"Clean Desk Policy" ili "Politika čistog stola" jedna je od vrlo učinkovitih, lako provedivih i obveznih mjera informacijske sigurnosti u svakoj organizaciji koja vodi brigu o čuvanju povjerljivosti ispisane dokumentacije, odnosno, poslovnih tajni ili osobnih podataka, posebice izvan radnog vremena i u slučaju odsutnosti iz ureda. Takvom mjerom doprinosi se sprječavanju neovlaštenog pristupa ako se dokumentacija s radnog stola nakon završetka njezine obrade pospremi u ladice, ormare ili uništi.
Međutim, pogrešnom primjenom takvih mjera možemo otići u skroz pogrešnu krajnost.
Donosimo slučaj iz Italije gdje je nadzorno tijelo za zaštitu podataka kaznilo Call Centar zbog ogromnog propusta u primjeni "Clean Desk Policy".
Njihovom politikom čistog stola od strane HR odjela naloženo je zaposlenicima da na stolu ne smiju držati nikakve stvari izuzev nužnih medicinskih proizvoda ili lijekova veličine mobitela uz uvjet da HR odjelu dokumentiraju zdravstvene razloge i liječničku dokumentaciju o nužnosti držanja određenih medicinskih proizvoda ili lijekova u svojoj blizini.
Pri tom se Call Centar pozvao na legitimni interes iz članka 6. GDPR-a kao pravni temelj za prikupljanje navedenih dokaza u svrhe sprječavanja prijevara.
Tu su opako pogriješili.
Svakako su previše osobnih podataka tražili od zaposlenika sa zdravstvenim problemima s obzirom na svrhu, koja nije bila zdravstvena skrb, već sprječavanje eventualnih prijevara u radu Call Centra. Tu su se ogriješili od članak 5. GDPR-a.
Još teža pogreška je što su promašili pravni temelj za obradu medicinskih podataka u svom legitimnom interesu, a članak 9. GDPR-a ne daje takvo pravo tvrtkama tog tipa. U članku 9. postoji pravni temelj iz točke b. odnosno s obzirom na radno pravo i ugovor sa zaposlenikom. Svoje esktremne politike politike čistog stola morali su staviti u ugovore sa zaposlenicima kako bi se mogli pozvati na valjane pravne temelje iz članaka 6. i 9. GDPR-a.
Tu zapamtimo - legitimni interes u prikupljanju zdravstvenih, vjerskih, biometrijskih, genetskih i sličnih podataka za tvrtke ne može postojati.
No, ono što je nadzorno tijelo posebno zasmetalo jest činjenica da je takvim postupanjem Call Centar zapravo uveo politiku "označavanja" oboljelih zaposlenika na način da je politikom uzrokovao lako otkrivanje cijelom Call Centru o narušenom zdravstvenom stanju pojedinog zaposlenika i ni na koji način nije osigurao zonu privatnosti za svakog agenta Call Centra.
Sustigla ih je kazna od 20.000 EUR. Više detalja na:
https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_-_9509515&mtc=today