Izazovi zaštite podataka o ličnosti u vreme korone

Foto: Image by methodshop from pixabay.com

Koronavirus je jedan od najvećih izazova sa kojima se čovečanstvo suočava poslednjih meseci i uticao je dosta na naše živote – na to kako radimo, kako poslujemo i slično. Pitanje zaštite podataka o ličnosti, naročito u kontekstu radno-pravnih odnosa, poprima ne samo pravnu već i tehničko-organizacionu dimenziju. Ovo su izazovi sa kojima se suočavamo i o kojima ćemo diskutovati u tekstu koji sledi.

Koji su propisi relevantni za ova pitanja

Generalno govoreći, pitanja zaštite podataka o ličnosti regulisana su Zakonom o zaštiti podataka o ličnosti (ZZPL). Naravno, kada govorimo o pitanjima radnog odnosa, relevantne su odredbe Zakona o radu, kao i Uredbe o organizovanju rada poslodavca za vreme vanrednog stanja (u daljem tekstu: Uredba), s tim što je ona, nakon ukidanja vanrednog stanja, prestala da važi.

Rad od kuće

Jedna od prvih mera, koje su poslodavci preduzeli shodno pomenutoj Uredbi, bilo je upućivanje zaposlenih na rad van poslovnih prostorija poslodavca, tj. na rad od kuće. Štaviše, i Uredba je izričito propisivala obavezu poslodavca da omogući zaposlenima dakad god je to mogućeposlove obavljaju van njegovih prostorija, uz obavezu poslodavca da vodi evidenciju o ovim zaposlenima.

Praćenje zaposlenih da li zaista rade u radno vreme

Rad od kuće, svakako, povezan je sa potrebom i pravom poslodavaca da vrši nadzor nad radom zaposlenog. Ali, postavlja se pitanje šta se pod nadzorom nad radom podrazumeva i kako se vrši u praksi

Konkretno, ima li poslodavac pravo da od zaposlenog zahteva instaliranje time-tracking/recording softvera koji prati zaposlene tokom radnog vremena, snima screenshot-ove zaposlenog, prati i meri dužinu rada, beleži slova i brojke koje zaposleni ukucava i slično? Može li poslodavac zahtevati da zaposleni na svom računaru instalira programe kao što je TeamViewer, ActivTrak, Time Doctor, Teramind?

Odgovor je svakako negativan. Poslodavac ne sme vršiti nadzor nad radom i kvalitetom rada zaposlenog na ovaj način. Poslodavac može da kontroliše kvalitet onoga što je zaposleni uradio. Na primer, ako zaposleni, u okviru svojih radnih obaveza, ima dužnost da sastavi neki izveštaj, poslodavac može kontrolisati da li je izveštaj pravilno sačinjen, da li su uneti svi potrebni podaci, pružena potrebna objašnjenja, da li je to učinjeno u definisanom roku i slično. Poslodavac ne bi mogao niti smeo da prati proces izrade tog izveštaja, već samo njegov krajnji rezultat.

Naposletku, ukoliko se rad sprovodi zakonitim metodama ili metodama karakterističnim za određenu struku, poslodavcu ne bi ni trebalo da bude bitno kako ili kada je posao urađen, sve dok zaposleni uredno i na vreme izvršava svoje obaveze. U tom slučaju, poslodavac ne bi imao ni valjani legitimni interes da prati rad i aktivnosti zaposlenog. Dakle, poslodavcu treba da bude bitan krajnji ishod, ne i put.

Zaštita podataka u slučaju rada od kuće

Rad od kuće podrazumeva mogućnost zaposlenog da putem interneta pristupi informacionom sistemu svog poslodavca i dođe u kontakt sa različitim poslovnim podacima, evidencijama, dokumentima, mejlovima, izveštajima koji sadrže podatke koji se odnose na ličnost zaposlenih i/ili poslovnih partnera poslodavca (između ostalog i njegovih klijenata).

Kako zaštititi ove podatke imajući u vidu mogućnost da će hakeri nastojati da iskoriste ovakvo stanje i pokušavati da presretnu internet saobraćaj (posebno ako zaposleni koristi WiFi konekciju)?

Tu dolazimo na teren informacionih tehnologija, te je od suštinskog značaja adekvatna zaštita informacionog sistema poslodavca. Propuštanje poslodavca da zaštiti svoje podatke može dovesti do brojnih problema – od finansijskih (naknada štete) do kaznenih. 

Zato je preporučljivo da poslodavci što pre uvedu, odnosno podignu nivoe zaštite svojih informacionih sistema i osiguraju ih tako da se ovi napadi onemoguće ili znatno otežaju. Poslodavci, takođe, moraju podstaći svoje zaposlene koji rade od kuće da i sami preduzmu mere zaštite. Ako je to potrebno, poslodavci bi bili dužni da zaposlenima obezbede odgovarajuću infrastrukturu u vidu liceniranih softverskih i/ili hardverskih rešenja. 

Na ovo ga, između ostalog, obavezuje i načelo očuvanja integriteta i poverljivosti podataka (videti član 5. stav 1. tačka 6) ZZPL-a) koje propisuje da se podaci moraju obrađivati tako da se obezbedi odgovarajuća zaštita podataka o ličnosti, uključujući i zaštitu od neovlašćene ili nezakonite obrade

Podaci o ličnosti u slučaju kada rad od kuće nije moguć ili u slučaju normalizacije rada

Postojali su, naravno, slučajevi kada poslodavac nije mogao da organizuje rad od kuće – u fabrikama, proizvodnim pogonima, gde je velika frekventnost zaposlenih. Ovo pitanje je aktuelno upravo zbog legitimne potrebe poslodavca da zaštiti svoje zaposlene, a sa druge strane, prava zaposlenog da zaštiti svoju privatnost i podatke o sebi i svom zdravstenom stanju.

Može li, dakle, poslodavac prikupljati podatke o putovanjima zaposlenih, njihovim kretanjima i kontaktima? Može li poslodavac voditi evidenciju o simptomima i/ili temperaturi zaposlenih? Sme li poslodavac da daje zaposlenima obrasce ili upitnike na kojima će tražiti da se oni izjašnjavaju o pojedinim pitanjima od značaja za epidemiju? Sa ovim pitanjima susreli su se i pojedini klijenti, ističući sugestije pretpostavljenih kako na njih treba odgovoriti u pisanom upitniku. 

Ovde su nam od pomoći pojedine odredbe ZZPL-a. Sa jedne strane, odredba člana 17. stav 1. ovog zakona izričito zabranjuje obradu naročito osetljivih podataka, među kojima je i zdravstveno stanje zaposlenog. Međutim, zakonodavac već u narednom stavu propisuje odstupanje – obrada podataka o zdravstvenom stanju zaposlenog može se vršiti ukoliko je ona neophodna u cilju ostvarivanja javnog interesa u oblasti javnog zdravlja. Ipak, i u tom slučaju mora se poštovati načelo minimalizacije podataka (član 5. stav 1. tačka 3) ZZPL-a) koje propisuje da obrađeni podaci moraju biti primereni, bitni i ograničeni na ono što je neophodno u odnosu na svrhu obrade

Na osnovu ovoga, jasno se može zaključiti da poslodavac ima pravo da zaposlenom, pre puštanja u svoje poslovne prostorije ili pogone, izmeri temperaturu i ukoliko je u prihvatljivim granicama, pusti ga u krug fabrike/prostorije. Mogao bi, po slovu zakona, čak i da evidentira ove podatke. Međutim, diskutabilno je da li bi to zaista bilo potrebno i celishodno.

Ista je situacija i u slučaju kada se radi o evidenciji simptoma zaposlenog. Poslodavac bi, eventualno, mogao da pita (u formi upitnika) da li ima simptome ili ne, ali ne bi mogao da zahteva od njega o kojim simptomima se radi. Ovo upravo zbog načela minimizacije podataka

Sudbina prikupljenih podataka

Sada kada je vanredno stanje okončano i stvari se lagano vraćaju u (novu) normalu, sledeće pitanje je koja je sudbina prikupljanih podataka o ličnostiŠta poslodavac može ili mora učiniti sa prikupljenim podacima o ličnosti – da li ima pravo da ih čuva i koliko dugo? Ili, možda, ima dužnost da ih čuva i koliko dugo? Da li i koja prava imaju zaposleni?

Da bismo odgovorili na ova pitanja, moramo sagledati odredbe Zakona o zaštiti podataka o ličnosti koje se odnose na dužinu čuvanja podataka. Prema odredbi člana 5 ZZPL-a, podaci o ličnosti mogu se čuvati samo u roku koji je neophodan za ostvarivanje svrhe obrade (načelo čuvanja podataka o ličnosti).

Ukoliko je po prestanku vanrednog stanja, poslodavac „vratio zaposlene“ na rad u njegovim prostorijama, više nema razlog/potrebu da čuva evidencije ustanovljene zbog olakšavanja rada. Samim tim, njegovo pravo vođenja evidencije zamenjeno je njegovom dužnošću da podatke iz evidencije obriše – bilo da se oni nalaze u elektronskom, bilo u štampanom obliku. Ovo je izričito vezano za Uredbu koja je, ukidanjem vanrednog stanja, stavljena van snage.

Prava zaposlenih prema svom poslodavcu

Istovremeno, kada se zaposleni vrati u prostorije poslodavca, stiče pravo da zahteva da se njegovi podaci o ličnosti izbrišu, budući da oni više nisu neophodni (videti član 30. stav 1. ZZPL-a).

U slučaju da zaposleni ovo zatraži od svog poslodavca, on će biti dužan da bez nepotrebnog odlaganja izbriše sve podatke o ličnosti zaposlenog koji više nisu neophodni za ostvarivanje svrhe zbog koje su prikupljeni ili na drugi način obrađivani (videti stav 2. istog člana). 

Izazov sa kojim se susreću poslodavci

Pored navedenih izazova, jedan od najvećih sa kojima se poslodavac susreće jeste izgradnja odgovarajućeg pravnog okvira svoje firme za obradu podataka. U tom smislu, ZZPL je propisao obavezu poslodavca da izradi odgovarajuće interne akte, tj. Pravilnik o zaštiti podataka o ličnosti, a zaposlenom dostavi Obaveštenje o obradi podataka o ličnosti.

Propisane su i brojne druge obaveze, kao što je izrada evidencije radnji kojima se obrađuju podaci o ličnosti.

Ukoliko je poslodavac već izradio ove akte i preduzeo sve radnje propisane ZZPL-om, onda je potrebno da ih revidira tako da odražavaju ovu novu realnost. Istovremeno, potrebno je revidirati i drugu propratnu dokumentaciju, kao što je procena legitimnog interesa za prikupljajne i obradu novih podataka i slično. Jer, prvi talas nas je dočekao nespremne. Drugi ne bi trebalo.

Umesto zaključka

Vanredno stanje, koje je u Srbiji postojalo do pre nekoliko dana, svakako nije suspendovalo čitav pravni sistem naše države. Iako pitanje zaštite podataka o ličnosti nije bilo uređeno u toku epidemije, to ne znači da se odredbe ZZPL-a nisu morale primenjivati i da je poslodavac mogao da radi šta želi.

Namera ovog teksta bila je da široj javnosti približi praktični značaj pojedinih pitanja zaštite podataka o ličnosti, posebno u kontekstu radno-pravnih odnosa. Takođe, ovaj tekst je samo pravna analiza jednog opšteg stanja, tako da on nije pravni savet. Kao takav, na njemu se ne smeju bazirati odluke pojedinaca u konkretnim slučajevima jer on ne sagledava sve pojedinosti konkretnog slučaja.

Autor: Advokat Predrag Popović