Objavljeno: 4.8.2022.
Nastavno na Vaš upit u kojem u bitnom pitate o obradi osobnih podataka radnika, skeniraju osobnih iskaznica, bankovnih kartica i dr., Agencija se za zaštitu osobnih podataka se očituje kako slijedi:
Prvenstveno ističemo da je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom o zaštiti podataka potrebno postojanje pravnog temelja iz članka 6. Opće uredbe o zaštiti podataka kojim je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.
Člankom 29. stavkom 1. Zakona o radu (NN 93/14, 127/17, 98/19) je propisano da se osobni podaci radnika smiju prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ovim ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom.
Nadalje, člankom 29. stavkom 2. navedenog Zakona je određeno da ako je osobne podatke iz stavka 1. ovoga članka potrebno prikupljati, obrađivati, koristiti ili dostavljati trećim osobama radi ostvarivanja prava i obveza iz radnoga odnosa, odnosno u vezi s radnim odnosom, poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama.
Člankom 5. stavkom 1. Zakona o radu (NN 93/14, 127/17, 98/19) određeno je da je poslodavac dužan voditi evidenciju o radnicima koji su kod njega zaposleni.
Stavkom 2. istog članka i zakona određeno je da evidencija mora sadržavati podatke o radnicima i o radnom vremenu.
Međutim, u kontekstu Vašeg upita, važno je napomenuti da kopiranje ili skeniranje isprave o identitetu ili bankovne kartice nije pravna obveza poslodavca temeljem navedenog propisa, što znači da navedeni pravni propis ne predstavlja zakoniti pravni temelj za kopiranje odnosno skeniranje navedenih isprava.
Dodatno napominjemo da kartica bankovnog računa sadrži, između ostalog, i verifikacijski broj kartice (CSC, CVV ili HVS), koji je jedinstveni 3 ili 4-znamenkasti broj otisnut na kartici uz broj računa te služi kao dokaz o fizičkom posjedovanju kartice u trenutku online kupnje i smanjuje mogućnost prijevare. Agenciji nije razvidan pravni temelj za obradu navedenog osobnog podatka od strane poslodavca.
Što se tiče osobne iskaznice ili vozačke dozvole, ista također sadrži određene osobne podatke ispitanika za koje je isto tako upitan pravni temelj zakonitosti obrade (primjerice fotografija radnika).
Što se tiče privole, u mišljenju br. 249 o obradi podataka na radnome mjestu, Radna skupina za zaštitu podataka iz članka 29. Direktive 95/46/EZ (sadašnji Europski odbor za zaštitu podataka) iznosi mišljenje da se vrlo vjerojatno privola ne može smatrati zakonitim pravnim temeljem za obradu osobnih podataka radnika ili potencijalnih radnika, osim ako isti mogu obradu odbiti bez štetnih posljedica.
Budući da su radnici rijetko u situaciji da slobodno daju, odbiju ili povuku privolu s obzirom na ovisnost koja proizlazi iz odnosa između poslodavca i radnika, privola često nije adekvatan pravni temelj za obradu osobnih podataka u radnom odnosu.
Osim u iznimnim situacijama, poslodavci će se morati oslanjati na neku drugi pravni temelj koji nije privola, primjerice dokazani legitimni interes voditelja obrade.
Međutim, čak i uz adekvatan pravni temelj voditelj obrade mora voditi računa o načelima obrade osobnih podataka iz članka 5. Opće uredbe o zaštiti podataka, između ostalog i „načelu smanjenja količine podataka“ koji traži da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.
Nije razvidno primjerice, da bi verifikacijski broj kartice bio nužan podatak u svrhu isplate plaće radnika, stoga ako bi se dokazao legitiman interes da se bankovna kartica radnika kopira ili skenira, nad podacima koji nisu nužni trebale bi se provesti odgovarajuće tehničke mjere zaštite (primjerice zacrnjivanje podataka).
Zaključno, legitiman interes možete pokušati dokazati provođenjem testa razmjernosti kako biste utvrdili preteže li legitiman interes voditelja obrade ili interesi radnika, u kojem potonjem slučaju biste trebali odustati od obrade. Obrazac testa razmjernosti možete pronaći na poveznici: https://azop.hr/obrasci-predlosci/.