Hrvaška: Mnenje glede skeniranja osebnih izkaznic in bančnih kartic
Hrvaški nadzorni organ je v mnenju navedel, da skeniranje osebnih izkaznic in bančnih kartic zaposlenih ni zakonska obveza delodajalca, zato ne more temeljiti na 6(1)(c) člena GDPR.
Mnenje je bilo izdano 4.8.2022
Nadzorni organ je prav tako izključil veljavnost privolitve zaposlenega in menil, da morajo delodajalci, medtem ko lahko uporabljajo zakonite interese v skladu s členom 6(1)(f) GDPR, še vedno upoštevati načela varstva podatkov v skladu s členom 5 GDPR.
Nadzorni organ je poudaril, da mora imeti obdelava pravno podlago v skladu s členom 6(1) GDPR, da bi bila obdelava zakonita. Najprej je nadzorni organ preučil, ali je bila obdelava potrebna za izpolnjevanje pravne obveznosti v skladu s členom 6(1)(c) GDPR. Opozoril je, da mora to pravno podlago določiti pravo države članice ali Unije.
Prvi odstavek 29. člena hrvaškega zakona o delu določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je tako določeno s tem ali drugim zakonom ali če je to potrebno za namene izvajanja dela, pravice in obveznosti iz delovnega razmerja. Pri prvem zakon v 5. členu določa le, da je delodajalec dolžan voditi evidenco, ki mora vsebovati podatke o svojih delavcih in delovnem času. Pri slednjem, če je obdelava potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja, drugi odstavek 29. člena tega zakona določa, da mora delodajalec to predhodno določiti s pravilnikom o delu.
Nadzorni organ je zato ugotovil, da hrvaška delovna zakonodaja delodajalcem ne nalaga zakonske obveznosti kopiranja ali skeniranja osebnih dokumentov ali bančnih kartic svojih zaposlenih. Posledično člena 6(1)(c) GDPR ni mogoče uporabiti kot pravno podlago za takšno obdelavo osebnih podatkov. Drugič, nadzorni organ je proučil, ali bi privolitev lahko služila kot pravna podlaga za obdelavo v skladu s členom 6(1)(a) GDPR. Nadzorni organ je menil, da privolitve ni mogoče šteti za pravno podlago za obdelavo osebnih podatkov zaposlenih ali potencialnih delavcev, razen če lahko obdelavo zavrnejo brez škodljivih posledic zanje.
Nadzorni organ je poudaril, da so zaposleni redko v situaciji, da svobodno dajo, zavrnejo ali umaknejo svoje soglasje glede na svojo odvisnost od delodajalca. Zato se morajo delodajalci, razen v izjemnih okoliščinah, sklicevati na drugo pravno podlago kot na soglasje. Nazadnje je nadzorni organ ugotovil, da bi lahko delodajalci potencialno uporabili svoje zakonite interese kot pravno podlago za zadevno obdelavo v skladu s členom 6(1)(f) GDPR, čeprav bi bilo to odvisno od ravnovesja med njihovimi zakonitimi interesi in interesi njihovih zaposlenih.
Vendar pa velja opozorilo, da bi morali delodajalci tudi z ustrezno pravno podlago za obdelavo upoštevati načela varstva podatkov iz 5. člena GDPR, vključno z načelom minimizacije podatkov. To zahteva, da morajo biti osebni podatki ustrezni in omejeni na tisto, kar je potrebno v zvezi z nameni, za katere se obdelujejo.
Nadzorni organ je na primer dvomil, da bi bila verifikacijska številka (CSC, CVV ali HVS) bančne kartice, ki služi kot dokaz fizične posesti kartice v času spletnega nakupa, potrebna informacija za namene plačila plače zaposlenega. Če je bil torej dokazan zakoniti interes za kopiranje ali skeniranje bančne kartice zaposlenega, je vseeno treba izvesti ustrezne tehnične ukrepe glede podatkov, ki niso potrebni (npr. nekatere podatke je treba redigirati).
Mnenje je v hrvaškem jeziku dostopno tukaj
Naslovna fotografija: RawPixel
