Poslodavac ima pravo instalirati sustave za nadzor i kontrolu službenih vozila u sklopu svog legitimnog interesa (privola se ne može primijeniti) jedino onda kada je to NUŽNO zbog profesionalne prirode posla ili mjera opreza, npr. u svrhe optimizacije troškova voznog parka, optimizacije transportnih ruta, ako je nužno za dokazivanje isporuke robe ili usluge naručitelju i za otkrivanje lokacije eventualno ukradenog ili nestalog službenog vozila.
Najčešće upotrebljavani sustavi za provjeru i kontrolu službenih automobila i vozila za prijevoz putnika i dobara su tahograf i GPS sustavi.
Kad se takvi sustavi koriste, poslodavac je dužan obavijestiti zaposlenika o njihovom postojanju i pravilima postupanja s prikupljenim podacima, s obzirom da je neophodno internim aktima regulirati uporabu takvih sustava, njihovu svrhu, opseg podataka, rokove pohrane, prava pristupa i sl.
Upotreba podataka dobivenih putem GPS sustava u službenom vozilu mora se definirati internim aktima poslodavca, posebice ako je zaposleniku dopušteno da koristi vozilo u privatne svrhe. U pravilu se susrećemo sa slučajevima da se za tzv. dedicirana vozila koja su dana zaposlenicima na 24h ne uvodi GPS praćenje vozila.
Međutim, događaju se i pogreške koje mogu rezultirati kaznama:
1. Predugo zadržavanje zapisa o kretanju službenih vozila
Nadzorno tijelo Luksemburga je kaznilo poslodavca iznosom 2.800 EUR jer je zadržavao podatke o praćenju vozila više od dvije godine.
https://gdprhub.eu/index.php?title=CNPD_(Luxembourg)_-_D%C3%A9lib%C3%A9ration_n%C2%B0_11FR/2021&mtc=today
Ako pogledamo nužne i razumne svrhe korištenja GPS nadzora službenih vozila, tada je jasno da više od godinu dana nema nikakvog smisla, a u nekim organizacijama je dovoljan rok i 3 mjeseca, sve ovisno jesmo li sposobni argumentirati potrebu za zadržavanjem tih podataka, i kojih podataka.
2. Nedovoljna informiranost zaposlenika o praćenju vozila
Iz prethodnog slučaja dodatno ćemo izvući i činjenicu da je poslodavac dobio i kaznu zbog nedovoljne informiranosti zaposlenika o svim aspektima GPS praćenja vozila, jer su informacije o GPS sustavu bile dostupne samo na naljepnici u vozilu i unutar dokumentacije vozila.
Treba osigurati da je interni akt, pravilnik o GPS sustavu nadzora vozila koji regulira uporabu takvih sustava, njihovu svrhu, opseg podataka, rokove pohrane, prava pristupa i prava zaposlenika biti dostupan svim zaposlenicima da ga mogu u svakom trenutku proučiti.
Imamo slučajeve u nekim organizacijama gdje nam zaposlenici kažu da "svi znaju" da imaju GPS u vozilima ali nema nikakvih "papira". Definitivno nije dovoljno samo usmenim putem obavijestiti zaposlenike, što nam pokazuje i još jedan slučaj iz Luksemburga:
https://gdprhub.eu/index.php?title=CNPD_(Luxembourg)_-_D%C3%A9lib%C3%A9ration_n%C2%B013FR/2021&mtc=today
3. Izostanak provođenja Procjene učinka na zaštitu podataka (DPIA)
DPIA je vrlo opsežan i zahtjevan postupak koji za rezultat mora donijeti sustav opis obrade podataka, procjenu nužnosti obrade i njenu proporcionalnost s obzirom na svrhu, dubinsku analizu procjene rizika i mjera za umanjivanje rizika i dokazivanje sukladnosti s GDPR-om.
AZOP je donio i Odluku kojom određuje za koje vrste obrada osobnih podataka se mora provesti DPIA, popis je ovdje :
https://azop.hr/odluka-o-uspostavi-i-javnoj-objavi-popisa-vrsta-postupaka-obrade-koje-podlijezu-zahtjevu-za-procjenu-ucinka-na-zastitu-podataka/
Na posljednjem mjestu, pod rednim brojem 13. nalazi se i Obrada osobnih podataka zaposlenika uporabom aplikacija ili sustava za praćenje (npr. kao što je obrada osobnih podatka za praćenje rada, kretanja, komunikacije i sl.).
Mi smo prilikom rada na projektima imali prilike provoditi i DPIA i, unatoč kompleksnosti i dugotrajnosti postupka, smatramo DPIA postupak jednom od najpozitivnijih promjena koje je GDPR unio u popis obveza za određene vrste obrada osobnih podataka.
