FOCUS GDPR i zaposlenici: koji je pravni okvir?

Pravni nadzor – svibanj 2019.

Dva nedavna slučaja koja uključuju veliku internetsku knjižaru postavljaju pitanja o manevarskom prostoru koji zaposlenici imaju pri obradi osobnih podataka kupaca tvrtke.

Iako je obrada podataka sada detaljno regulirana zakonom i brojnim smjernicama – bilo onima CNIL-a ili Europskog odbora za zaštitu podataka (EDPB) – odgovornosti unutar same tvrtke i dalje postavljaju mnoga pitanja.

Koja je odgovornost poslodavca u vezi s načinom na koji njegovi zaposlenici obrađuju osobne podatke? Treba imati na umu nekoliko načela:

Opseg GDPR-a je širok[1]. Doista, automatizirana obrada osobnih podataka obuhvaća operacije provedene na podacima pomoću softvera koji se tradicionalno koristi u poduzećima: na primjer baze podataka, e-pošta, proračunske tablice, kao i, gdje je primjenjivo, obradu podataka provedenu pomoću softvera za obradu teksta.

Odgovornost za postupke zaposlenika općenito je na poslodavcu prema Građanskom zakoniku2, ali i prema GDPR-u, jer je poslodavac voditelj obrade podataka: poslodavac je taj koji definira sredstva i svrhe obrade u smislu zakona3.

Iz istog razloga, poslodavac će biti odgovoran u slučaju povrede sigurnosti, čak i ako je ona posljedica radnji zaposlenika, jer je poslodavac taj koji ima obvezu osigurati podatke unutar svoje tvrtke4.

Ako je poslodavac odgovoran trećim stranama, naravno može poduzeti mjere protiv zaposlenika koji je postupio nezakonito, posebno zbog kršenja povjerenja ili prijevare, te izreći disciplinsku kaznu ili čak otkaz. Prijevarni pristup ili održavanje pristupa cijelom ili dijelu automatiziranog sustava za obradu podataka također je kazneno djelo.

Neovisno o odgovornosti poslodavca, zaposlenik može snositi i vlastitu odgovornost prema poslodavcu, ali i prema trećim stranama: zaposlenik koji odstupi od uputa poslodavca i slijedi vlastite ciljeve postaje sam odgovoran za obradu u smislu zakona (vidi analizu Europske radne skupine o članku 29.6 – sada EDPB).

Isto vrijedi i ako prekrši IT povelju tvrtke kako bi koristio podatke za vlastiti račun.

Zaključno, bitno je da poslodavac poduzme sljedeće mjere opreza:

• Precizno definirajte svrhe i sredstva obrade te s tim okvirom upoznajte zaposlenike
• Neka potpišu klauzulu o povjerljivosti koja je priložena ugovoru o radu, kao i IT povelju
• Uključite DPO-a i radničko vijeće u pripremu ovih dokumenata.

Ove mjere opreza imat će dvostruku korist: bolju zaštitu osoba čiji se podaci obrađuju i pojašnjenje odgovornosti poslodavca u slučaju zlouporabe.

Treba napomenuti da zaposlenici također imaju koristi od zaštite svoje privatnosti – i svojih osobnih podataka – na radnom mjestu. To će biti predmet daljnjeg razvoja.

I također:

U Francuskoj:

Dana 15. travnja, CNIL je objavio svoje izvješće o aktivnostima i najavio da će svoje buduće revizije usmjeriti na poštivanje prava pojedinaca, obradu podataka maloljetnika i raspodjelu odgovornosti između kontrolora i podizvođača.

CNIL, kojem sada predsjedava Marie-Laure Denis, ima novi kolegij.

U Europi:

Dana 12. travnja, EDPB je usvojio smjernice o prikupljanju podataka u kontekstu usluga informacijskog društva, s posebnim naglaskom na pravnu osnovu za prikupljanje u kontekstu ugovornog odnosa s korisnikom (članak 6. (1) (B) GDPR-a). Ovaj tekst je predmet javne rasprave do 24. svibnja.

U svijetu:

Nigerija usvaja zakon o zaštiti podataka sličan GDPR-u.

1 Članci 2.1. i 4.1) i 2) GDPR-a.

2 Vidi posebno članak 1242. stavak 1. i stavak 5. Građanskog zakonika.

3 Članak 4.7) GDPR-a.

4 Članak 32. GDPR-a.

5 Članak 323-1 Kaznenog zakona.

6 Stranica 16