Obrada osobnih podataka primjenom softverskog rješenja i iznošenje osobnih podataka u SAD


Obrada osobnih podataka primjenom softverskog rješenja i iznošenje osobnih podataka u SAD


Agencija je zaprimila upit u vezi obrade osobnih podataka radnika i tražitelja posla putem posebno dizajniranog softvera. Iz upita proizlazi da tvrtka xy nudi navedeni softver na korištenje poslodavcima i da se podaci spremaju u Europskoj uniji (Nizozemska i Irska) te u SAD-u. Nadalje, korisnici predmetnog softvera su tvrtke iz Europske unije i iz trećih država.

Agencija najprije ističe kako je obrada osobnih podataka svaka radnja ili skup radnji izvršenih na osobnim podacima, bilo automatskim sredstvima ili ne, kao što je prikupljanje, snimanje, organiziranje, spremanje, prilagodba ili izmjena, povlačenje, uvid, korištenje, otkrivanje putem prijenosa, objavljivanje ili na drugi način učinjenih dostupnim, svrstavanje ili kombiniranje, blokiranje, brisanje ili uništa¬vanje, te provedba logičkih, matematičkih i drugih operacija s tim podacima (čl. 2. st. 1. toč. 2. Zakona o zaštiti osobnih podataka; NN 160/12 – pročišćeni tekst; dalje u tekstu: ZZOP). Slijedom navedenog, obrada osobnih podataka obuhvaća i samo spremanje osobnih podataka bez obzira na to postoji li mogućnost uvida u njih ili ne. Nadalje, prema definiciji iz toč. 4. navedenog članka, voditelj zbirke osobnih podataka je fizička ili pravna osoba, državno ili drugo tijelo koje utvrđuje svrhu i način obrade osobnih podataka, a prema toč. 7. istoga, izvršitelj obrade je fizička ili pravna osoba, državno ili drugo tijelo, koje obrađuje osobne podatke u ime voditelja zbirke osobnih podataka.

Dakle, iz opisanih okolnosti proizlazi da bi tvrtka (poslodavac) koja koristi navedeno softversko rješenje bila voditelj zbirke osobnih podataka, a  društvo čiji je softver izvršitelj obrade s obzirom da je ono zaduženo za spremanje i protok osobnih podataka bez obzira na mogućnost ili ne uvida u iste. Takav odnos između voditelja zbirke i izvršitelja obrade treba biti uređen sukladno čl. 10. ZZOP-a, odnosno pisanim ugovorom na temelju kojega se izvršitelj obrade obvezuje obavljati poslove samo na temelju naloga voditelja zbirke osobnih podataka, ne davati na korištenje osobne podatke drugim primateljima niti ih obrađivati za bilo koju drugu svrhu osim ugovorene te da osigurati provođenje odgovarajućih tehničkih, organizacijskih i kadrovskih mjera zaštite osobnih podataka sukladno odredbama ZZOP-a.

Nadalje, s obzirom da se podaci iznose u SAD, nužno je da se provedu odgovarajuće mjere zaštite. U konkretnom slučaju bitno je utvrditi ima li društvo koje uvozi osobne podatke u SAD (tvrtka koja pruža usluge repliciranja podataka) certifikat Štita privatnosti (popis tvrtki nalazi se na ovoj poveznici: https://www.privacyshield.gov/list). Za slučaj da društvo nema takav certifikat tada je potrebno sklapanje standardnih ugovornih klauzula za iznošenje osobnih podataka od izvršitelja obrade do podizvršitelja (navedene klauzule je usuglasila radna skupina iz čl. 29. Direktive 95/46/EZ i nalaze se na ovoj poveznici:
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp214_en.pdf).

Nadalje, u pogledu rokova čuvanja osobnih podataka, bitno je da sama aplikacija briše osobne podatke nakon odabira kandidata za konkretno radno mjesto sprečavajući daljnju obradu kada je sama svrha obrade (natječaj za radno mjesto) ispunjena. Pri tomu, može postojati opcija daljnjeg čuvanja osobnih podataka prijavljenih kandidata isključivo uz privolu kandidata i samo u svrhe daljnjih natječaja, s druge strane opcija po kojoj će se osobni podaci kandidata čuvati i nakon natječaja sve dok ih kandidat ne izbriše nije u skladu s odredbama ZZOP-a. Daljnja dostava osobnih podataka kandidata u svrhe nastavka selekcijskog postupka (npr. dostava životopisa vanjskim konzultantima, dostava kontakta kandidata stručnjacima radi provođenja testiranja i sl.) smatra se valjanom.

Daljnja obrada osobnih podataka pojedinaca koji su odabrani na natječaju za posao smatra se podudarnom s prvobitnom svrhom prikupljanja ako je riječ o relevantnim podacima poput kontakt podataka, certifikata i potvrda, životopisa i sl.). 

Agencija ističe da se sukladno čl. 3. st. 1. ZZOP-a, odredbe tog propisa primjenjuju na obradu osobnih podataka od strane državnih tijela, tijela lokalne i područne (regionalne) samouprave te pravnih i fizičkih osoba, predstavništava i podružnica stranih pravnih osoba i predstavnika stranih pravnih i fizičkih osoba koje obrađuju osobne podatke. Dakle, na obradu osobnih podataka u Republici Hrvatskoj primjenjuje se ZZOP bez obzira pripadaju li podaci ispitaniku (pojedincu) iz Republike Hrvatske, druge države članice Europske unije ili treće države.

 
 
  Natrag