Takvo praćenje ponašanja zaposlenika sve je prisutnije uslijed sve veće dostupnosti alata za njihovo praćenje.

Smije li se to?

 

Prvo, svaka obrada osobnih podataka mora biti temeljena na jednom od 6 zakonitih temelja iz članka 6. GDPR-a.

S obzirom da privola zaposlenika nije primjenjiva ni zakonita jer u odnosu zaposlenika i poslodavca ne može biti predmetom slobodne volje (koji bi zaposlenik želio pristati da ga se prati?) i s obzirom da ne postoji zakonska obveza poslodavca da prati zaposlenike na internetu te s obzirom da nitko od poslodavaca u svoje ugovore o radu ne stavlja pravo i obvezu praćenja zaposlenika jer bi kandidati za radno mjesto odmah odustajali od zapošljavanja, a primjena na postojeće zaposlenike promjenama ugovora o radu je praktički nemoguća, u konkretnom primjeru, može se eventualno razmatrati samo jedan pravni temelj:

- Kada je praćenje zaposlenika NUŽNO za potrebe legitimnih interesa poslodavca.

 

Legitimni interes poslodavca može biti u svrhu npr.:

- sprječavanja prijevara ili u svrhu osiguravanja sigurnosti mreže i informacija,

- sprječavanja neovlaštenog pristupa elektroničkim komunikacijskim mrežama i širenja zlonamjernih kodova te zaustavljanja napada „uskraćivanjem usluge” ili sprečavanja štete na računalnim i elektroničkim komunikacijskim sustavima.

 

Valjanost legitimnog interesa mora se dokazati kroz tzv. LIA (Legitimate Interest Assessment) ili Test razmjernosti legitimnog interesa, AZOP je objavio isti:

https://azop.hr/wp-content/uploads/2021/04/Test-razmjernosti.docx

Ako dobro promotrimo pitanja u Testu razmjernosti, vidjet ćemo neka ključna:

- Kakav bi bio utjecaj na poslodavca ako ne biste mogli nastaviti s obradom?

- Postoje li drugi etički problemi s obradom?

- Hoće li vam ova obrada zaista pomoći da ostvarite svoju svrhu?

- Je li obrada proporcionalna toj svrsi?

- Možete li postići istu svrhu bez obrade?

- Možete li istu svrhu postići obradom manje podataka ili obradom podataka na drugi očitiji ili manje nametljiv način?

- Koji su mogući učinci obrade na pojedince?

- Hoće li pojedinci izgubiti kontrolu nad korištenjem njihovih osobnih podataka?

- Koja je vjerojatnost i ozbiljnost bilo kojeg potencijalnog utjecaja?

- Da li će se pojedinci vjerojatno usprotiviti obradi ili će je smatrati nametljivom?

- Hoćete li rado objasnili obradu pojedincima?

 

Iz ovih pitanja sasvim je jasno da praćenje surfanja zaposlenika internetom i praćenje web stranica koje posjećuje ne možemo smatrati NUŽNIM za legitimne interese poslodavca zaštite mreže i sustava tvrtke.

U prvom redu, poslodavac je obvezan jasno i transparentno obavijestiti svoje zaposlenike o tome koje njihove osobne podatke prikuplja, zašto i s kojom svrhom, na koji rok, s kime ih dijeli, temeljem kojeg pravnog temelja, tko ima pristup istima i koja su prava zaposlenika u zaštiti svojih osobnih podataka.

S druge strane, poslodavac treba u svojim internim aktima obvezati zaposlenike da ne posjećuju rizične web stranice, da se skidaju neprovjerene aplikacije, da obrate pozornost na prijevare na internetu, čak može svojim zaposlenicima ograničiti pristup društvenim mrežama za vrijeme radnog vremena ili stranicama sa sadržajem za odrasle ili poznatim domenama na kojima se nalaze zlonamjerni programi ili prijevarni sadržaji, ali nema temelja pratiti njihovu aktivnost na internetu.

Osim nužnosti obrade osobnih podataka zaposlenika za ispunjenje legitimnih interesa poslodavca, mora se primijeniti MANJE INVAZIVNA metoda prikupljanja osobnih podataka.

Onemogućavanje surfanja određenim web stranicama je definitivno manje invazivna metoda od praćenja zaposlenika u njihovom korištenju interneta te je sasvim jasno da ne postoji valjani pravni temelj za praćenje aktivnosti zaposlenika na internetu.

 

Sličan se slučaj dogodio u Italiji u kojem je jedinica lokalne uprave kažnjena iznosom od 84.000 EUR zbog stalnog praćenja zaposlenika na internetu i vođenja evidencija o web stranicama koje pojedini zaposlenik posjećuje, i sve to bez ikakve jasne i transparentne informacije zaposlenicima.

Ovakvo praćenje zaposlenika na internetu odvijalo se 10 godina, u svrhe jačanja mrežne sigurnosti, ali se pratilo jesu li posjećene web stranice povezane s privatnim životima zaposlenika i imaju li ikakve veze s poslovnim potrebama.

Više o talijanskom slučaju:

https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9669974&mtc=today

 

 

Photo by Andrea Piacquadio from Pexels

 

 

 

Photo by Andrea Piacquadio from Pexels