GPS praćenje službenih vozila može biti opravdano za određenu organizaciju radi zaštite imovine i ljudi kao i u svrhe optimizacije troškova voznog parka. I tu bi se moglo lako razaznati da se obrade podataka o kretanju službenih vozila, a samim time i zaposlenika, provode u svrhe koje su i u interesu samih zaposlenika s kojima poslodavac ima izravan odnos, da je pri tom poslodavac jasno informirao svoje zaposlenike da se kretanje službenih vozila prati i da imaju pravo na prigovor na takvu obradu njihovih osobnih podataka u skladu s temeljnim odrednicama legitimnog interesa kao valjanog pravnog temelja iz članka 6. GDPR-a.

 

No, što se mijenja u ovom scenariju GDPR usklađenosti ako poslodavac putem sustava GPS praćenja vozila prati ne samo poslovno opravdana kretanja službenih vozila, već prati i kretanje službenih vozila u privatne svrhe?

Postoji li ikakva mogućnost da je zadovoljen legitimni interes iz članka 6. GDPR-a?

 

Na primjer, ako prati kretanje dediciranih vozila određenim zaposlenicima kojima su ta vozila dodijeljena na 24h dnevno.

To znači da bi se stalnim praćenjem kretanja vozila pratilo i kretanje zaposlenika izvan radnog vremena u njegovom privatnom životu bez ikakve poveznice s temeljnim opravdanim svrhama praćenja vozila.

 

Posebno zanimljiv slučaj pronašli smo u Grčkoj, gdje je poslodavac nazivao svog zaposlenika više puta tijekom godišnjeg odmora.

Kako nije odgovorio na 3 poziva, poslodavac je odlučio provjeriti lokaciju dediciranog mu vozila.

Nadzornom tijelu za zaštitu osobnih podataka to su opravdali brigom o zdravlju zaposlenika 😉

Naravno, zaposlenik se požalio nadzornom tijelu da nije imao nikakve informacije da će biti praćen i tijekom godišnjeg odmora.

Nadzorno je tijelo jasno utvrdilo da poslodavac nije imao valjani pravni temelj iz članka 6. GDPR-a, odnosno, legitimnog interesa u svrhe zaštite imovine i ljudi i u svrhe optimizacije troškova voznog parka nije bilo, kao i da je poslodavac propustio informirati korisnike službenih vozila o njihovom praćenju.

 

Ako se baš poslodavac želi vaditi da mu je to važno za slučajeve krađe vozila, tada bi prije morao proučiti Mišljenje WP249 2/2017 radne skupine WP29 na temu obrade osobnih podataka na radnom mjestu https://ec.europa.eu/newsroom/article29/items/610169, koje kaže:

„Tamo gdje je privatna uporaba službenog vozila dopuštena, najvažnija mjera koju poslodavac može poduzeti kako bi osigurao poštivanje ovih načela je opt-out ponuda - zaposlenik bi u načelu trebao imati mogućnost privremenog isključivanja praćenja lokacije u posebnim okolnostima opravdati ovo isključivanje, kao što je posjet liječniku.

Na taj način zaposlenik može samoinicijativno zaštititi određene podatke o lokaciji kao privatne. Poslodavac mora osigurati da se prikupljeni podaci ne koriste za nelegitimnu daljnju obradu, kao što je praćenje i ocjenjivanje zaposlenika.

Poslodavac također mora jasno obavijestiti zaposlenike da je u službeno vozilo koje voze ugrađen uređaj za praćenje te da se njihovo kretanje bilježi dok koriste to vozilo (i da, ovisno o tehnologiji koja se koristi, njihovo ponašanje u vožnji također se može snimati). Poželjno je da takve informacije budu istaknute u svakom automobilu, u vidokrugu vozača.

Moguće je da zaposlenici koriste službena vozila izvan radnog vremena, npr. za osobnu upotrebu, ovisno o posebnim pravilima koja reguliraju korištenje tih vozila.

S obzirom na osjetljivost podataka o lokaciji, malo je vjerojatno da postoji pravna osnova za praćenje lokacije vozila zaposlenika izvan dogovorenog radnog vremena.

Međutim, ako takva potreba postoji, treba razmotriti provedbu koja bi bila razmjerna rizicima.

Na primjer, to bi moglo značiti da se, kako bi se spriječila krađa automobila, lokacija automobila ne registrira izvan radnog vremena, osim ako vozilo ne napusti široko definirani krug (regiju ili čak državu). Osim toga, lokacija bi se prikazivala samo na način "razbijanja stakla" - poslodavac bi aktivirao "vidljivost" lokacije, pristupajući podacima koji su već pohranjeni u sustavu, tek kada vozilo napusti unaprijed definiranu regiju.“

 

Više o slučaju iz Grčke:

https://gdprhub.eu/index.php?title=HDPA_(Greece)_-_6/2024&mtc=today

 

Image from Freepik

#gdprcroatia