je bilo posebno praktično sav popis s imenima djece uključujući OIB i datume rođenja, poslati drugoj tvrtki ili trgovini, kako bi oni lijepo na poklon pakete upisali imena djece, stavili roze ili plave vrpce, na opću radost svih...

GDPR iz temelja mijenja način kako to smijemo i moramo raditi.

Ne možemo dijeliti popise djece po tvrtki, jer nijedan zaposlenik nema pravo vidjeti osobne podatke djece drugih zaposlenika. Zamjenite popise s pojedinačnim obrascima za svakog zaposlenika, ili riješite to elektroničkim putem ili aplikativnim rješenjima ili ovlastite jednu osobu u tvrtki da popisuje djecu i sadržaj drži povjerljivim unutar kruga ovlaštenih osoba.

Ako šaljete popise djece i zaposlenika nekoj trgovini radi narudžbe poklona, toplo vam savjetujemo da odbacite takvu ideju. Ukoliko ipak inzistirate na tome, tada morate s tom trgovinom sklopiti ugovor o zaštiti podataka iz članka 28. GDPR-a s pisanim uputama kako moraju postupati s osobnim podacima vaših zaposlenika i njihove djece, jer ih svojim slanjem popisa stavljate u ulogu vanjskog izvršitelja obrade. Tu će mnoge trgovine odustati od takvog scenarija, što je dobro, jer nema nikakve, ama baš nikakve objektivne potrebe da tvrtke šalju osobne podatke zaposlenika i njihove djece trgovinama u svrhe narudžbe darova.

Jeste li se ikada upitali što trgovina radi s tolikim popisima djece i njihovih roditelja? Da li ih brišu iz računala ili ostavljaju trajno nezaštićenima? Da li bacaju te papire u smeće bez uništavanja ili anonimizacije podataka djece?

I sad dolazimo do najžešće točke - pravni temelj.

Ukoliko niste u ugovorima o radu ili važećem aktu tvrtke odredili obvezu tvrtke na darivanje djece i potrebu prikupljanja osobnih podataka djece baš u tu svrhu, osigurajte Obavijest o privatnosti zaposlenicima s obrazloženim legitimnim interesom tvrtke koja sadrži i razumne rokove zadržavanja podataka. Objektivno je i razumno očekivati da svi zaposlenici žele dar za dijete.

Naravno, mnoge tvrtke stavljaju poklone za djecu u kategoriju porezno priznatih troškova, pa još moraju dokaze o ispravnoj primjeni poreznih olakšica čuvati kao dokaze u slučaju poreznog nadzora. Pri tom morate ozbiljno voditi brigu o rokovima zadržavanja prikupljenih podataka koje morate uključiti u interne akte ili Obavijest o privatnosti zaposlenicima, unaprijed odredivši do koje starosti djece ćete davati poklone i kako ćete dokazati starost djeteta u trenutku prikupljanja podataka te samu zakonitost korištenja poreznih olakšica.

Pri tom se treba zapitati koliko stare evidencije djece imamo u tvrtki, gdje ih sve držimo, jesu li djeca zaposlenika uopće više djeca ili su već odrasli ljudi...i zašto uopće čuvamo te podatke.

Na prvi pogled GDPR je ovo područje zakomplicirao, ali je donio nove mehanizme kako ćemo sačuvati privatnost djece zaposlenika.