Objavljeno: 12.12.2022.

Nastavno na upit koji je zaprimila Agencija za zaštitu osobnih podataka vezano za  privole ispitanika (radnika) sukladno odredbama Opće uredbe o zaštiti podataka, iznosimo sljedeći načelan odgovor:

Člankom 6. Opće uredbe o zaštiti podataka utvrđeni su uvjeti zakonite i poštene  obrade osobnih podataka te je opisano šest zakonitih osnova na koje se voditelj obrade može pozvati. Primjena jedne od tih šest osnova mora biti uspostavljena prije aktivnosti obrade u odnosu na posebnu svrhu, što znači da je privola samo jedan od pravnih temelja za zakonitu obradu te ista nije potrebna ako voditelj obrade obrađuje osobne podatke na nekom drugom pravnom temelju iz članak 6. Opće uredbe o zaštiti podataka.

Nadalje,  vezano  uz obradu  osobnih podataka radnika u kontekstu zapošljavanja navodimo kako je čl. 88. Opće uredbe o zaštiti podataka u kojem se navodi da države članice mogu zakonom ili kolektivnim ugovorima predvidjeti preciznija pravila s ciljem osiguravanja zaštite prava i sloboda u vezi s obradom osobnih podataka zaposlenika u kontekstu zaposlenja, osobito za potrebe zapošljavanja, izvršavanja ugovora o radu, što uključuje ispunjavanje zakonski propisanih obveza ili obveza propisanih kolektivnim ugovorima, za potrebe upravljanja, planiranja i organizacije rada, jednakosti i različitosti na radnome mjestu, zdravlja i sigurnosti na radu, zaštite imovine poslodavca ili klijenta i za potrebe ostvarenja i uživanja prava i koristi iz radnog odnosa, na individualnoj ili kolektivnoj osnovi, te za potrebe prestanka radnog odnosa. Ta pravila uključuju prikladne i posebne mjere za zaštitu ljudskog dostojanstva ispitanika, njegovih legitimnih interesa i temeljnih prava, posebno u odnosu na transparentnost obrade, prijenos osobnih podataka unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću i sustavâ praćenja na radnom mjestu.

Nadalje, Zakonom o radu (“Narodne novine”, broj:93/14, 127/17) kao posebnim zakonom propisane su prava radnika vezano uz radni odnos kao i obveze poslodavca, a vezano uz obradu osobnih  podataka radnika. Posebno ističemo članak 29.  koji propisuje da se osobni podaci radnika smiju se prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ovim ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom. Ako je osobne podatke iz stavka 1. ovoga članka potrebno prikupljati, obrađivati, koristiti ili dostavljati trećim osobama radi ostvarivanja prava i obveza iz radnoga odnosa, odnosno u vezi s radnim odnosom, poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama. Osobne podatke radnika smije prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo poslodavac ili osoba koju za to posebno opunomoći poslodavac.

Također, vezano uz obradu određenih dokumenata za svrhe zapošljavanja koji sadrže osobne podatke navodimo da se u vrijeme uspostavljanja radnog odnosa stvaraju određena prava i obveze koje se tiču poslodavca i zaposlenika. Njihovo ispunjenje započinje zaključivanjem ugovora o radu koji nužno uključuje obradu osobnih podataka zaposlenika. Naime, zaključivanjem ugovora o radu između radnika i poslodavca   poslodavac je dužan u svrhu ostvarivanja određenih prava prikupiti određenu dokumentaciju o radniku  kojom bi nedvojbeno utvrdio identitet i vjerodostojnost osobnih podataka ali i ispunio obvezu dokazivanja identiteta i relevantnosti osobnih podataka prema drugim tijelima (različitim inspektoratima, Hrvatskom zavodu za zapošljavanje, Poreznoj upravi, Hrvatskom zavodu za mirovinsko osiguranje i dr.).

U vezi s time navodimo da isto može biti propisano posebnim zakonima, podzakonskim aktima, kolektivnim ugovorom ili pravilnikom o radu. Tako primjerice Pravilnik  o sadržaju i načinu vođenja evidencije o  radnicima („Narodne novine“, broj: 73/2017)  koji je donesen temeljem čl.5. Zakona o radu („Narodne novine“, broj 93/14, 127/17) propisuje između ostalog opseg osobnih podataka koji poslodavac mora prikupljati u svrhu vođenja evidencije o radnicima.

Nadalje, člankom 5. cit. Pravilnika  propisano je da  poslodavac evidenciju o osobama iz članka 4. Pravilnika, počinje voditi datumom početka rada osoba kod poslodavca i ažurno je vodi do prestanka rada tih osoba kod poslodavca te istu čuva najmanje šest godina od dana prestanka njihovog rada. Također, čankom 6. istog Pravilnika regulirano je da svaku promjenu podataka taksativno navedenih u članku 3. i 4. Pravilnika (koju poslodavac unosi temeljem izjave, obavijesti, osobnih dokumenata, isprava i slično), radnik, odnosno osoba iz članka 4. ovoga Pravilnika, dužan je prijaviti poslodavcu odmah, a najkasnije u roku od osam dana od dana nastanka promjene.

Naime, vezano uz privolu kao pravnu osnovu za obradu osobnih podataka radnika navodimo da s obzirom na ovisnost koja proizlazi iz odnosa poslodavac/zaposlenik, nije vjerojatno da ispitanik može uskratiti svojem poslodavcu privolu za obradu podataka bez straha ili stvarnog rizika od štetnih učinaka zbog odbijanja. Nije vjerojatno da bi zaposlenik mogao slobodno odgovoriti na zahtjev svojeg poslodavca za privolu te je  malo vjerojatno da će privola biti dobrovoljna. Za većinu takve obrade podataka na radnom mjestu, zakonita osnova ne može i ne bi smjela biti privola zaposlenika (zbog prirode odnosa između poslodavca i zaposlenika) već se obrada osobnih podataka radnika prvenstveno temelji na ugovoru o radu koji radnik sklapa sa poslodavcem te na obvezu izvršavanja pravnih obveza voditelja obrade (poslodavca) propisanih posebnim propisima (Zakon o radu, Zakon o mirovinskom osiguranju, Zakon o zaštiti na radu, Pravilnik o sadržaju i načinu vođenja evidencije o radnicima i dr.) Privola radnika može biti  pravni temelj za obradu osobnih podataka koje poslodavac nije obvezan prikupljati i obrađivati sukladno posebnim propisima( primjerice: osobna fotografija radnika ).

Vezano za pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava navodimo kako je poštujući načelo transparentnosti sukladno članku 13. Opće uredbe o zaštiti podataka voditelj obrade dužan ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).

Dakle, voditelj obrade u trenutku prikupljanja osobnih podataka obvezan je ispitaniku pružiti informacije:
– o svom identitetu,
-o službeniku za zaštitu podataka (kontakt podaci službenika),
-upoznati sa  svrhom i pravnom osnovom za obradu osobnih podataka,
-o primateljima ili kategorijama primatelja osobnih podataka,
-o prenošenju osobnih podataka trećoj zemlji ili međunarodnoj organizaciji (koje nisu članice EU),
-o legitimnom interesu,
-o vremenskom roku pohrane osobnih podataka te kriterijima kojima se utvrđuje razdoblje pohrane,
-o postojanju prava da se od voditelja obrade zatraži pristup osobnim podacima, ispravak, brisanje osobnih podataka ili ograničavanje obrade koja se na njega odnose, prava na ulaganje prigovora na obradu takvih podataka te na prenosivost njegovih podataka drugom voditelju obrade,
– o pravu da se u bilo kojem trenutku povuče privola, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena,
-o pravu na podnošenje prigovora nadzornom tijelu (Agenciji za zaštitu osobnih podataka)
-da li je pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže,
-o postojanju automatiziranog donošenja odluka, što uključuje izradu profila te smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

Također, ukoliko osobni podaci nisu dobiveni od ispitanika, voditelj obrade dužan je ispitaniku pružiti  osim gore navedenih informacija i informacije o izvoru osobnih podataka (članak 14. Opće uredbe).

Osim toga, navodimo kako je u svrhu ostvarivanja zakonitosti i transparentnosti obrade osobnih podataka i pružanja informacija vezanih za obradu osobnih podataka, a time i ostvarivanja  prava ispitanika: pravo pristupa podacima, prava na ispravak netočnih podataka, prava na brisanje podataka, prava na ograničenje obrade podataka, prava na prenosivost podataka i prava na ulaganje prigovora na obradu osobnih podataka voditelj obrade dužan detaljno objasniti koje vrste osobnih podataka se prikupljaju, u koju svrhu i po kojoj pravnoj osnovi, na koji način se koriste osobni podaci, odnosno tko koristi osobne podatke te koje mjere zaštite osobnih podataka se poduzimaju (izrada politika privatnosti).

Zaključno ukazujemo kako je potrebno izvršiti usklađivanje internih akata vezanih uz radno-pravne odnose, odnosno uskladiti odredbe internih akata koje se odnose na zaštitu osobnih podataka u kojima će na sveobuhvatan i jasan način biti ugrađene informacije koje je voditelj obrade u trenutku prikupljanja osobnih podataka obvezan ispitaniku pružiti (standardi iz članka 13. i članka 14. Opće uredbe).

4.8.2022.

Nastavno na Vaš upit u kojem u bitnom pitate o obradi osobnih podataka radnika, skeniraju osobnih iskaznica, bankovnih kartica i dr.,  Agencija se za zaštitu osobnih podataka se očituje kako slijedi:

Prvenstveno ističemo da je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom o zaštiti podataka potrebno postojanje pravnog temelja iz članka 6. Opće uredbe o zaštiti podataka kojim je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.

Člankom 29. stavkom 1. Zakona o radu (NN 93/14, 127/17, 98/19) je propisano da se osobni podaci radnika smiju prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ovim ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom.

Nadalje, člankom 29. stavkom 2. navedenog Zakona je određeno da ako je osobne podatke iz stavka 1. ovoga članka potrebno prikupljati, obrađivati, koristiti ili dostavljati trećim osobama radi ostvarivanja prava i obveza iz radnoga odnosa, odnosno u vezi s radnim odnosom, poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama.

Člankom 5. stavkom 1. Zakona o radu (NN 93/14, 127/17, 98/19) određeno je da je poslodavac dužan voditi evidenciju o radnicima koji su kod njega zaposleni.

Stavkom 2. istog članka i zakona određeno je da evidencija mora sadržavati podatke o radnicima i o radnom vremenu. 

Međutim, u kontekstu Vašeg upita, važno je napomenuti da kopiranje ili skeniranje isprave o identitetu ili bankovne kartice nije pravna obveza poslodavca temeljem navedenog propisa, što znači da navedeni pravni propis ne predstavlja zakoniti pravni temelj za kopiranje odnosno skeniranje navedenih isprava.

Dodatno napominjemo da kartica bankovnog računa sadrži, između ostalog, i verifikacijski broj kartice (CSC, CVV ili HVS), koji je jedinstveni 3 ili 4-znamenkasti broj otisnut na kartici uz broj računa te služi kao dokaz o fizičkom posjedovanju kartice u trenutku online kupnje i smanjuje mogućnost prijevare. Agenciji nije razvidan pravni temelj za obradu navedenog osobnog podatka od strane poslodavca.

Što se tiče osobne iskaznice ili vozačke dozvole, ista također sadrži određene osobne podatke ispitanika za koje je isto tako upitan pravni temelj zakonitosti obrade (primjerice fotografija radnika).

Što se tiče privole, u mišljenju br. 249 o obradi podataka na radnome mjestu, Radna skupina za zaštitu podataka iz članka 29. Direktive 95/46/EZ (sadašnji Europski odbor za zaštitu podataka) iznosi mišljenje da se vrlo vjerojatno privola ne može smatrati zakonitim pravnim temeljem za obradu osobnih podataka radnika ili potencijalnih radnika, osim ako isti mogu obradu odbiti bez štetnih posljedica.

Budući da su radnici rijetko u situaciji da slobodno daju, odbiju ili povuku privolu s obzirom na ovisnost koja proizlazi iz odnosa između poslodavca i radnika, privola često nije adekvatan pravni temelj za obradu osobnih podataka u radnom odnosu.

Osim u iznimnim situacijama, poslodavci će se morati oslanjati na neku drugi pravni temelj koji nije privola, primjerice dokazani legitimni interes voditelja obrade.

Međutim, čak i uz adekvatan pravni temelj voditelj obrade mora voditi računa o načelima obrade osobnih podataka iz članka 5. Opće uredbe o zaštiti podataka, između ostalog i „načelu smanjenja količine podataka“ koji traži da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.

Nije razvidno primjerice, da bi verifikacijski broj kartice bio nužan podatak u svrhu isplate plaće radnika, stoga ako bi se dokazao legitiman interes da se bankovna kartica radnika kopira ili skenira, nad podacima koji nisu nužni trebale bi se provesti odgovarajuće tehničke mjere zaštite (primjerice zacrnjivanje podataka).

Zaključno, legitiman interes možete pokušati dokazati provođenjem testa razmjernosti kako biste utvrdili preteže li legitiman interes voditelja obrade ili interesi radnika, u kojem potonjem slučaju biste trebali odustati od obrade. Obrazac testa razmjernosti možete pronaći na poveznici: https://azop.hr/obrasci-predlosci/.

24.3.2022

Nastavno na Vaš upit vezan uz obradu osobnih podataka o Vašim zaposlenicima/potencijalnim zaposlenicima, Agencija za zaštitu osobnih podataka se očituje kako slijedi:

Prvenstveno ističemo da je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom o zaštiti podataka potrebno postojanje pravnog temelja iz članka 6. stavka 1. Opće uredbe o zaštiti podataka kojim je propisano da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.

U odnosu na prvo i drugo pitanje, napominjemo kako nisu razvidne svrhe razmjene podataka kao niti opseg razmjene, stoga nije moguće pružiti konkretan odgovor.

U svakom slučaju, dostava podataka od strane jednog voditelja obrade (građa Đakovo) drugom voditelju obrade (knjigovodstvenom servisu/fizičkoj osobi) je zakonita jedino ako je ispunjen jedan od uvjeta iz članka 6. stavka 1. Opće uredbe o zaštiti podataka.

U odnosu na treće pitanje, napominjemo kako sukladno članku 3. Zakona o lokalnoj i područnoj (regionalnoj) samoupravi (NN 33/01, 60/01, 129/05, 109/07, 125/08, 36/09, 36/09, 150/11, 144/12, 19/13, 137/15, 123/17, 98/19, 144/20) jedinice lokalne samouprave su općine i gradovi, a jedinice područne (regionalne) samouprave su županije.

Sukladno članku 56. Zakona o lokalnoj i područnoj (regionalnoj) samoupravi pravne, stručne i ostale poslove u tijelima jedinica lokalne i jedinica područne (regionalne) samouprave obavljaju službenici i namještenici.

Sukladno članku 45. stavku 1. Zakona o državnim službenicima (NN 92/05, 140/05, 142/06, 77/07, 107/07, 27/08, 34/11, 49/11, 150/11, 34/12, 49/12, 37/13, 38/13, 01/15, 138/15, 61/17, 70/19, 98/19) slobodna radna mjesta u državnim tijelima popunjavaju se putem javnog natječaja, internog oglasa, napredovanja, premještaja ili rasporeda državnog službenika u skladu s ovim Zakonom.

Sukladno članku 4. Uredbe Vlade Republike Hrvatske o raspisivanju i provedbi javnog natječaja i internog oglasa u državnoj službi (NN 78/2017) određeno je da javni natječaj mora sadržavati između ostalog i naznaku da se rješenje o prijmu u državnu službu izabranog kandidata dostavlja javnom objavom na web-stranici državnog tijela koje raspisuje natječaj i na web-stranici središnjeg tijela državne uprave nadležnog za službeničke odnose te da se dostava svim kandidatima smatra obavljenom istekom osmoga dana od dana javne objave na web-stranici središnjeg tijela državne uprave nadležnog za službeničke odnose.

Zaključno, sukladno navedenoj Uredbi Vlade Republike Hrvatske o raspisivanju i provedbi javnog natječaja i internog oglasa u državnoj službi, objavljuje se rješenje izabranog kandidata na web-stranici državnog tijela koje raspisuje natječaj i na web-stranici središnjeg tijela državne uprave nadležnog za službeničke odnose.

15.2.2022.

S obzirom na Vaše obraćanje ovoj Agenciji vezano uz primjenu Opće uredbe o zaštiti podataka na postupanje s osobnim podacima bivših radnika te korištenje istih podataka u sudskim postupcima i postupcima pred javnopravnim tijelima koje bivši radnik pokrene protiv poslodavca nakon prestanka radnog odnosa, nastavno iznosimo sljedeće:

Sukladno članku 5.1.b) Uredbe o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (SL EU L119, dalje u tekstu: Opća uredba o zaštiti podataka, eng. skraćeno GDPR) osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanja svrhe). Također, prema članku  5.1.c) Opće uredbe o zaštiti podataka osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (načelo smanjenja količine podataka). Nadalje, sukladno članku 5.1.e) Opće uredbe o zaštiti podataka, osobni podaci moraju biti čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1., što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih ovom Uredbom radi zaštite prava i sloboda ispitanika (načelo ograničenja pohrane).   

Osim toga, prema članku 6. 1. Opće uredbe o zaštiti podataka, obrada osobnih podataka je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećeg: a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane.

Nadalje, Zakonom o radu (“Narodne novine”, broj: 93/14, 127/17, 98/2019) kao posebnim zakonom propisane su prava radnika vezano uz radni odnos kao i obveze poslodavca, a vezano uz obradu osobnih  podataka radnika. Posebno ističemo članak 29.  koji propisuje da se osobni podaci radnika smiju se prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ovim ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom. Ako je osobne podatke iz stavka 1. ovoga članka potrebno prikupljati, obrađivati, koristiti ili dostavljati trećim osobama radi ostvarivanja prava i obveza iz radnoga odnosa, odnosno u vezi s radnim odnosom, poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama. Osobne podatke radnika smije prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo poslodavac ili osoba koju za to posebno opunomoći poslodavac. Osobni podaci za čije čuvanje više ne postoje pravni ili stvarni razlozi moraju se brisati ili na drugi način ukloniti. 

U slučaju prestanka radnog odnosa kod poslodavca, načelno navodimo kako je prestala svrha i pravni temelj obrade osobnih podataka (bivših) radnika, tim više što i sam Zakon o radu u odredbama članka 29. navodi kako se osobni podaci za čije čuvanje više ne postoje pravni ili stvarni razlozi moraju se brisati ili na drugi način ukloniti. Isto tako, članak 5. stavak 1. Pravilnika o sadržaju i načinu vođenja evidencije o  radnicima („Narodne novine“, broj: 73/2017), koji je donesen temeljem članka 5. Zakona o radu propisuje kako poslodavac evidenciju o radnicima iz članka 3. ovoga Pravilnika, počinje voditi datumom zasnivanja radnog odnosa i ažurno je vodi do prestanka radnog odnosa te istu čuva kao dokumentaciju trajne vrijednosti.

Međutim, ističemo kako u odnosu na određeni opseg (količinu) osobnih podataka određene kategorije ispitanika/radnika i vremensko razdoblje čuvanja (pohrane) osobnih podataka, poslodavac treba poštivati i druge odredbe Pravilnika o sadržaju i načinu vođenja evidencije o  radnicima. Naime, člankom 5. stavkom 2. navedenog Pravilnika propisano je kako poslodavac evidenciju o osobama iz članka 4. ovoga (radnici koje je poslodavcu privremeno ustupilo s njim povezano društvo, osobe koje se kod poslodavca nalaze na stručnom osposobljavanju za rad bez zasnivanja radnog odnosa, redoviti studenti koji kod poslodavca rade posredstvom ovlaštenih studentskih centara, redoviti učenici koji kod poslodavca rade posredstvom ovlaštenih srednjoškolskih ustanova, redoviti učenici ustanova za strukovno obrazovanje koji kod poslodavca pohađaju praktičnu nastavu i vježbe, osobe koje kod poslodavca obavljaju rad za opće dobro u skladu s općim propisom) počinje voditi datumom početka rada osoba kod poslodavca i ažurno je vodi do prestanka rada tih osoba kod poslodavca te istu čuva najmanje šest godina od dana prestanka njihovog rada. Također, člankom 14. stavkom 2. istoga Pravilnika, propisano je kako je poslodavac evidencije o radnom vremenu dužan čuvati najmanje šest godina, a u slučaju kada poslodavac ima saznanja da je pokrenut radni spor u pogledu ostvarivanja prava iz radnog odnosa ili u vezi s radnim odnosom, pri čemu bi za ostvarivanje tih prava mogle biti relevantne i evidencije, iste je dužan čuvati do pravomoćnog okončanja toga spora.

Što se tiče obrade (korištenja) osobnih podataka bivših radnika u sudskim postupcima, navodimo kako sukladno članku 55.(3) Opće uredbe o zaštiti podataka, nadzorna tijela (u ovom slučaju Agencija za zaštitu osobnih podataka) nisu nadležna nadzirati postupke obrade sudova kada obavljaju svoju sudbenu funkciju, dok za obradu (korištenje) osobnih podataka bivših radnika u postupcima pred javnopravnim tijelima navodimo kako poslodavac mora, ovisno o konkretnom slučaju, pronaći odgovarajući pravni temelj iz članka 6.1. Opće uredbe o zaštiti podataka. Osim gore spomenutih posebnih propisa iz područja radnih odnosa, navodimo kako pravni temelj za obradu (korištenje) osobnih podataka (bivših) radnika u postupcima pred javnopravnim tijelima može biti i legitimni interes poslodavca, čije postojanje poslodavac mora dokazati i koji mora biti prevladavajući u odnosu na prava i interese (bivših) radnika na zaštitu njihovih osobnih podataka.

 Naposljetku, razumijeva se kako je u slučaju da se radi o korištenju evidencija o radnom vremenu bivših radnika u odgovarajućim postupcima, poslodavac ovlašten postupati na način kako je propisano gore navedenim odredbama Pravilnika o sadržaju i načinu vođenja evidencije o radnicima.       

15.12.2021.

Nastavno na Vaš upit u kojem u bitnom pitate o prikupljanju kopija osobnih iskaznica radnika od strane poslodavaca, Agencija za zaštitu osobnih podataka se očituje kako slijedi:

Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka  propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.

Sukladno propisima o radu, Agenciji za zaštitu osobnih podataka nije razvidna pravna obveza poslodavca da traži, a time i prikuplja kopiju osobnih iskaznica radnika.

Međutim, primjerice, u situacijama u kojima je poslodavac temeljem posebnog propisa (pravne obveze), u natječaju ili prilikom zasnivanja radnog odnosa dužan tražiti/utvrditi podatak o državljanstvu kojeg radnik može dokazati i osobnom iskaznicom, ali i dostavom drugog odgovarajućeg dokaza, treba dati radniku pravo na izbor na koji će način dokazati isto te u tom smislu radnik može dati na uvid osobnu iskaznicu kao i putovnicu odnosno domovnicu, a preslika kojeg izvornog dokumenta se u takvom kontekstu dokaza o državljanstvu može odložiti u natječajnu ili radnu dokumentaciju.

Nadalje, svaka obrada osobnih podataka mora biti sukladna načelima iz članka 5. stavka 1. Opće uredbe o zaštiti podataka.

Naime, u predmetnom kontekstu posebice je važno načelo „smanjenja količine podataka” koje određuje da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.

S tim u vezi, razabire se da prikupljanje kopija osobne iskaznice s obzirom na sadržaj podataka može se smatrati prekomjernom obradom osobnih podataka. Naime, Agenciji za zaštitu osobnih podataka nije razvidno da je primjerice fotografija radnika osobni podatak koji je nužan za zasnivanje radnog odnosa. Stoga, na moguće prikupljenoj preslici osobne iskaznice u svrhu dokazivanja državljanstva potrebno je primijeniti adekvatne mjere zaštite kojima se ne bi obrađivali podaci koji nisu primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (primjerice, zacrnjivanjem fotografije).

Zaključno, u svrhu samo jednoznačne identifikacije radnika prilikom natječajnog postupka ili zasnivanja radnog odnosa, Agencija za zaštitu osobnih podataka smatra da bi se svakako trebalo izbjegavati prikupljanje kopija osobnih iskaznica radnika osobito imajući u vidu da se predmetna svrha može postići i samim uvidom u osobnu iskaznicu radnika/potencijalnog radnika i eventualnim notiranjem te činjenice, budući da posjedovanje kopija osobnih iskaznica sa svim na istim sadržanim podacima ipak dodatno povećava rizik za prava i slobode ispitanika koji proizlazi iz takve obrade.

30.12.2021.

Nastavno na Vaš upit u kojem u bitnom pitate o obradi osobnih podataka radnika u svrhu evidentiranja radnog vremena, Agencija za zaštitu osobnih podataka se očituje kako slijedi:

Prvenstveno ističemo kako je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom o zaštiti podataka potrebno postojanje pravnog temelja iz članka 6. dok je za prikupljanje posebnih kategorija osobnih podataka potrebno i postojanje jedne od iznimaka naznačenih u  članku 9. stavku 2. Opće uredbe o zaštiti podataka.

Člankom 6. stavkom 1. Opće uredbe o zaštiti podataka propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

 (a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.

Člankom 5. Zakona o radu (NN 93/14, 127/17, 98/19) određeno je:

• Poslodavac je dužan voditi evidenciju o radnicima koji su kod njega zaposleni.
• Evidencija iz stavka 1. ovoga članka mora sadržavati podatke o radnicima i o radnom vremenu.
• Poslodavac je dužan inspektoru rada na njegov zahtjev dostaviti podatke iz stavka 2. ovoga članka.
• Ministar nadležan za rad (u daljnjem tekstu: ministar) pravilnikom propisuje sadržaj i način vođenja evidencije iz stavka 1. ovoga članka. 

Člankom 8. stavkom 1. Pravilnika o sadržaju i načinu vođenja evidencije o radnicima (NN 73/17) određeno je kako evidencija o radnom vremenu sadrži najmanje sljedeće podatke: 

1) ime i prezime radnika,

2) datum u mjesecu,

3) početak rada,

4) završetak rada,

5) vrijeme i sate zastoja, prekida rada i slično do kojega je došlo krivnjom poslodavca ili uslijed drugih okolnosti za koje radnik nije odgovoran,

6) ukupno dnevno radno vrijeme,

7) sate terenskog rada,

8) sate pripravnosti,

9) vrijeme nenazočnosti na radu:

– sate korištenja odmora (dnevnog, tjednog i godišnjeg),

– neradne dane i blagdane utvrđene posebnim propisom,

– sate spriječenosti za rad zbog privremene nesposobnosti za rad,

– sate plaćenih dopusta,

– sate nenazočnosti u tijeku dnevnog rasporeda radnog vremena po zahtjevu radnika,

– sate nenazočnosti u tijeku dnevnog rasporeda radnog vremena u kojima radnik svojom krivnjom ne obavlja ugovorene poslove,

– sate provedene u štrajku,

– sate isključenja s rada (lockout).

 Stavkom 2. istog članka predmetnog Pravilnika, određeno je da poslodavac dužan, osim podataka iz stavka 1. ovoga članka, voditi i posebne podatke o radnom vremenu od kojih ovisi ostvarenje pojedinih prava iz radnog odnosa ili u vezi s radnim odnosom (sate rada noću, prekovremeni rad, smjenski rad, dvokratni rad, rad u dane blagdana ili neradnih dana utvrđenih posebnim propisom i slično).

Zakonom o blagdanima, spomendanima i neradnim danima u Republici Hrvatskoj (NN 110/19) određeni su blagdani, neradni dani i spomendani u Republici Hrvatskoj.

Člankom 3. Navedenog zakona određeno je kako u dane vjerskih blagdana pripadnici pojedinih vjeroispovijesti u Republici Hrvatskoj imaju pravo na neradni dan, i to:

– kršćani koji slave blagdan Božića na dan 7. siječnja toga dana

– kršćani koji slave blagdan Uskrsa prema julijanskom kalendaru na dan Uskrsnog ponedjeljka

– pripadnici islamske vjeroispovijesti koji slave blagdane Ramazanski bajram i Kurban-bajram jedan dan prema svom izboru za svaki od tih blagdana

– pripadnici židovske vjeroispovijesti koji slave blagdane Jom kipur i Roš hašanu jedan dan prema svom izboru za svaki od tih blagdana.

 S tim u vezi, poslodavac ima ovlaštenje tražiti podatak o vjeroispovijesti radnika ako radnik koristi neradni dan u vrijeme vjerskog blagdana.

U odnosu na Vaš upit, svaka obrada osobnih podataka, mora imati pravni temelj u Općoj uredbi za zaštitu podataka kako bi ista bila zakonita.

U konkretnom slučaju, zakonit pravni temelj za obradu postoji u smislu članka 6. stavka 1. točke c), dok je iznimka od načelne zabrane obrade posebnih kategorija osobnih podataka sadržana u članku 9. stavku 2. točki b) Opće uredbe o zaštiti podataka.

 Zaključno, dodatno napominjemo da čak i u slučaju zakonite obrade osobnih podataka od strane poslodavca potrebno je voditi računa o načelima iz članka 5. Opće uredbe o zaštiti podataka.

12.3. 2020.

Nastavno na Vaš dopis koji je Agencija za zaštitu osobnih podataka zaprimila 12. veljače 2020. godine, Agencija se očituje kako slijedi:

Člankom 6. stavkom 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. godine o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredbe o zaštiti podataka) propisano je da je obrada zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade ili izvršavanje zadaće od javnog interesa/službene ovlasti voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.
Zakonom o gradnji (NN 153/13, 20/17, 39/19 i 125/19) i Zakonom o prostornom uređenju (NN 153/13, 65/17, 114/18, 39/19 i 98/19) propisano je potpisivanje pojedinih akata elektroničkim potpisom.

Nadalje, pravni okvir za elektroničke potpise uspostavljen je Uredbom (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. godine o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ.

Osim navedene Uredbe, relevantni propisi su i Zakon o provedbi Uredbe (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. godine o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ (NN 62/17) te Pravilnik o pružanju i korištenju usluga povjerenja (NN 60/19).

Niti jedan od navedenih propisa ne propisuje obvezni opseg podataka na vizualu elektroničkog potpisa. U tom smislu, isticanje OIB-a potpisnika na vizualu elektroničkog potpisa ne može se smatrati obradom koja je nužna radi poštovanja pravnih obveza voditelja obrade u smislu članka 6. stavka 1. točke c) Opće uredbe o zaštiti podataka odnosno obradom koja je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade u smislu članka 6. stavka 1. točke e) Opće uredbe.

Dakle, da bi navedena obrada bila zakonita, voditelj obrade je dužan pronaći neki drugi temelj za zakonitost obrade iz članka 6. Opće uredbe o zaštiti podataka.

U mišljenju br. 249 o obradi podataka na radnome mjestu, Radna skupina za zaštitu podataka iz članka 29. Direktive 95/46/EZ iznosi mišljenje da se vrlo vjerojatno privola ne može smatrati zakonitim pravnim temeljem za obradu osobnih podataka zaposlenika ili potencijalnih zaposlenika, osim ako isti mogu obradu odbiti bez štetnih posljedica.

Naime, zaposlenici su rijetko u situaciji da slobodno daju, odbiju ili povuku privolu s obzirom na ovisnost koja proizlazi iz odnosa između poslodavca i zaposlenika.

Osim u iznimnim situacijama, poslodavci će se morati oslanjati na neku drugu pravnu osnovu koja nije privola, kao što je potreba za obradom podataka u svrhe njihova legitimnog interesa. Međutim, legitimni interes sam po sebi nije dovoljan da bi imao prednost pred pravima i slobodama zaposlenika. Legitimni interes poslodavca može biti pravna osnova za obradu osobnih podataka zaposlenika samo ako je obrada podataka nužna za zakonitu svrhu i u skladu je s načelima proporcionalnosti i supsidijarnosti.

Prilikom razmatranja je li obrada nužna za potrebe legitimnih interesa voditelja obrade (ili treće strane) treba zapravo razmotriti može li se ista svrha ostvariti manje invazivnim sredstvima na privatnost ispitanika.

U svakom slučaju, da bi se voditelj obrade mogao pozvati na legitimni interes kao pravni temelj za obradu, ta obrada osobnih podataka mora biti nužna za postizanje legitimnog interesa, legitimni interes mora biti zakonit, stvaran i trenutačan te dovoljno jasno opisan odnosno specifičan kako bi se omogućila provedba testa ravnoteže u odnosu na  interese i temeljna prava osoba čiji se podaci obrađuju (ispitanika). I, naposljetku, test ravnoteže mora pokazati da su u konkretnom slučaju interesi voditelja obrade (ili treće strane) jači od temeljnih prava i sloboda ispitanika.

I u slučaju kada su ispunjeni svi navedeni uvjeti za postojanje legitimnog interesa kao pravnog temelja za obradu podataka, voditelj obrade mora voditi računa o svim drugim obvezama iz Opće uredbe o zaštiti podataka, počevši sa načelima utvrđenima člankom 5.Opće uredbe o zaštiti podataka.

Načela obrade osobnih podataka, sukladno članku 5. Opće uredbe o zaštiti podataka, traže da osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika (načelo zakonitosti, poštenosti i transparentnosti); prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama (načelo ograničavanja svrhe); primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju (načelo smanjenja količine podataka); točni i prema potrebi ažurni (načelo točnosti); čuvani u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju (načelo ograničenja pohrane); i obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti). Voditelj obrade odgovara za usklađenost sa ovdje navedenim načelima Opće uredbe te je mora biti u mogućnosti dokazati (načelo pouzdanosti).

Također napominjemo da je člankom 29. stavkom 1. Zakona o radu (NN 93/14 i 127/17) propisano da se osobni podaci radnika smiju prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ovim ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom.

Nadalje, člankom 29., stavkom 2. istoga Zakona je određeno da ako je osobne podatke iz stavka 1. ovoga članka potrebno prikupljati, obrađivati, koristiti ili dostavljati trećim osobama radi ostvarivanja prava i obveza iz radnoga odnosa, odnosno u vezi s radnim odnosom, poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama.

Nastavno na sve izneseno, Agenciji za zaštitu osobnih podataka prvenstveno nije razvidan pravni temelj za isticanje OIB-a zaposlenika na vizualu elektroničkog potpisa. Nadalje, Agenciji je sporna primjena načela smanjenja količine podataka jer je upitno može li se isticanje OIB-a zaposlenika na vizualu elektroničkog potpisa smatrati primjerenim, relevantnim i ograničenim na ono što je nužno u odnosu na svrhe u koje se osobni podaci obrađuju. Osim toga, otvoreno je pitanje i je li i u kojoj mjeri voditelj obrade poštovao načelo transparentnosti, odnosno jesu li zaposlenici uopće unaprijed informirani od strane voditelja obrade o namjeri isticanja njihovih OIB-ova na vizualu elektroničkog potpisa i jesu li, između ostalog, informirani o postojanju svojeg prava na ulaganje prigovora na takvu obradu.

Zaključno, sukladno članku 34. Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/18), svatko tko smatra da mu je povrijeđeno neko pravo zajamčeno ovim Zakonom i Općom uredbom o zaštiti podataka, može Agenciji podnijeti zahtjev za utvrđivanje povrede prava.

Agencija Vas dodatno informira da, sukladno članku 41. navedenog Zakona, ispitanik ima pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje koje je osnovano u skladu sa zakonom, a u čijem se statutu navode ciljevi od javnog interesa te je aktivno u području zaštite prava i sloboda ispitanika s obzirom na zaštitu njegovih osobnih podataka da podese pritužbu i ostvaruje prava u njegovo ime.

20.12.2021.

Nastavno na Vaš upit kojim u bitnom tražite pojašnjenja vezana uz obradu osobnih podataka u kontekstu dostave odluke o otkazu radnika, Agencija se očituje kako slijedi:

Prvenstveno ističemo kako je za svako prikupljanje i obradu osobnih podataka u skladu s Općom uredbom o zaštiti podataka potrebno postojanje pravnog temelja iz članka 6. stavka 1. Opće uredbe o zaštiti podataka.

(a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d) obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;

(e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

Ako je pravni temelj za obradu osobnih podataka pravna obveza voditelja obrade, tada ta pravna osnova mora biti utvrđena u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, a tom pravnom osnovom mora biti određena i svrha obrade.

Sukladno članku 120. stavku 1, 2 i 3 Zakona o radu (NN 93/14, 127/17, 98/19) otkaz mora biti u pisanom obliku, poslodavac mora u pisanom obliku obrazložiti otkaz te da se otkaz mora dostaviti osobi kojoj se otkazuje.

Sukladno navedenom, predmetna obrada je nužna radi poštovanja pravnih obveza voditelja obrade i s tim u vezi postoji pravni temelj iz članka 6. stavka 1. točke c. Opće uredbe o zaštiti podataka.

Nadalje, sukladno članku 132. stavku 1. Zakona o radu (NN 93/14, 127/17, 98/19) na dostavu odluka o otkazu ugovora o radu te odluka donesenih u postupcima iz članka 133. ovoga Zakona, primjenjuju se na odgovarajući način odredbe o dostavi iz propisa kojim je uređen parnični postupak, ako postupak dostave nije uređen kolektivnim ugovorom, sporazumom sklopljenim između radničkog vijeća i poslodavca ili pravilnikom o radu.

S tim u vezi, Zakon o parničnom postupku (NN  53/91, 91/92, 58/93, 112/99, 88/01, 117/03, 88/05, 02/07, 84/08, 96/08, 123/08, 57/11, 148/11, 25/13, 89/14, 70/19) detaljno uređuje načine dostave u glavi XI.

Što se tiče dostave putem oglasne ploče Vašeg društva, ako se dostava ne može obaviti na drugi propisani odnosno prikladni način sukladno propisima radnog i parničnog prava, a dostava putem oglasne ploče poslodavca je propisana kolektivnim ugovorom, sporazumom sklopljenim između radničkog vijeća i poslodavca ili pravilnikom o radu s aspekta zaštite osobnih podataka potrebno je dodatno voditi računa o načelima iz članka 5. Opće uredbe o zaštiti podataka, posebnice o načelu „smanjenja količine podataka“ koji određuje da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.

 To bi značilo da se prilikom dostave odluke putem oglasne ploče poslodavca vodi računa o nužnom setu podataka (primjerice, ime i prezime radnika, izreka odluke i drugi nužni podaci iz obrazloženja) koji se objavljuje na supra navedeni način.

S tim u vezi, svaki set podataka koji je nužan da se ispuni predmetna svrha je s aspekta Opće uredbe o zaštiti podataka dopušten.

Slijedom navedenog, na ostale podatke voditelj obrade (poslodavac) je dužan primijeniti tehničke i organizacijske mjere zaštite pa je prilikom objave odluke o otkazu na oglasnoj ploči poslodavca potrebno na odgovarajući način anonimizirati podatke koji se ne bi smatrali nužnim setom podataka.

Zaključno, u kontekstu navedenog također držimo kako bi sva pismena koja se objave na oglasnoj ploči voditelja obrade, a koja sadrže osobne podatke radnika trebalo ukloniti protekom propisanog roka od objave na oglasnoj ploči, odnosno čim prođe svrha obrade osobnih podataka.

31.5.2019.

S obzirom na Vaše obraćanje ovoj Agenciji vezano uz dostavu osobnih podataka zaposlenika Državnom zavodu za statistiku za potrebe provedbe istraživanja o strukturi zarada, nastavno iznosimo sljedeće:

Sukladno članku 5.1.b) Uredbe o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (SL EU L119, dalje u tekstu: Opća uredba o zaštiti podataka, eng. skraćeno GDPR) osobni podaci moraju biti prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. ne smatraju se neusklađenom s prvotnim svrhama (načelo ograničavanja svrhe).

Osim toga, prema članku 6.1. Opće uredbe o zaštiti podataka, obrada osobnih podataka je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećeg: a) ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; b) obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; c) obrada je nužna radi poštovanja pravnih obveza voditelja obrade; d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; f) obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane.

Također, sukladno članku 89.1. Opće uredbe o zaštiti podataka, na obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe primjenjuju se odgovarajuće zaštitne mjere u skladu s ovom Uredbom u pogledu prava i sloboda ispitanika. Tim zaštitnim mjerama osigurava se da su na snazi tehničke i organizacijske mjere, posebno kako bi se zajamčilo načelo smanjenja količine podataka.    

U odredbama članka 33. Zakona o provedbi Opće uredbe o zaštiti podataka („Narodne novine“ broj 42/18) propisano je, između ostaloga, da su tijela nadležna za proizvodnju službene statistike dužna primjenjivati tehničke i organizacijske mjere zaštite podataka prikupljenih za potrebe službene statistike. Obrada osobnih podataka u statističke svrhe smatra se podudarnom svrsi za koju su podaci prikupljeni, pod uvjetom da se poduzmu odgovarajuće zaštitne mjere. Osobni podaci obrađeni u statističke svrhe ne smiju omogućiti identifikaciju osobe na koju se podaci odnose.

Nadalje, člankom 30. stavkom 1. Zakona o službenoj statistici („Narodne novine“ broj 103/03), kao posebnog zakona koji se primjenjuje u konkretnom slučaju, propisano je da se radi izvršavanja Programa statističkih aktivnosti donosi se Godišnji provedbeni plan za svaku godinu na koju se odnosi Program, dok je člankom 32. istoga Zakona, između ostaloga, propisano kako se Godišnjim provedbenim planom određuje za statistička istraživanja: a) nositelj službene statistike, b) naziv statističkog istraživanja, c) periodičnost istraživanja, d) izvještajne jedinice, e) načini prikupljanja podataka, f) rokovi prikupljanja podataka, g) obvezatnost davanja podataka, h) veza s rezultatima ili aktivnostima u Programu, i) rokovi i razina objave rezultata, j) relevantni međunarodni standardi.

Također, u članku 38. stavku 3. Zakona o službenoj statistici, propisano je da nitko nije dužan davati podatke ako statističko istraživanje nije utvrđeno Godišnjim provedbenim planom, Programom ili odlukom Vlade Republike Hrvatske iz članka 35. Zakona, odnosno ako obveza davanja podataka ne proizlazi iz ovoga ili posebnog zakona.

Ukazujemo i na odredbu članka 59. navedenog Zakona, prema kojoj u smislu ovoga Zakona statistički podaci o fizičkim ili pravnim osobama, ukoliko se oni izravno ili neizravno mogu dovesti u vezu s fizičkom ili pravnom osobom, statistički su povjerljivi i predstavljaju službenu tajnu, dok prema članku 6. spomenutog Zakona individualni statistički podaci prikupljeni za potrebe službene statistike mogu se koristiti isključivo u statističke svrhe i iskazuju se u zbirnom (agregiranom) obliku.

U konkretnom slučaju treba uzeti u obzir odredbe Zakona o osobnom identifikacijskom broju (“Narodne novine” broj 60/08) gdje je u članku 5. stavak 1. točka 2. određeno kako su korisnici osobnoga identifikacijskog broja, koji osobne identifikacijske brojeve koriste za povezivanje podataka u službenim evidencijama, u svakodnevnom radu i kod razmjene podataka: državna tijela, jedinice lokalne i područne (regionalne) samouprave, pravne osobe koje se dijelom financiraju, izravno ili neizravno, iz sredstava proračuna ili kojima su osnivači, odnosno jedan od osnivača Republika Hrvatska, jedinice lokalne i područne (regionalne) samouprave te pravne osobe kojima su povjerene javne ovlasti. Uzimajući u obzir navedeno Državnog zavoda za statistiku je ovlašteni korisnik OIB-a.

Imajući u vidu gore navedeno, iznosimo kako se obrada osobnih podataka u statističke svrhe (u ovom slučaju od strane Državnog zavoda za statistiku, kao nositelja službene statistike) ne smatra nepodudarnom (neusklađenom) s prvotnim svrhama obrade osobnih podataka. Što se tiče pravnog temelja za dostavu traženih osobnih podataka u konkretnom slučaju za potrebe provedbe statističkih istraživanja od strane Državnog zavoda za statistiku, navodimo kako pravni temelj predstavlja gore spomenuti Zakon o službenoj statistici, odnosno Godišnji provedbeni plan, koji se donosi temeljem Zakona o službenoj statistici i kojim se detaljno određuju pojedina statistička istraživanja, uključujući periodičnost istraživanja  i obvezatnost davanja podataka.

Agencija je u svrhu opravdanosti prikupljanje i daljnje obrade pojedinih osobnih podataka zaposlenika, osobito prezime i OIB-a tražila Državni zavod za statistiku dodatno pojašnjenje u kojem je između ostalog navedeno kako je Istraživanje o strukturi zarada istraživanje koje je definirano Godišnjim provedbenim planom statističkih aktivnosti Republike Hrvatske 2019. (dalje u tekstu GPP 2019). GPP 2019. definira između ostalih podatka i kratak opis rezultata aktivnosti/istraživanja. Kod Istraživanja o strukturi zarada definirano je kod kratkog opisa rezultata da će se ovim istraživanjem dobiti podaci o zaposlenicima prema dobi, spolu, zanimanju, završenoj školi, duljini staža, vrsti radnog odnosa, satima rada, strukturi bruto zarada (bruto plaća i obvezna izdvajanja iz plaće). Kratak opis rezultata u GPP-u ne definira sadržaj podatka koji se prikupljaju od izvještajnih jedinica, već sadržaj konačnih rezultata istraživanja.  Također ne navedeno kako je u svrhu obrade podataka prikupljenih navedenim istraživanjem, potreban OIB kako bi se izbjeglo dupliciranje istog zaposlenika u obradi i pripremi rezultata obrade. Preko podatka o OIB-u se kontrolira da li se ista osoba/zaposlenik pojavljuje više puta određene izvještajne jedinica. Podatak  „prezime zaposlenika“  se prikuplja pak radi kontrole OIB-a, budući da je mogućnost unošenja krivog OIB-a pri popunjavanju obrasca vjerojatna i moguća. U pravilu se za kontrolu statističkih podataka uvijek uzimaju barem dvije kontrolne varijable, pa je u ovom slučaju to OIB i prezime.  Naposljetku je osobito naglašeno kako se svi pojedinačni podaci prikupljeni istraživanjem neće  objavljivati, niti davati na korištenje trećim osobama na individualnoj razini. Svi rezultati obrade istraživanja objavljivat će se isključivo u agregiranom obliku u skladu sa pravilima statističke povjerljivosti i zaštite osobnih podataka.

Međutim, kako je gore navedeno, naglašavamo da nitko nije dužan davati podatke ako statističko istraživanje nije utvrđeno Godišnjim provedbenim planom, Programom ili odlukom Vlade Republike Hrvatske iz članka 35. Zakona, odnosno ako obveza davanja podataka ne proizlazi iz ovoga ili posebnog zakona (članak 38. stavak 3. Zakona o službenoj statistici). 

Naposljetku navodimo da je, u pogledu količine (opsega) osobnih podataka koji se moraju dostaviti Državnom zavodu za statistiku za potrebe provedbe statističkih istraživanja (u ovom slučaju za potrebe istraživanja o strukturi zarada) a sve temeljem navedenih posebnih propisa, u skladu s odredbama propisa kojima je regulirano područje zaštite osobnih podataka.

Agencija za zaštitu osobnih podataka zaprimila je upit edukacijskog centra koji navodi da provodi edukacije/seminare kao dio cjeloživotnog obrazovanja za svoje klijente, između ostalog, poslovne subjekte koji na edukacije upućuju svoje zaposlenike. U tu svrhu edukacijski centar prikuplja i obrađuje osobne podatke zaposlenika svojih klijenata koji ih šalju na pojedine edukacije/seminare. Obzirom da u navedenim situacijama klijenti edukacijskog centra smatraju da je edukacijski centar u tom poslovnom odnosu s njima izvršitelj obrade, u nastavku navodimo sljedeće: 

Članak 4. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119  definira osobne podatke kao sve podatke koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

Obrada osobnih podataka znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje (članak 4. Opće uredbe).

Voditelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka (članak 4. Opće uredbe).
Izvršitelj obrade je fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo  koje obrađuje osobne podatke u ime voditelja obrade. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom (članak 4. Opće uredbe).

Vezano za postavljeni upit navodimo kako iz opisa poslova i djelatnosti edukacijskog centra proizlazi da edukacijski centar pruža uslugu edukacije kroz razne seminare te na taj način utvrđuje svrhe i načine obrade osobnih podataka polaznika čime se sukladno članku 4. Opće uredbe o zaštiti podataka smatraju samostalnim voditeljem obrade za poslove edukacija. Stoga u opisanom slučaju za svoje klijente edukacijski centar nije izvršitelj obrade, nego voditelj obrade koji pruža usluge edukacija odnosno obrazovanja te se na isti primjenjuju sve obveze koje se primjenjuju na voditelje obrade. Osobito se primjenjuju obveze pružanja informiranja pojedincima koje se manifestiraju kroz članak 13. ako se podaci prikupljaju izravno od ispitanika ili članak 14. ako su podaci zaposlenika dobiveni od njihovih poslodavaca koji ih upućuju na edukacije i koji su uslugu sa edukacijskim centrom izravno ugovorili.

Agencija za zaštitu osobnih podatka zaprimila je upit vezan uz ustezanje iznosa za sindikalnu članarinu iz plaće službenika uz njegovu privolu. Nastavno na navedeno, s aspekta zaštite osobnih podataka, navodimo sljedeće:

Članak 4. stavak 1. točka 1. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119 propisuje kako su osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca.

Sukladno članku 5. Opće uredbe o zaštiti podataka osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju (načelo smanjenja količine podataka), točni i prema potrebi ažurni, obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera (načelo cjelovitosti i povjerljivosti).
Nadalje, članak 6. stavak 1. Opće uredbe o zaštiti podataka propisuje kako je obrada osobnih podataka zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećeg: ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;  obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; obrada je nužna radi poštovanja pravnih obveza voditelja obrade; obrada je nužna kako bi se zaštitili ključni interesi pravnih obveza voditelja obrade; obrada je nužna za izvršavanje zadaće od javnog interesa  ili pri izvršavanju službene ovlasti voditelja obrade; obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane.

U članku 9. Opće uredbe o zaštiti podataka je navedeno da se zabranjuje obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca. Navedena zabrana se ne primjenjuje ako je pod (b) obrada nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika.

U konkretnom slučaju u primjeni je Zakon o radu („Narodne novine“ br. 93/14 i 127/17), koji kao poseban zakon u članku 189. propisuje kako je na zahtjev i u skladu s uputama sindikata, a uz prethodnu pisanu suglasnost radnika koji je član sindikata, poslodavac dužan obračunavati i iz plaće radnika ustezati sindikalnu članarinu te je redovito uplaćivati na račun sindikata.

Dakle, poslodavac ima pravnu obvezu iz gore navedenog posebnog zakona ustezati iznos sindikalne članarine iz plaće službenika uz njegovu privolu te su poslodavci obvezni izvršavati sve svoje obveze iz posebnih propisa prema radnicima, iz razloga što je navedeno propisano pravom države članice (Zakon o radu), koji obvezuje poslodavca na obradu osobnih podataka zaposlenika o sindikalnom članstvu, a u svrhu ustezanja sindikalne članarine.

Zaključno navodimo kako je poslodavac sukladno duhu i tekstu Opće uredbe o zaštiti podataka obvezan poduzimati odgovarajuće tehničke i organizacijske mjere zaštite, kako bi se podaci, a osobito posebna kategorija osobnih podataka zaštitili od neovlaštene ili nezakonite obrade, te kako bi se spriječila svaka moguća zlouporaba osobnih podataka zaposlenika. U tom duhu bilo bi uputno kada bi svi oni zaposlenici koji u svome svakodnevnom radu obrađuju navedene osobne podatke o sindikalnom članstvu, pa i sve druge osobne podatke ispitanika potpisali izjavu o povjerljivosti kojom bi se obvezali na čuvanje povjerljivosti osobnih podataka koje obrađuju.

Agencija za zaštitu osobnih podataka zaprimila je upit vezan uz mogućnost dopuštenja uvida u dosje i dokumentaciju zaposlenika škole od strane zaposlenika Sigurnosno – obavještajne agencije (dalje u tekstu: SOA), odnosno uz obvezu predočenja službene iskaznice i naloga pri dolasku u prostorije škole zbog gore navedenog uvida. Nastavno nanavedeno, navodimo sljedeće:

Članak 2. Opće uredbe o zaštiti podataka, između ostalog, propisuje kako se ista primjenjuje na obradu osobnih podataka koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane. Opća uredba o zaštiti podataka se ne odnosi na obradu osobnih podataka koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja.

U recitalu 16. Opće uredbe o zaštiti podataka propisuje se kako se ista ne primjenjuje na pitanja zaštite temeljnih prava i sloboda ili slobodnog protoka osobnih podataka u vezi s djelatnostima koje ne ulaze u područje primjene prava Unije, kao što su djelatnosti u vezi s nacionalnom sigurnošću.

Također je potrebno referirati se i na odredbe članka 3. stavka 2. Zakona o zaštiti fizičkih osoba u vezi s obradom i razmjenom osobnih podataka u svrhe sprječavanja, istraživanja, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija (“Narodne novine”, broj 68/18), koji propisuje kako se odredbe ovoga Zakona ne primjenjuju na obradu i razmjenu osobnih podataka tijekom djelatnosti koje u području nacionalne sigurnosti obavljaju tijela sigurnosno-obavještajnog sustava, djelatnosti u vezi s pitanjima iz područja nacionalne sigurnosti koje obavljaju tijela obrambenog sustava, kao i na obradu i razmjenu osobnih podataka pri obavljanju djelatnosti obuhvaćenih glavom V. poglavljem 2. Ugovora o Europskoj uniji.

U konkretnom slučaju u primjeni je Zakon o sigurnosno – obavještajnom sustavu („Narodne novine“, broj 79/06 i 105/06), koji kao poseban zakon, između ostalog, regulira i pitanja djelovanja SOA-e na području Republike Hrvatske koje je usmjereno na sprječavanje aktivnosti ili radnji koje se poduzimaju radi ugrožavanja Ustavom utvrđenog poretka, ugrožavanja sigurnosti državnih tijela, građana i nacionalnih interesa. Nadzor nad primjenom ovog posebnog Zakona nije u nadležnosti Agencije za zaštitu osobnih podataka.

5.6.2019.

Agencija za zaštitu osobnih podataka zaprimila je upit vezan za zahtjeva novinara u svezi dostave određenih osobnih podataka bivše zaposlenice škole. S tim u vezi, iznosimo sljedeće:

Ističemo kako se od 25. svibnja 2018., u svim državama članicama Europske unije izravno primjenjuje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SLEU L119 (u daljnjem tekstu: Opća uredba) kojom se štite temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka, a koja u članku 4. stavak 1. točka 1. propisuje da su osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.

Sukladno članku 5. Opće uredbe, osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju, točni i prema potrebi ažurni.
Sukladno članku 6. stavku 1. Opće uredbe obrada osobnih podataka je zakonita, ako je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha ili je obrada nužna radi poštovanja pravnih obveza voditelja obrade, odnosno obrada je zakonita ako su ispunjeni drugi taksativno navedeni  pravni temelji/ uvjeti za obradu osobnih podataka  propisani cit. Uredbom.
U konkretnom slučaju s obzirom da se radi o upitu novinara  u primjeni je Zakon o medijima („Narodne novine, broj:59/04 do 81/13), kao poseban zakon koji zajamčuje pravo novinara  na dostupnost javnih informacija (čl. 6). U skladu s tim, navodimo da ova Agencija nije nadležna za tumačenje Zakona o medijima. Prilikom davanja informacija koje novinar traži svakako je potrebno voditi brigu o zaštiti osobnih podataka na način i pod uvjetima kako to propisuje Zakon o medijima i Zakon o zaštiti osobnih podataka.
Slijedom svega navedenog, s aspekta zaštite osobnih podataka, kod donošenja odluke o davanju podataka drugim primateljima potrebno je utvrditi postojanje zakonskih uvjeta za dostavu traženih podataka uvažavajući načelo razmjernosti u obradi osobnih podataka te načelo smanjenja količine podataka. Također, potrebno je voditi računa, kako se radi o podacima bivše zaposlenice škole te samim time voditelj obrade mora postupati sa povećanom pažnjom u svezi dostave istih.

Dakle, u konkretnom slučaju, a uzimajući u obzir odredbe Opće uredbe o zaštiti podataka, mišljenja smo kako za dostavu traženih podataka, s aspekta zaštite osobnih podataka, ne postoji odgovarajući pravni temelj iz članka 6. Opće uredbe o zaštiti podataka, a tako niti zakonita/opravdana svrha. Ističemo kako voditelj obrade, u konkretnom slučaju, treba pristupiti odgovorno i savjesno te sa stajališta zaštite osobnih podataka ne bi trebao činiti dostupnim tražene podatke, osobito uzimajući u obzir da se takvim postupanjem može narušiti privatnost pojedinaca (bivše zapolesnice).

5.6.2019.

Agencija za zaštitu osobnih podataka zaprimila je upit vezan za isticanje imena i prezimena radnika na pločici/radnom odijelu istoga. S tim u vezi, iznosimo sljedeće:

Sukladno članku 5. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119  osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju. Također istim člankom propisano je kakao osobni podaci moraju biti točni i prema potrebi ažurni, odnosno moraju se poduzeti svaka razumna mjera radi osiguranja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave (načelo točnosti osobnih podataka).

Pravni temelji za obradu osobnih podataka propisani su člankom 6. Opće uredbe o zaštiti podataka u kojem je, između ostalog, propisano kako je obrada zakonita samo ako i u onoj mjeri u kojoj je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha ili je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora ili je obrada nužna radi poštivanja pravnih obveza voditelja obrade te u drugim taksativno navedenim slučajevima u predmetnom članku.

Zakonom o radu (“Narodne novine”, broj:93/14i 127/17) kao posebnim zakonom, propisane su prava radnika vezano uz radni odnos kao i obveze poslodaca. Članak 29.  propisuje da se osobni podaci radnika smiju  prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ovim ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom. Ako je osobne podatke potrebno prikupljati, obrađivati, koristiti ili dostavljati trećim osobama radi ostvarivanja prava i obveza iz radnoga odnosa, odnosno u vezi s radnim odnosom, poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama.

Vezano za pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava navodimo kako je poštujući načelo transparentnosti sukladno članku 13. Opće uredbe o zaštiti podataka voditelj obrade dužan ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Slijedom gore navedenog, primjenom načela  razmjernosti i smanjene količine podataka u postupku obrade osobnih podataka poslodavac je dužan voditi brigu o opsegu osobnih podataka koji se obrađuje na način da se u svrhu zaštite privatnosti zaposlenika na pločici/radnom odijelu zaposlenika ističu/obrađuju samo oni osobni podaci koji su nužni za identifikaciju zaposlenika.Stoga smatramo kako bi u opisanom slučaju na pločici/radnom odijelu zaposlenika bilo dovoljno istaknuti primjerice samo ime i/ili broj pod kojim se zaposlenik u društvu vodi kod poslodavca.

5.6.2019.

Agencija za zaštitu osobnih podataka zaprimila je upit vezan za isticanje imena i prezimena djelatnika na računu. S tim u vezi, iznosimo sljedeće:

Sukladno članku 5. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SL EU L119  osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju. Također istim člankom propisano je da osobni podaci moraju biti točni i prema potrebi ažurni, odnosno moraju se poduzeti svaka razumna mjera radi osiguranja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave (načelo točnosti osobnih podataka).

Pravni temelji za obradu osobnih podataka propisani su člankom 6. Opće uredbe u kojem je, između ostalog, propisano kako je obrada zakonita samo ako i u onoj mjeri u kojoj je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha ili je obrada nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora ili je obrada nužna radi poštivanja pravnih obveza voditelja obrade te u drugim taksativno navedenim slučajevima u predmetnom članku.
Vezano za pružanje informacija ispitanicima u svrhu ostvarivanja njihovih prava navodimo kako je poštujući načelo transparentnosti sukladno članku 13. Opće uredbe o zaštiti podataka voditelj obrade dužan ispitaniku pružiti sve informacije o obradi njegovih osobnih podataka u sažetom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te ga upoznati sa njegovim pravima koja mu pripadaju sukladno Općoj uredbi, a vezano za obradu njegovih osobnih podataka (pravo na informiranje, pravo na pristup, pravo na ispravak i brisanje, pravo na ograničenje obrade, pravo na prenosivost, pravo na prigovor i automatizirano donošenje odluka).
Kao posebne zakone u konkretnom slučaju možemo navesti Zakon o porezu na dodanu vrijednost („Narodne novine“, broj: 73/13, 99/13, 148/13, 143/14, 115/16, 106/18) te Zakon o fiskalizaciji u prometu gotovinom („Narodne novine“, broj: 133/12, 115/16, 106/18) kojima je propisan sadržaj podataka u svrhu izdavanja računa, u opisanom slučaju i „oznaka operatera“.

Zakonom o porezu na dodanu vrijednost, člankom 79. propisan je obavezni sadržaj računa, propisano je da račun mora sadržavati, između ostalog ime i prezime (naziv), adresu, osobni identifikacijski broj ili PDV identifikacijski broj poreznog obveznika koji je isporučio dobra ili obavio usluge (prodavatelja). Porezni obveznik je svaka osoba koja samostalno obavlja bilo koju gospodarsku djelatnost bez obzira na svrhu i rezultat obavljanja te djelatnosti, dok se člankom 9. stavkom 1. točkom 2. Zakona o fiskalizaciji u prometu gotovinom propisuje da u sadržaju računa, između ostalog, mora biti navedena oznaka operatera (osobe koja obavlja poslove) na naplatnom uređaju.

Slijedom navedenog, a sukladno Zakonu o porezu na dodanu vrijednost i  Zakonu o fiskalizaciji u prometu gotovinom razvidno je kako su navedenim propisima predviđeni obvezni elementi koje račun mora sadržavati, te je kao jedan od obvezatnih elemenata računa i oznaka operatera. Dakle, s aspekta zaštite osobnih podataka, ova Agencija drži da bi račun koji ispostavlja pravna osoba u dijelu u kojem je navedena „oznaka operatera“, u konkretnom slučaju ime i prezime zaposlenika koji obavlja poslove naplate na naplatnom uređaju, predstavljao prekomjernu obradu osobnih podataka te za isti ne nalazimo pravnu osnovu u citiranim Zakonima. Primjenom načela  razmjernosti i smanjene količine podataka u postupku obrade osobnih podataka poslodavac je dužan voditi brigu o opsegu osobnih podataka koji se obrađuje na način da se u svrhu zaštite privatnosti zaposlenika istakne eventualno ime zaposlenika ili nekazujuća šifra.

5.6.2019.

Ova Agencija zaprimila je upit vezan za obradu osobnih podataka radnika, točnije objavu imena radnika koji su na bolovanju na oglasnu ploču društva/poslodavca koja je dostupna, ne samo radnicima već i svim drugim posjetiteljima društva. S tim u vezi, iznosimo sljedeće:

Ističemo kako se od 25. svibnja 2018., u svim državama članicama Europske unije izravno primjenjuje Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) SLEU L119 (u daljnjem tekstu: Opća uredba) kojom se štite temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka, a koja u članku 4. stavak 1. točka 1. propisuje da su osobni podaci svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi.

Sukladno članku 5. Opće uredbe o zaštiti podataka osobni podaci moraju biti zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika, prikupljeni u posebne, izričite i zakonite svrhe, primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koju se obrađuju, točni i prema potrebi ažurni.
Sukladno članku 6. stavku 1. Opće uredbe obrada osobnih podataka je zakonita, ako je ispitanik dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha ili je obrada nužna radi poštovanja pravnih obveza voditelja obrade, odnosno obrada je zakonita ako su ispunjeni drugi taksativno navedeni  pravni temelji/ uvjeti za obradu osobnih podataka  propisani cit. Uredbom.
Zakonom o radu (“Narodne novine”, broj:93/14i 127/17) kao posebnim zakonom propisane su prava radnika vezano uz radni odnos kao i obveze poslodavac. Članak 29. propisuje da se osobni podaci radnika smiju prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ovim ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom. Ako je osobne podatke potrebno prikupljati, obrađivati, koristiti ili dostavljati trećim osobama radi ostvarivanja prava i obveza iz radnoga odnosa, odnosno u vezi s radnim odnosom, poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama.
Također, ukazujemo kako s aspekta pravnog okvira zaštite osobnih podataka obrada osobnih podataka, prije svega  mora biti u skladu s odredbama Opće uredbe o zaštiti podataka, a tako i osnovnim  načelima zaštite osobnih podataka  kao što su zakonitost, svrhovitost, povjerljivost, točnost, potpunost, ažurnost, obrada osobnih podataka na pošten način.

Slijedom gore iznijetoga, navodimo kako bi se osobni podaci ispitanika, kao fizičke osobe, mogli obrađivati samo ako bi za isto postojala zakonita/opravdana svrha i valjani pravni temelj. U konkretnom slučaju za navedenu obradu osobnih podataka (objavu podataka na oglasnoj ploči poslodavca osoba koje su na bolovanju) ne nalazimo pravni temelj ni zakonitu/opravdanu svrhu u smislu Opće uredbe o zaštiti podataka. Dakle, smatramo kako bi se u konkretnom slučaju povrijedile odredbe propisa iz područja zaštite osobnih podataka te bi se takvim postupanjem narušila privatnost ispitanika (radnika).