26.04.2018.
Životopis kandidata
Životopise kandidata smijete obrađivati u svrhu selekcije za radno mjesto (bilo na pravnoj osnovi radnji koje prethode sklapanju ugovora ili privoli, ovisno za što se opredijelite). Smatra se da istekom natječaja, tj. zapošljavanjem kandidata više nemate daljnja prava na obradu tih životopisa te ih prema načelu smanjenja količine podataka morate obrisati i/ili uništiti.
Ipak, poželite li te podatke zadržati i nakon isteka natječaja, morate tražiti izričitu privolu kandidata i to adekvatno dokumentirati, najbolje pismenim putem. Unatoč privoli, ako kandidat naknadno zatraži da uklonite njegove podatke, to ste dužni učiniti. To vrijedi u svim slučajevima za koje ne postoji zakonska obveza čuvanja dokumentacije na određeni vremenski rok.
Evidencije podataka
Stupanjem na snagu Opće uredbe o zaštiti osobnih podataka u Republici Hrvatskoj prestaju vrijediti sljedeći propisi, kako je navedeno u Zakonu o provedbi Opće uredbe o zaštiti podataka:
- Zakon o zaštiti osobnih podataka („Narodne novine“, broj 103/03, 118/06, 41/08 i 130/11),
- Uredba o načinu vođenja i obrascu evidencije o zbirkama osobnih podataka („Narodne novine“, broj 105/04)
- Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka („Narodne novine“, broj 139/04).
To znači da propisani obrasci za vođenje zbirke osobnih podatka nisu potrebni, a prema Općoj uredbi ne postoje propisi koji bi zahtijevali redovito dostavljanje podataka nadzornom tijelu. Evidenciju ipak morate voditi unutar tvrtke i na uvid pružiti nadzornom tijelu. Ovdje vrijede opća pravila za vođenje evidencije koja pokrivaju osnovni sadržaj opisa, a to su:
- kontakt podaci osobe unutar tvrtke
- detaljno objašnjena svrha obrade
- kategorije osobnih podataka koje se koriste
- posebne kategorije osobnih podataka (osjetljivi podaci), ako ih ima – zdravstveni podaci, religijska pripadnost i sl.
- podaci o prijenosu podataka u treće zemlje
- razdoblje zadržavanja podataka
- pregled sigurnosnih i tehničkih mjera za zaštitu podataka
- dodatni podaci, ako su potrebni (postojanje podataka maloljetnika i sl.)
- popis svih kategorija primatelja tih podataka (tko ima uvid u podatke)
- pravna osnova za obradu (nije obavezno, ali je preporučeno)
Za podatke radnika, dakle, vrijede isti propisi kao i za sve ostale osobne podatke koji se obrađuju.
Evidencija radnog vremena
Na snazi ipak ostaje Pravilnik o sadržaju i načinu vođenja evidencije o radnicima („Narodne novine“, broj 73/17), odnosno na tjednoj se osnovi moraju popunjavati podaci o radnicima i radnom vremenu.
Pravilnikom je obuhvaćen širok spektar podataka koje ste zakonski dužni zabilježiti, na što imate pravo po osnovi zakonske obaveze. Ti podaci uključuju ime i prezime zaposlenika, spol, OIB, datum rođenja, državljanstvo itd.
Potrebno je biti osobito pažljiv kod vođenja ostalih vrsta podataka koji mogu biti vezani uz radni odnos, a potencijalno spadaju u posebno zaštićene vrste podataka (potvrde o trudnoći, bolovanjima, smanjenju radne sposobnosti, invalidnosti i sl.).
Podatke evidentirane na ovaj način dužni ste čuvati najmanje šest godina, a u slučaju sporova do okončanja spora.
Nadzor zaposlenika
Mjere nadzora zaposlenika u određenoj su mjeri potrebne i u svrhu popunjavanja evidencije radnog vremena – to uključuje evidenciju dolaska, odlaska, dnevne stanke itd.
Ipak, to se treba obaviti na minimalno invazivan način. Agencija za zaštitu osobnih podataka ne preporuča korištenje biometrijskih podataka (čitača prstiju i sl.) zbog povjerljive prirode podataka prikupljenih na taj način. Ako postoje manje invazivni načini (a postoje, poput npr. identifikacijskih kartica), morate ih koristiti.
Smijete ograničiti pristup određenim mrežnim stranicama na uredskim računalima tijekom radnog vremena, ali nemate pravo pretraživati povijest preglednika zaposlenika, jer se to smatra zadiranjem u privatnost. Podaci o pretraživanjima i posjećenim stranicama smatraju se osobnim podacima, a za to vam u načelu treba privola zaposlenika.
Situacija s privolama zaposlenika u ovom je slučaju posebno škakljiva jer se zaposlenik u odnosu na poslodavca smatra podređenim; ako privola uključuje elemente pritiska ili ako ne postoji alternativa davanu privole, takva privola nije valjana.
Nadzor možete temeljiti na legitimnom interesu, ali općenito gledano dozvoljen je samo u iznimnim situacijama poput sumnje na mobing ili otkrivanje povjerljivih podataka. Te uvjete morate definirati internim propisima s kojima svi zaposlenici moraju biti upoznati. Bez povoda nije dozvoljeno pregledavati ni sadržaj elektroničke pošte zaposlenika, čak i ako se radi o poslovnom računu.
U ovo ne ulaze posebni propisi poput obaveze slanja radnika na sistematske preglede ili provjera na utjecaj alkohola ili opojnih droga, što se uređuje Zakonom o zaštiti na radu.
Mjere zaštite
Zaposlenici u svakom trenutku trebaju imati pristup evidencijama podataka koje ih se tiču. To je važno i zbog njihove pravne obaveze pravovremenog ispravka netočnih podataka. Ako podatke obrađujete na temelju privole, obavezno ih čuvajte, jer to vam je jedini dokaz da podatke obrađujete na zakoniti način.
Općenito, preporuka Agencije za zaštitu osobnih podataka je da se podaci vode u elektroničkom obliku, uz redovitu izradu sigurnosnih kopija. Pristup bazama podataka zaštitite lozinkama. Najbolje je odrediti jednu osobu koja će voditi evidenciju i imati joj izravan pristup, uz direktora ili voditelja odjela zaduženog za vršenje nadzora. Ako dio podataka ipak odlučite zadržavati u pisanom obliku, neka to bude u zaključanim ormarima kojima pristup imaju samo osobe kojima su podaci neposredno potrebni. Ne zaboravite ni na pomalo banalne stvari poput zaključavanja arhiva ili ureda.
Te podatke u pravilu nije dozvoljeno slati trećim stranama bez izričitog dopuštenja zaposlenika, osim ako je zakonski drugačije propisano. Preporuka je da se izbjegava pohranjivati podatke na internetu.