Ovaj članak će zasigurno izazvati puno bure i negodovanja, ali ga pišemo za vaše dobro i dobro vaših tvrtki.

Niz godina i desetljeća tvrtke u Hrvatskoj su izrađivale popise djece zaposlenika za dolazak Djeda Mraza ili Djeda Božičnjaka ili Svetog Nikole, pripremu popisa poklona, koliko curica ili dječaka, prikupljale rodne listove djece i roditelja, vodile evidencije na papirima i raznim excellicama, čuvale ih zauvijek na bezbroj računala, emailova, fascikli, dijelile ih s nizom ljudi unutar i izvan tvrtke, bezbrižno u stilu doba godine kada se svi želimo napokon opustiti. Štoviše, tvrtkama je bilo posebno praktično sav popis s imenima djece uključujući OIB i datume rođenja, poslati drugoj tvrtki ili trgovini, kako bi oni lijepo na poklon pakete upisali imena djece, stavili roze ili plave vrpce, na opću radost svih...

Loša vijest je da GDPR iz temelja mijenja način kako to od sada nadalje smijemo i moramo raditi. Dobra vijest je da će nam već slijedeće godine sve ovo biti potpuno normalno.

Ne možemo više dijeliti popise zaposlenika i njihove djece po tvrtki, jer nijedan zaposlenik nema pravo vidjeti osobne podatke djece drugih zaposlenika.

Zamjenite popise s pojedinačnim obrascima za svakog zaposlenika, ili riješite to aplikativnim rješenjima. Ako šaljete popise djece i zaposlenika nekoj trgovini radi narudžbe poklona, toplo vam savjetujemo da odbacite takvu ideju. Ukoliko ipak inzistirate na tome, tada morate s tom trgovinom sklopiti ugovor o zaštiti podataka s pisanim uputama kako moraju postupati s osobnim podacima vaših zaposlenika i njihove djece, jer ih svojim slanjem popisa stavljate u ulogu vanjskog izvršitelja obrade. Tu će mnoge trgovine odustati od takvog scenarija, što je dobro, jer nema nikakve, ama baš nikakve objektivne potrebe da tvrtke šalju osobne podatke zaposlenika i njihove djece trgovinama u svrhe narudžbe darova.

Jeste li se ikada upitali što trgovina radi s tolikim popisima djece i njihovih roditelja?

Da li ih brišu iz računala ili ostavljaju trajno nezaštićenima? Da li bacaju te papire u smeće bez uništavanja ili anonimizacije podataka djece? I sad dolazimo do najžešće točke - pravni temelj. Ukoliko niste u ugovorima o radu ili važećem aktu tvrtke odredili obvezu tvrtke na darivanje djece i potrebu prikupljanja osobnih podataka djece baš u tu svrhu ili valjanu Obavijest o privatnosti s obrazloženim legitimnim interesom koja sadrži i razumne rokove zadržavanja podataka, tada vam jedino preostaje da prikupite osobne podatke djece temeljem pojedinačne privole svakog zaposlenika kao roditelja ili skrbnika za prikupljanje i obradu podataka.

Objektivno je očekivati da se nitko od zaposlenika neće pobuniti protiv dobivanja dječjeg dara i povući privolu posebice ukoliko sama tvrtka definira razumno kratke rokove zadržavanja prikupljenih podataka. Naravno, mnoge tvrtke stavljaju poklone za djecu u kategoriju porezno priznatih troškova, pa još moraju dokaze o ispravnoj primjeni poreznih olakšica čuvati kao dokaze u slučaju poreznog nadzora.

Pri tom morate ozbiljno voditi brigu o rokovima zadržavanja prikupljenih podataka koje morate uključiti u Obavijest o privatnosti zaposlenicima, unaprijed odredivši do koje starosti djece ćete davati poklone i kako ćete dokazati starost djeteta u trenutku prikupljanja podataka te samu zakonitost korištenja poreznih olakšica. Pri tom se treba zapitati koliko stare evidencije djece imamo u tvrtki, gdje ih sve držimo, jesu li djeca zaposlenika uopće više djeca ili su već odrasli ljudi...i zašto uopće čuvamo te podatke. Na prvi pogled GDPR je ovo područje zakomplicirao, ali je donio nove mehanizme kako ćemo sačuvati privatnost djece zaposlenika.