Imamo slučaj iz Austrije, koji se, nadamo se, nije nikada dogodio kod nas, ali je dobro da na vrijeme upozorimo na moguće ozbiljno kršenje GDPR-a.

Krenimo s pukom teorijom: GPS praćenje službenih vozila može biti opravdano za određenu organizaciju radi zaštite imovine i ljudi kao i u svrhe optimizacije troškova voznog parka. I tu bi se moglo lako razaznati da se obrade podataka o kretanju službenih vozila, a samim time i zaposlenika, provode u svrhe koje su i u interesu samih zaposlenika s kojima poslodavac ima izravan odnos, da je pri tom poslodavac jasno informirao svoje zaposlenike da se kretanje službenih vozila prati i da imaju pravo na prigovor na takvu obradu njihovih osobnih podataka u skladu s temeljnim odrednicama legitimnog interesa kao valjanog pravnog temelja iz članka 6. GDPR-a.

Idila, priznat ćemo.

No, što se mijenja u ovom scenariju GDPR usklađenosti ako poslodavac putem sustava GPS praćenja vozila prati ne samo poslovno opravdana kretanja službenih vozila, već prati i kretanje službenih vozila u privatne svrhe.

Austrijski slučaj nam pokazuje da je njihovo nadzorno tijelo za zaštitu osobnih podataka utvrdilo slijedeće:

  • Poslodavac je unajmio 15 vozila na leasing i omogućio njihovo korištenje zaposlenicima u službene i privatne svrhe
  • Istovremeno, osim praćenja lokacije pojedinog vozila, GPS sustav je korišten i za vođenje evidencije radnog vremena, službenih putovanja i izračunavanje troškova putovanja
  • Svako vozilo imalo je uređaj kojim je praćenje kretanja vozila vozač mogao isključiti
  • (Osobni) podaci koji su se prikupljali putem GPS sustava nadzora kretanja vozila uključivali su i udaljenost prijeđenog puta, datum i vremena, početnu lokaciju, završnu lokaciju putovanja, kretanje vozila između tih lokacija
  • Jedina osoba koja je imala pristup tim podacima bila je ujedno odgovorna osoba za obračun plaća i računovodstvena pitanja
  • Naravno, i tvrtka koja je instalirala i održavala GDPR sustav praćenja kretanja vozila imala je pristup svim prikupljenim podacima

Nadzorno tijelo je reagiralo svojim stajalištem:

  • Pozivajući se na presudu Europskog suda u slučaju C-708/18 nadzorno je tijelo naglasilo da se legitimni interes mora temeljiti na NUŽNOSTI obrade osobnih podataka na način da se prikupljaju i obrađuju samo osobni podaci koji su NUŽNI za opravdanu svrhu, bez primjene previše invazivnih metoda obrade osobnih podataka
  • Praćenje trenutne lokacije svakog vozila nije bilo nužno s obzirom da je poslodavac imenovao koordinatore koji su u stalnom kontaktu sa zaposlenicima na terenu  i koji su znali detaljno o putovanjima zaposlenika i njihovim zadaćama
  • Za isporuku rezervnih dijelova proizvoda, kakve potrebe su u najvećoj mjeri bile razlogom korištenja službenih vozila, nije bilo nužno pratiti trenutnu lokaciju službenih vozila, već je samo bila nužna informacija o izvršenoj isporuci, odnosno, kako su obrazložili, zaposlenik nije mogao otići do drugog klijenta ako nije imao nalog za isporuku rezervnog dijela za njega
  • Praćenje kretanja vozila ne može se opravdati za svrhe vođenje evidencije radnog vremena i troškova putovanja, jer se isto može voditi i bez praćenja GPS lokacije
  • Nisu postojali dokazi da je praćenje GPS lokacijom nužno za prevenciju krađe ili štete na vozilu
  • Stoga ne postoje uvjeti za valjani legitimni interes kao pravni temelj obrade osobnih podataka iz članka 6. GDPR-a

 

Više o slučaju na:

https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2022-0.021.739&mtc=today

 

Photo from FreePik

#gdprcroatia