Agencija za zaštitu osobnih podataka (dalje u tekstu: AZOP) izdala je 4. kolovoza 2022. godine mišljenje o obradi osobnih podataka radnika – skeniranju osobnih iskaznica, bankovnih kartica i dr.

U svom mišljenju, AZOP prvenstveno ističe zahtjeve iz članka 6. GDPR-a u kojem se navodi da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Člankom 29. stavkom 1. Zakona o radu (NN 93/14, 127/17, 98/19) je propisano da se osobni podaci radnika smiju prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ovim ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom.

Zakon o radu ne navodi kao pravnu obvezu poslodavca kopiranje ili skeniranje isprave o identitetu ili bankovne kartice što znači da navedeni pravni propis ne predstavlja zakoniti pravni temelj za kopiranje, odnosno skeniranje navedenih isprava.

Također, AZOP dodatno napominje kako kartica bankovnog računa sadrži, između ostalog, i verifikacijski broj kartice (CSC, CVV ili HVS) koji služi kao dokaz o fizičkom posjedovanju kartice u trenutku online kupnje i smanjuje mogućnost prijevare.

AZOP-u nije razvidan pravni temelj za obradu navedenog osobnog podatka od strane poslodavca.

NAČELO SMANJENJA KOLIČINE PODATAKA

AZOP navodi i sadržaj članka 5. GDPR-a jer i uz adekvatan pravni temelj, voditelj obrade mora voditi računa o načelima obrade osobnih podataka iz navedenog članka, između ostalog i o „načelu smanjenja količine podataka“ koji traži da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.

PRIVOLA

Što se tiče privole, u mišljenju br. 249 o obradi podataka na radnome mjestu, Radna skupina za zaštitu podataka iz članka 29. Direktive 95/46/EZ (sadašnji Europski odbor za zaštitu podataka) iznosi mišljenje da se vrlo vjerojatno privola ne može smatrati zakonitim pravnim temeljem za obradu osobnih podataka radnika ili potencijalnih radnika, osim ako isti mogu obradu odbiti bez štetnih posljedica.

Budući da su radnici rijetko u situaciji da slobodno daju, odbiju ili povuku privolu s obzirom na ovisnost koja proizlazi iz odnosa između poslodavca i radnika, privola često nije adekvatan pravni temelj za obradu osobnih podataka u radnom odnosu.

Osim u iznimnim situacijama, poslodavci će se morati oslanjati na neki drugi pravni temelj koji nije privola, primjerice dokazani legitimni interes voditelja obrade.

LEGITIMAN INTERES

Ukoliko poslodavac dokaže da ima legitiman interes da se bankovna kartica radnika kopira ili skenira (verifikacijski broj zbog isplate plaće radnicima), nad podacima koji nisu nužni trebale bi se provesti odgovarajuće tehničke mjere zaštite. Kao rješenje, AZOP navodi primjerice zacrnjivanje podataka.

Trebate provesti test legitimnosti kako biste utvrdili preteže li legitiman interes voditelja obrade ili interesi radnika. U drugom slučaju biste trebali odustati od obrade.