Tvrtka nema vlastitu kuhinju i kantinu za zaposlenike već je organizirala pripremu toplih obroka u vanjskom restoranu koji organizira i dostavu pripremljenih obroka prema unaprijed utvrđenim narudžbama i količinama.
Radi pravoremene pripreme određenog broja toplih obroka, tvrtka vanjskom restoranu jednom tjedno dostavlja popis imena i prezimena svih zaposlenika s naznačenim odabirom konkretnog menija za tjedan unaprijed.
Hm, hm ...
Prvi "hm"
Tvrtka je angažirala restoran da obrađuje osobne podatke zaposlenika, uključujući ime i prezime te odabir konkretnog menija po tjednima već niz zadnjih godina. Restoran time postaje izvršitelj obrade u ime tvrtke, a nije sklopljen ugovor iz članka 28. GDPR-a o zaštiti osobnih podataka za vrijeme takve obrade.
Drugi "hm"
Tvrtka ne zna na koji rok restoran zadržava sve te evidencije s popisima zaposlenika i njihovim odabirima hrane cijeli niz godina, niti ne zna kako restoran postupa s tim popisima, da li ih redovito i na siguran način uništava po isteku tjedna i briše iz računala i emailova. Upravo to je jedan od ključnih sastojaka obveznog ugovora iz članka 28. GDPR-a.
Treći "hm"
Tvrtka se nije nijednom zapitala jel restoranu stvarno trebaju imena i prezimena zaposlenika. Definitivno restoranu ne trebaju imena i prezimena zaposlenika, već ih je tvrtka sama odlučila dostavljati restoranu. Tvrtka mora obvezno uzeti u obzir načelo minimizacije osobnih podataka dovoljnih za ostvarenje svrhe, a u ovom slučaju je dovoljno da tvrtka dostavlja kumulativne brojke naručenih menija po danu, ili ako je tvrtki vrlo važno da svaki zaposlenik zna što je naručio i što je dobio za topli obrok, da na popisu odabira menija umjesto imena i prezimena stavi neku znakovno-brojčanu oznaku tog zaposlenika, kojom restoran više ni na koji način ne može identificirati pojedinog zaposlenika. A tvrtka kod sebe izradi tablicu s imenima i prezimenima zaposlenika i pripadajućih pseudonima (znakovno-brojčanih oznaka).
Veliki "hmm"
Tvrtka je niz godina restoranu otkrivala imena i prezimena svih zaposlenika ali i u određenoj mjeri informacije koje mogu predstavljati poslovnu tajnu, npr. o kretanju broja zaposlenika, njihovom rastu ili padu, mogućim otkazima ili razvoju tvrtke, pa i indirektno rasporedu godišnjih odmora ili bolovanja pojedinih zaposlenika te samim time i moguć manjak zaposlenika u uredu u određenim razdobljima tijekom godine što može upućivati i na smanjene kapacitete.
Najveći "hmmmm"
Suvremena i digitalnom transformacijom unaprjeđena osiguravajuća društva rado bi izdvojila određen iznos za kupnju ovakvih "sirovih" podataka o prehrambenim navikama pojedine osobe, kako bi temeljem višegodišnjeg praćenja kvalitete prehrane, odabira menija i vrste hrane, uz korištenje i drugih dostupnih informacija predviđati zdravstveno stanje pojedinca i sukladno takvim profilima izrađivali i individualizirane police zdravstvenog ili životnog osiguranja.
Ovakvih primjera vidjeli smo u praksi i iskustvo nam govori da ih nije malo. Kako bismo spriječili nastajanje štete za naše zaposlenike, u svakom slučaju treba izbjegavati slanje imena i prezimena zaposlenika restoranu ili otkrivanje bilo kakvih podataka temeljem kojih restoran ili neka treća strana može identificirati pojedinog zaposlenika.
I da napokon odgovorimo na pitanje iz naslova: DA ;-)