Prikupljanje i obrada osobnih podataka radnika prilikom evidentiranja radnog vremena


Prikupljanje i obrada osobnih podataka radnika prilikom evidentiranja radnog vremena


Agencija je provela po službenoj dužnosti nadzor nad obradom i provođenjem zaštite osobnih podataka u jednoj Kliničkoj bolnici, a posebice vezano uz prikupljanje i obradu osobnih podataka radnika Kliničke bolnice prilikom evidentiranja radnog vremena odnosno prisustvovanja na radu (dolaska/odlaska) prijavom u elektronički sustav korištenjem osobne iskaznice zdravstvenog osiguranja (plava smart kartica) te je utvrđeno kako slijedi:

Klinička bolnica je 2016. godine pokrenula test projekt Evidenciju radnog vremena radnika putem elektroničkih čitača koji su postavljeni na ulazu u zgradu (upravna zgrada, klinika za očne bolesti). Evidencija radnog vremena radnika putem elektroničkih čitača kao test projekt provodi se u Upravnoj zgradi i Klinici za očne bolesti (test projektom obuhvaćeno je oko 110 radnika). Evidentiranje prisutnosti na radu, tj. prijavu/odjavu radnog vremena radnici izvršavaju na uređajima za evidentiranje radnog vremena koji su postavljeni na ulazu u zgradu (upravna zgrada, klinika za očne bolesti) umetanjem svoje osobne iskaznice zdravstvenog osiguranja (plava smart kartica) u čitač uređaja za evidentiranje radnog vremena.

Osim naprijed navedene mogućnosti evidentiranja radnog vremena radnici mogu izvršiti evidentiranje radnog vremena upisom MBO (matični broj osiguranika) sa svoje osobne iskaznice zdravstvenog osiguranja (plava smart kartica) u ekran na uređaju za evidenciju radnog vremena.

Uređaj za evidenciju radnog vremena sastoji se od čitača kartice, ekrana (za upis MBO radnika) te kamere.

Tijekom provedbe nadzora od strane ove Agencije utvrđeno je da svaki radnik pri evidenciji radnog vremena na ekranu uređaja za evidentiranje radnog vremena vidi samo svoje podatke: ime i prezime, datum prijave te vrijeme dolaska/odlaska prisutnosti na radu.

Također je od strane ove Agencije utvrđeno da se kod evidentiranja radnog vremena o radnicima prikuplja, između ostalog, slijedeći opseg podataka: ime, prezime, MBO, dan, mjesec i godina te vrijeme prijave/odjave prisutnosti na radu, kao i fotografija radnika koju izrađuje kamera na uređaju za evidentiranje radnog vremena i koja se pohranjuje uz prijavu prisutnosti na radu radnika u bazi podataka.

Aplikacija Evidencija prisutnosti na radu radnika Kliničke bolnice izrađena je unutar informatičke službe u sklopu Kliničke bolnice a baza podataka smještena je na serveru unutar Kliničke bolnice te za sada istoj ima pravo pristupa jedna osoba.

Predstavnici Kliničke bolnice tijekom provedbe nadzora od strane ove Agencije objasnili su da se sa osobne zdravstvene iskaznice (plave smart kartice) od podataka nositelja iskaznice očitava/koristi MBO (matični broj osigurane osobe) koji se pri prijavi u aplikaciju za evidenciju radnog vremena povezuje sa imenom i prezimenom uz fotografiju (koju izrađuje kamera uređaja za evidenciju radnog vremena) prilikom svake prijave/odjave prisutnosti na radu radnika kroz uređaj za elektroničku evidenciju radnog vremena.   

Također su u tijeku provedbe nadzora predstavnici Kliničke bolnice izjavili da se podaci o evidentiranju prisutnosti na radu koriste isključivo za obračun plaće odnosno ostvarivanje prava iz radnog odnosa te su isti dostupni samo ovlaštenim radnicima koji rade na obračunu plaće i unose podatke u elektroničku bazu za Centralni obračun plaća.

Osim toga utvrđeno je kako je predmetna evidencija još uvijek u testnoj fazi. Predstavnici Kliničke bolnice izjavili su da će se evidentiranje radnog vremena definirati pravnim temeljem prije početka uporabe predmetne evidencije te da će o svemu radnici biti adekvatno informirani.

S time u vezi navodimo kako se osobni podaci sukladno članku 6. Zakona o zaštiti osobnih podataka (Narodne novine, br. 106/12. – pročišćeni tekst) moraju obrađivati pošteno i zakonito, u svrhu sa kojom je ispitanik upoznat, koja je izričito navedena i u skladu sa zakonom i mogu se dalje obrađivati samo u svrhu u koju su prikupljeni, odnosno u svrhu koja je podudarna sa svrhom prikupljanja.

Osobni podaci moraju biti bitni za postizanje utvrđene svrhe i ne smiju se prikupljati u većem opsegu nego što je to nužno da bi se postigla utvrđena svrha.

Pravni temelj za obradu osobnih podataka propisan je u članku 7. citiranog Zakona, sukladno kojem se osobni podaci smiju prikupljati i dalje obrađivati isključivo uz privolu ispitanika samo u svrhu za koju je ispitanik dao privolu, u slučajevima određenim zakonom ili u svrhu izvršavanja zakonskih obveza voditelja zbirke osobnih podataka ili u drugim slučajevima navedenima u predmetnom članku.

U konkretnom slučaju u primjeni je članak 29. Zakona o radu (Narodne novine, br. 93/14.) sukladno kojem se osobni podaci smiju obrađivati samo u svrhu ostvarivanja prava i obveza iz radnog odnosa te Pravilnik o sadržaju i načinu vođenja evidencije o radnicima (Narodne novine, br. 32/15.) gdje je u članku 8. taksativno naveden sadržaj evidencije o radnom vremenu. Evidentno je kako predmetna evidencija sadrži isključivo one osobne podatke koji su usko vezani uz evidentiranje radnog vremena kao što su ime i prezime radnika, datum u mjesecu, početak/završetak rada, itd.

Ova Agencija drži kako prikupljanje fotografije radnika na način kako je gore navedeno predstavlja prekomjernu obradu osobnih podataka radnika (članak 6. citiranog Zakona) a također za takvu obradu osobnih podataka radnika ne postoji odgovarajući pravni temelj u smislu članka 29. Zakona o radu i članka 8. Pravilnika o sadržaju i načinu vođenja evidencije o radnicima).   

Naime, za evidentiranje radnog vremena u konkretnom slučaju dostatno je da radnik umetne tzv. plavu smart karticu, odnosno da upiše MBO (matični broj osiguranika) sa svoje osobne iskaznice zdravstvenog osiguranja (plava smart kartica) u ekran na uređaju za evidenciju radnog vremena.

Osim toga, držimo da fotografiranje radnika u svrhu evidencije radnog vremena predstavlja prilično invanzivnu metodu prikupljanja (obrade) osobnih podataka kao i pretjerano i nepotrebno zadiranje u privatnu sferu radnika, posebice imajući u vidu kako i radnici na svom radnom mjestu, tj. prilikom ulaska u poslovne prostorije poslodavca također uživaju određenu razinu zaštite privatnosti i osobnih podataka. 

Stoga ova Agencija sukladno članku 33. stavku 1. podstavku 7. Zakona o zaštiti osobnih podataka, a uvažavajući prvenstveno članak 8. Pravilnika o sadržaju i načinu vođenja evidencije o radnicima koji ne propisuje prikupljanje i obradu fotografije radnika, daje preporuku da se u svrhu evidentiranja radnog vremena sukladno načelu razmjernosti (opsega podataka) prikupljaju samo oni osobni podaci koji su nužni/ propisani navedenim Pravilnikom, tj. da se ne prikupljaju fotografije radnika, a sve u svrhu zaštite njihove privatnosti i dostojanstva.

 
 
  Natrag