6 pravnih osnova za obradu podataka o ličnosti zaposlenog

Kada je 2018. godine otkriveno da je britanska firma Cambridge Analytica posredstvom aplikacije „This Is Your Digital Life“ prikupila lične podatke više od 87 miliona korisnika Facebook-a i upotrebila ih u političke svrhe, usledile su burne reakcije u javnosti. Korisnici su počeli masovno da brišu profile na ovoj društvenoj mreži, a vlasti su reagovale visokim kaznama. Kompanija Facebook je u SAD novčano kažnjena sa 5 milijardi dolara, dok je u Velikoj Britaniji izrečena maksimalna kazna prema tadašnjem zakonu od 500.000 funti.

O kakvoj povredi se radilo? Naime, korisnici su pozvani da učestvuju u psihološkom testu, uz objašnjenje da će prikupljeni podaci biti iskorišćeni u naučne svrhe. Putem aplikacije su sakupljeni podaci preko 87 miliona korisnika, uključujući i njihove prijatelje. Podaci sa profila, rođendani, lokacije, lajkovi, pa čak i privatne poruke poslužili su za izradu psiholoških profila korisnika. Na osnovu toga su kreirani personalizovani oglasi sa ciljem da se utiče na ponašanje glasača u toku američkih predsedničkih izbora 2016. godine.

U trenutku kada se sve ovo dogodilo postojala je regulativa u oblasti zaštite podataka o ličnosti. Međutim, sam slučaj i sve što je usledilo nakon njega su pokrenuli široku debatu u javnosti o zaštiti privatnosti i ubrzali uvođenje strožije regulative u ovoj oblasti.

U Evropskoj uniji je već 2018. godine stupila na snagu Opšta uredba o zaštiti podataka (GDPR).

Po uzoru na GDPR, u Srbiji je donet Zakon o zaštiti podataka o ličnosti sa početkom primene od novembra 2019. godine. Ovim zakonom su proširena prava pojedinca u okviru zaštite privatnosti, uključujući pravo na pristup i brisanje podataka, a uvedena je i obaveza poslodavca da imenuje lice za zaštitu podataka o ličnosti. Takođe, zakon je vrlo jasno definisao pravne osnove za prikupljanje i obradu podataka o ličnosti.

Pravni osnovi za obradu podataka o ličnosti zaposlenih

Poslodavac kao rukovalac podataka o ličnosti svakodnevno “barata” podacima svojih zaposlenih. Shodno Zakonu o zaštiti podataka o ličnosti, obrada podataka o ličnosti mora biti u skladu sa načelima zakonitosti, poštenja i transparentnosti.

Potrebno je da obrada podataka, pre svega, bude zakonita, odnosno da ima pravni osnov. Svaki put kada poslodavac zatraži od zaposlenog neki podatak (adresa, broj računa u banci) mora jasno identifikovati osnov za obradu podataka.

Zakon o zaštiti podataka o ličnosti poznaje ukupno šest pravnih osnova za obradu podataka o ličnosti. To su: saglasnost, izvršenje ugovora, zakonska obaveza poslodavca, životno važan interes, javni interes i legitimni interes poslodavca. (član 12 Zakona).

1. Saglasnost: Podrazumeva jasan pristanak zaposlenog na obradu podataka o ličnosti. Osoba na koju se odnose podaci slobodno pristaje da se ti podaci koriste za određenu svrhu.Recimo, ako poslodavac želi da na Instagram profilu firme predstavi članove svoga tima tako što će postaviti njihove fotografije, uz naznačenje imena i prezimena i pozicije u firmi, biće mu potrebna saglasnost zaposlenog za to.

   Napomenimo da se saglasnost kao osnov obrade koristi samo kada nijedan drugi osnov ne može da se primeni. Zašto je to tako? Kada govorimo o radnom odnosu uvek treba imati u vidu da je to odnos suštinski dve nejednake strane. Nije redak slučaj da zaposleni daje svoju saglasnost samo zato što oseća neku vrstu pritiska ili straha za svoju poziciju i radni status.

   Zakon štiti zaposlenog kao slabiju stranu. Zato pristanak mora biti informisan, jasan i nedvosmislen. Takođe, zaposleni ima pravo na opoziv saglasnosti.

2. Izvršenje ugovora: Osnov za obradu podataka o ličnosti može da bude ugovorna obaveza. Kada je obrada podataka o ličnosti zaposlenog neophodna za izvršenje ugovora o radu, poslodavac prikupljanjem podataka o ličnosti zaposlenog ispunjava svoje ugovorne obaveze.Tako da, prilikom zaključivanja ugovora o radu poslodavac i zaposleni ugovaraju zaradu zaposlenog. Svakako da je isplata zarade najvažnija obaveza poslodavca. Da bi isplatio zaradu poslodavac, mora da zna broj bankovnog računa zaposlenog na koji će izvršiti uplatu.

3. Zakonska obaveza poslodavca: Ovo je najčešći osnov obrade podataka o ličnosti. Osnov za obradu je određena zakonska odredba koju poslodavac mora da ispoštuje.Tako da, poslodavac prilikom radnog angažovanja mora da zaposlenog prijavi na sistem obaveznog socijalnog osiguranja. Na osnovu zakona poslodavac ima i ovlašćenje i obavezu da prikuplja podatke koji su potrebni za prijavu zaposlenog na obavezno osiguranje.

4. Životno važni interes: Osnov za obradu podataka o ličnosti može biti zaštita životno važnih interesa, tj. života i zdravlja zaposlenog ili trećih lica.Recimo, da zaposlenom u toku rada pozli, nakon čega biva prevezen u hitnu pomoć. Da bi mu se pružila adekvatna medicinska pomoć zdravstvenim radnicima su potrebni određeni podaci: ime i prezime, datum rođenja, podaci o zdravstvenom stanju. Poslodavac daje podatke kojima raspolaže radi zaštite života i zdravlja zaposlenog.

5. Javni interes: Moguće je da poslodavac vrši obradu podataka o ličnosti radi obavljanja poslova koji su u javnom interesu.Na primer, poslodavac učestvuje u projektu koji finansira Ministarstvo zaštite životne sredine u okviru kojeg se zaposleni obučavajuza uvođenje novih tehnologija u radu. Poslodavac je u obavezi da Ministarstvu dostavi izveštaj o zaposlenima koji su učesnici obuka i njihovo ime i prezime, radno mesto, obrazovanje, broj sati obuke i slično. Podaci se mogu dostavljati Ministarstvu samo radi izveštavanja o projektu.

   U ovom slučaju postoji javni interes za obradom podataka, a poslodavac treba da informiše zaposlene o obradi podataka, svrsi obrade i pravnom osnovu.

6. Legitimni interes poslodavca: Znači da poslodavac ima opravdan interes da vrši obradu podataka, a pritom ne ugrožava prava zaposlenih.Uzmimo primer kompanije koja vodi distributivni centar za prodaju luksuzne kozmetike. Radi zaštite robe uvodi video-nadzor u skladišnom prostoru. Poslodavac je obavestio zaposlene o uvođenju video nadzora, i nadzor je ograničen samo na radni prostor kako bi se pratilo stanje robe.

   U ovoj situaciji poslodavac ima stvarnu potrebu i opravdan interes za zaštitom robe, ali je neophodno da prethodno obavesti zaposlene o uvođenju video-nadzora. Ako prava zaposlenih time nisu ugrožena, postoji legitimni interes poslodavca za prikupljanje podataka o ličnosti.

Ostale obaveze poslodavca

Odabir pravnog osnova za obradu podataka o ličnosti je samo prvi korak u nizu obaveza koje poslodavac ima prema Zakonu o zaštiti podataka o ličnosti. Da bi mogao da barata podacima o ličnosti zaposlenog, poslodavac treba da ispoštuje druge obaveze, a to su:

• Obaveštavanje zaposlenih (član 23 Zakona): Pre početka obrade podataka poslodavac treba da obavesti zaposlenog o tome koje podatke prikuplja, u koje svrhe, koji je osnov obrade i rok čuvanja, kao i da upozna zaposlenog sa njegovim pravima (pravo na pristup, pravo na ispravku i brisanje podataka, pravo na opoziv pristanka);

• Vođenje evidencije o obradi (član 47): Poslodavac je dužan da vodi evidencije o svrsi obrade, o vrsti podataka, rokovima čuvanja i drugog;

• Zaključenje ugovora sa trećim licem (član 45): Ako treće lice (npr. knjigovođa) obrađuje podatke u ime poslodavca, mora se zaključiti ugovor o obradi kojim se definiše svrha i trajanje obrade, vrsta podataka, obaveze trećeg lica i drugog;

• Procena uticaja (čl. 54 i 55): Ako se obrađuju osetljivi podaci u velikom obimu, ako postoji video-nadzor i slično, potrebna je procena uticaja jer nove tehnologije mogu da ugroze i dovedu u pitanje prava i slobode zaposlenih na koje se ti podaci odnose.