Tvrtka nema vlastitu kuhinju i kantinu za zaposlenike već je organizirala pripremu toplih obroka u vanjskom restoranu koji organizira i dostavu pripremljenih obroka prema unaprijed utvrđenim narudžbama i količinama.


Radi pravoremene pripreme određenog broja toplih obroka, tvrtka vanjskom restoranu jednom tjedno dostavlja popis imena i prezimena svih zaposlenika s naznačenim odabirom konkretnog menija za tjedan unaprijed.

Hm, hm ...

Prvi "hm"

Tvrtka je angažirala restoran da obrađuje osobne podatke zaposlenika, uključujući ime i prezime te odabir konkretnog menija po tjednima već niz zadnjih godina. Restoran time postaje izvršitelj obrade u ime tvrtke, a nije sklopljen ugovor iz članka 28. GDPR-a o zaštiti osobnih podataka za vrijeme takve obrade.


Drugi "hm"

Tvrtka ne zna na koji rok restoran zadržava sve te evidencije s popisima zaposlenika i njihovim odabirima hrane cijeli niz godina, niti ne zna kako restoran postupa s tim popisima, da li ih redovito i na siguran način uništava po isteku tjedna i briše iz računala i emailova. Upravo to je jedan od ključnih sastojaka obveznog ugovora iz članka 28. GDPR-a.


Treći "hm"

Tvrtka se nije nijednom zapitala jel restoranu stvarno trebaju imena i prezimena zaposlenika. Definitivno restoranu ne trebaju imena i prezimena zaposlenika, već ih je tvrtka sama odlučila dostavljati restoranu. Tvrtka mora obvezno uzeti u obzir načelo minimizacije osobnih podataka dovoljnih za ostvarenje svrhe, a u ovom slučaju je dovoljno da tvrtka dostavlja kumulativne brojke naručenih menija po danu, ili ako je tvrtki vrlo važno da svaki zaposlenik zna što je naručio i što je dobio za topli obrok, da na popisu odabira menija umjesto imena i prezimena stavi neku znakovno-brojčanu oznaku tog zaposlenika, kojom restoran više ni na koji način ne može identificirati pojedinog zaposlenika. A tvrtka kod sebe izradi tablicu s imenima i prezimenima zaposlenika i pripadajućih pseudonima (znakovno-brojčanih oznaka).


Veliki "hmm"

Tvrtka je niz godina restoranu otkrivala imena i prezimena svih zaposlenika ali i u određenoj mjeri informacije koje mogu predstavljati poslovnu tajnu, npr. o kretanju broja zaposlenika, njihovom rastu ili padu, mogućim otkazima ili razvoju tvrtke, pa i indirektno rasporedu godišnjih odmora ili bolovanja pojedinih zaposlenika te samim time i moguć manjak zaposlenika u uredu u određenim razdobljima tijekom godine što može upućivati i na smanjene kapacitete.


Najveći "hmmmm"

Suvremena i digitalnom transformacijom unaprjeđena osiguravajuća društva rado bi izdvojila značajan iznos za kupnju ovakvih "sirovih" podataka o prehrambenim navikama svojih osiguranika ili potencijalnih klijenata, kako bi temeljem višegodišnjeg praćenja kvalitete njegove prehrane, odabira menija i vrste hrane, uz korištenje i drugih dostupnih informacija mogli predviđati zdravstveno stanje pojedinca i sukladno takvim profilima izrađivali i individualizirane police zdravstvenog ili životnog osiguranja.


Ovakvih primjera vidjeli smo u praksi i iskustvo nam govori da ih nije malo. Kako bismo spriječili nastajanje štete za naše zaposlenike, u svakom slučaju treba izbjegavati slanje imena i prezimena zaposlenika restoranu ili otkrivanje bilo kakvih podataka temeljem kojih restoran ili neka treća strana može identificirati pojedinog zaposlenika.