Smije li se to?

Prvo, moramo jasno definirati koja je svrha same ideje praćenja aktivnosti zaposlenika na internetu.

Neki će poslodavci reći da se radi o mjerama zaštite mreže i IT sustava tvrtke od zlonamjernih programa i zaraze računala.

Pri tom moramo uvijek imati na umu da svaka obrada osobnih podataka mora biti temeljena na jednom od 6 pravnih temelja iz članka 6. GDPR-a. Ajmo ih vidjeti:

- privola zaposlenika nije primjenjiva ni zakonita jer u takvom odnosu zaposlenika i poslodavca ne može biti predmetom slobodne volje (koji bi zaposlenik želio pristati da ga se prati?)

- ne postoji zakonska obveza poslodavca da prati zaposlenike na internetu

- nitko od poslodavaca u svoje ugovore o radu ne stavlja pravo i obvezu praćenja zaposlenika jer bi kandidati za radno mjesto odmah odustajali od zapošljavanja, a primjena na postojeće zaposlenike promjenama ugovora o radu je praktički nemoguća

- praćenje zaposlenikovog surfanja definitivno ne spada u njegov životni interes niti je od javnog interesa ili u okviru službene ovlasti poslodavca

 

Stoga se u konkretnom primjeru može eventualno razmatrati samo jedan pravni temelj:

- Kada je praćenje zaposlenika NUŽNO za potrebe legitimnih interesa poslodavca osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka.

 

Legitimni interes poslodavca može se pronaći u svrhi sprječavanja prijevara ili osiguravanja sigurnosti mreže i informacija, sprječavanja neovlaštenog pristupa elektroničkim komunikacijskim mrežama i širenja zlonamjernih kodova te zaustavljanja napada „uskraćivanjem usluge” te sprečavanja štete na računalnim i elektroničkim komunikacijskim sustavima.

Valjanost legitimnog interesa mora se dokazati kroz tzv. LIA (Legitimate Interest Assessment) ili Test razmjernosti legitimnog interesa, AZOP je objavio isti:

https://azop.hr/wp-content/uploads/2021/04/Test-razmjernosti.docx

 

Ako dobro promotrimo pitanja u Testu razmjernosti, vidjet ćemo neka ključna:

- Kakav bi bio utjecaj na poslodavca ako ne biste mogli nastaviti s obradom?

- Postoje li drugi etički problemi s obradom?

- Hoće li vam ova obrada zaista pomoći da ostvarite svoju svrhu?

- Je li obrada proporcionalna toj svrsi?

- Možete li postići istu svrhu bez obrade?

- Možete li istu svrhu postići obradom manje podataka ili obradom podataka na drugi očitiji ili manje nametljiv način?

- Koji su mogući učinci obrade na pojedince?

- Hoće li pojedinci izgubiti kontrolu nad korištenjem njihovih osobnih podataka?

- Koja je vjerojatnost i ozbiljnost bilo kojeg potencijalnog utjecaja?

- Da li će se pojedinci vjerojatno usprotiviti obradi ili će je smatrati nametljivom?

- Hoćete li rado objasnili obradu pojedincima?

 

Iz ovih pitanja sasvim je jasno da praćenje surfanja zaposlenika internetom i praćenje web stranica koje posjećuje ne možemo smatrati opravdanim, razmjernim ni NUŽNIM za legitimne interese poslodavca zaštite mreže i sustava tvrtke.

U prvom redu, poslodavac je obvezan jasno i transparentno obavijestiti svoje zaposlenike o tome koje njihove osobne podatke prikuplja, zašto i s kojom svrhom, na koji rok, s kime ih dijeli, temeljem kojeg pravnog temelja, tko ima pristup istima i koja su prava zaposlenika u zaštiti svojih osobnih podataka.

S druge strane, poslodavac treba u svojim internim aktima obvezati zaposlenike da ne posjećuju rizične web stranice, da se skidaju neprovjerene aplikacije, da obrate pozornost na prijevare na internetu, čak i može svojim zaposlenicima ograničiti pristup društvenim mrežama za vrijeme radnog vremena ili stranicama za odrasle ili domenama na kojima se nalaze zlonamjerni programi ili prijevarni sadržaji, ali nema temelja pratiti njihovu aktivnost na internetu.

Osim preduvjeta nužnosti obrade osobnih podataka zaposlenika za ispunjenje legitimnih interesa poslodavca, mora se primijeniti MANJE INVAZIVNA metoda prikupljanja osobnih podataka.

Onemogućavanje surfanja određenim web stranicama je definitivno manje invazivna metoda od praćenja zaposlenika u njihovom korištenju interneta te je sasvim jasno da ne postoji valjani pravni temelj za praćenje aktivnosti zaposlenika na internetu.

 

Odgovor na pitanje s početka, smije li se to? Ne smije.