Prenosimo tekst Rješenja AZOP-a izravno s web stranice:
 
https://azop.hr/zastita-osobnih-podataka-zaposlenika/
 
Člankom 29. stavkom 1. Zakona o radu (NN 93/14, 127/17, 98/19) je propisano da se osobni podaci radnika smiju prikupljati, obrađivati, koristiti i dostavljati trećim osobama samo ako je to određeno ovim ili drugim zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa, odnosno u vezi s radnim odnosom.
 
Nadalje, člankom 29. stavkom 2. navedenog Zakona je određeno da ako je osobne podatke iz stavka 1. ovoga članka potrebno prikupljati, obrađivati, koristiti ili dostavljati trećim osobama radi ostvarivanja prava i obveza iz radnoga odnosa, odnosno u vezi s radnim odnosom, poslodavac mora unaprijed pravilnikom o radu odrediti koje će podatke u tu svrhu prikupljati, obrađivati, koristiti ili dostavljati trećim osobama.
 
Člankom 5. stavkom 1. Zakona o radu (NN 93/14, 127/17, 98/19) određeno je da je poslodavac dužan voditi evidenciju o radnicima koji su kod njega zaposleni.
 
Stavkom 2. istog članka i zakona određeno je da evidencija mora sadržavati podatke o radnicima i o radnom vremenu.
 
Međutim, u kontekstu Vašeg upita, važno je napomenuti da kopiranje ili skeniranje isprave o identitetu ili bankovne kartice nije pravna obveza poslodavca temeljem navedenog propisa, što znači da navedeni pravni propis ne predstavlja zakoniti pravni temelj za kopiranje odnosno skeniranje navedenih isprava.
 
Dodatno napominjemo da kartica bankovnog računa sadrži, između ostalog, i verifikacijski broj kartice (CSC, CVV ili HVS), koji je jedinstveni 3 ili 4-znamenkasti broj otisnut na kartici uz broj računa te služi kao dokaz o fizičkom posjedovanju kartice u trenutku online kupnje i smanjuje mogućnost prijevare. Agenciji nije razvidan pravni temelj za obradu navedenog osobnog podatka od strane poslodavca.
 
Što se tiče osobne iskaznice ili vozačke dozvole, ista također sadrži određene osobne podatke ispitanika za koje je isto tako upitan pravni temelj zakonitosti obrade (primjerice fotografija radnika).
 
Što se tiče privole, u mišljenju br. 249 o obradi podataka na radnome mjestu, Radna skupina za zaštitu podataka iz članka 29. Direktive 95/46/EZ (sadašnji Europski odbor za zaštitu podataka) iznosi mišljenje da se vrlo vjerojatno privola ne može smatrati zakonitim pravnim temeljem za obradu osobnih podataka radnika ili potencijalnih radnika, osim ako isti mogu obradu odbiti bez štetnih posljedica.
 
Budući da su radnici rijetko u situaciji da slobodno daju, odbiju ili povuku privolu s obzirom na ovisnost koja proizlazi iz odnosa između poslodavca i radnika, privola često nije adekvatan pravni temelj za obradu osobnih podataka u radnom odnosu.
 
Osim u iznimnim situacijama, poslodavci će se morati oslanjati na neku drugi pravni temelj koji nije privola, primjerice dokazani legitimni interes voditelja obrade.
 
Međutim, čak i uz adekvatan pravni temelj voditelj obrade mora voditi računa o načelima obrade osobnih podataka iz članka 5. Opće uredbe o zaštiti podataka, između ostalog i „načelu smanjenja količine podataka“ koji traži da osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.
 
Nije razvidno primjerice, da bi verifikacijski broj kartice bio nužan podatak u svrhu isplate plaće radnika, stoga ako bi se dokazao legitiman interes da se bankovna kartica radnika kopira ili skenira, nad podacima koji nisu nužni trebale bi se provesti odgovarajuće tehničke mjere zaštite (primjerice zacrnjivanje podataka).