9/03/2019
Što HR odjel mora znati o GDPR-u?
Tema GDPR u internim procesima tvrtke kod obrade osobnih podataka zaposlenika izravno je vezana s funkcionalnostima HR Portala, ali je isto tako i interesantna svim pravnim subjektima jer u tom segmentu svaka tvrtka podliježe pod odredbe nove Uredbe koja u svibnju stupa na snagu u svim zemljama članicama EU-a.
Dakle, čak i ako u svojim bazama i arhivama nemate podatke fizičkih osoba te poslovanje obavljate isključivo s drugim tvrtkama, niste izuzeti od GDPR-a jer baratate osobnim podacima svojih zaposlenika, ugovornih radnika, studenata na praksi, kandidata za zaposlenje itd..
U prethodnom blog postu definirali smo osnovne GDPR pojmove pa ćemo sada prvo te pojmove staviti u kontekst primjera osobnih kadrovskih podataka zaposlenika:
- Ispitanik – u ovom slučaju to je djelatnik (zaposlenik), sadašnji ili bivši, fizička osoba za koju u bazi ili arhivi vodite osobne podatke,
- Vlasnik podataka – to je tvrtka čiju kadrovsku bazu djelatnika promatramo
U prošlom postu pojasnili smo i da Vlasnik podataka prvo mora imenovati Data Protection Officera (DPO-a, službenik za zaštitu osobnih podataka), odnosno napisati odluku o tom imenovanju (ako tvrtka ima više od 20 zaposlenih ili ima manje od 20 zaposlenih, ali u svom poslovanju se bavi obradom osobnih podataka). DPO može biti neki od postojećih zaposlenika, može se zaposliti nova osoba ili outsourcati i ugovoriti vanjskog stručnjaka koji će biti DPO tvrtke.
Početna zadaća DPO-a je da definira i dokumentira postojeće procese, odnosno zbirke podataka, još jedan od pojmova iz GDPR terminologije. Kod HR segmenta poslovanja zbirke bi bile:
- A Kadrovska evidencija zaposlenika
- B Evidencija ostalih radnika (studenti, stručno usavršavanje bez zasnivanja radnog odnosa, ugovori o djelu, agencijski radnici itd.)
- C Podaci obračuna plaća
- D Podaci evidencije radnog vremena
- E Evidencija putnih naloga zaposlenika
- F Baza kandidata prijavljenih na natječaj za radno mjesto
- itd…
Pravni temelji i svrhe prikupljanja zbirki osobnih podataka
Za svaku zbirku koju ste identificirali treba prvo definirati sadržaj zbirke, odnosno koji podaci se prikupljaju i vode u zbirci. Primjer za zbirku A Kadrovska evidencija zaposlenika to je onih 18 vrijednosti koje zakon propisuje da se moraju voditi u kadrovskoj evidencije te dodatni podaci o zaposlenicima (npr. podaci o djeci zaposlenika i njihovoj starosti).
Kada imamo sadržaj zbirke, idemo definirati pravni temelj skupljanja podataka u svaku zbirke.
GDPR predviđa ove osnovne pravne temelje skupljanja osobnih podataka u zbirke:
- Ispunjenje zakonskih obaveza i propisa
- Legitimni interes
- Ugovorna obveza
- Uz privolu ispitanika
Za osnovni primjer iz prethodnog poglavlja, pravni temelji bi bili:
- Obavezni kadrovski podaci – onih 18 podataka, ovo je jednostavno, zakon nam propisuje da moramo voditi tu evidenciju, dakle pravni temelj je ispunjenja zakona i propisa
- Podaci o djeci zaposlenika – zakon ne propisuje obvezu vođenja ovih podataka, ali pretpostavimo sada da u vašem Pravilniku o radu imate definirano da dane godišnjeg odmora djelatnika definirate prema broju djece i dobi djeteta. U tom slučaju imamo pravni temelj ugovorne obveze, što znači da je tvrtki (vlasniku podataka) taj osobni podatak potreban da bi mogli ispunjavati ugovor, u ovom slučaju Ugovor o radu koji regulira dodjelu godišnjeg odmora sukladno Pravilniku o radu.
Da malo zakompliciramo priču, navesti ćemo ovdje primjer da jedan podatak zbirke možete koristiti u više svrha, gdje svrhe mogu biti zasnovane na različitim pravnim temeljima, te da je to također potrebno dokumentirati u GDPR dokumentaciji. Npr. datum rođenja zaposlenika je:
- obavezan element kadrovske evidencije propisane zakonom pa imamo tu pravni temelj ispunjenja zakona i propisa,
- taj isti datum rođenja koristit ćete u obradi koja izračunava kada djelatnik ostvaruje uvjete za mirovinu, dakle imamo i legitimni interes u provedbi poslovanja kao pravni temelj,
- no ako taj datum rođenja iz baze koristite da HR odjel u ime tvrtke pošalje djelatniku rođendansku čestitku i poklon, to više ne možete ukalupiti u prethodna dva pravna temelja, ovdje imamo svrhu koja uključuje i kontaktiranje zaposlenika bez izravne poslovne potrebe te za ovu svrhu te ako je odlučite koristiti datum rođenja u ovu svrhu, trebat će vam pravni temelj privola djelatnika.
U toj definiciji sadržaja zbirki podataka i svrha njihovog skupljanja možda dođete do zaključka da vam neki osobni podatak ne treba, da nemate svrhe in obrade zbog kojeg skupljate taj podatak. Ili da bi skupljanje i obrada tog podatka zahtijevalo privolu ispitanika (doći ćemo kasnije i do privola) što vam komplicira operativnu provedu tog procesa nasuprot malog benefita od obrade tog podatka. U tom slučaju, sukladno GDPR zahtjevu za minimalizacijom praćenja osobnih podataka na potrebnu mjeru, možete odlučiti da taj podatak više nećete skupljate te izbrisati postojeći sadržaj tog podatka iz zbirke (ili samo ukloniti spornu svrhu obrade tog podatka, ako se podatak i dalje obrađuje u druge svrhe, kao u prethodnom primjeru datuma rođenja).
Periodi čuvanja osobnih podataka
Kada imate dokumentirane zbirke osobnih podataka, sadržaje zbirki te pravne temelje i svrhe u koje se vrše obrade podatka zbirke, potrebno je definirati period čuvanja za svaku zbirku (ili dio zbirke). Po ranije pobrojanim primjerima zbirki to bi bilo:
- A – Kadrovska evidencija zaposlenika – ovdje nam zakon propisuje trajno čuvanje tih podataka pa i mi moramo tako postaviti
- B – Evidencija ostalih radnika (studenti, stručno usavršavanje bez zasnivanja radnog odnosa, ugovori o djelu, agencijski rad itd.) – opet imamo zakonski propis koji nam nalaže da ove podatke moramo čuvati šest godina nakon završetka rada ispitanika
- C – Podaci obračuna plaća – trajno čuvanje podataka
- D – Podaci evidencije radnog vremena – zakon propisuje obavezu čuvanja od šest godina
- E – Putni nalozi – zakon propisuje čuvanje pomoćnih knjiga iz knjigovodstvene poslovne dokumentacije tvrtke na najmanje 11 godina
- F – Baza kandidata prijavljenih na natječaj za radno mjesto – e ovdje nam neće zakon pomoći pa bi onda, u skladu s GDPR-om, ove podatke (uključujući i CV-ove koje su potencijalni kandidati poslali na npr. email) trebali izbrisati u razumnom roku po završetku njihove obrade (odnosno po završetku tog natječaja i odabiru kandidata). Sigurno se sada pitate da što je s recruiting bazom potencijalnih kandidata i njihovih CV-ova koja se može iskoristiti kod budućeg sličnog natječaja? Za formiranje takve baze treba vam privola kandidata, odnosno u procesu skupljanja prijava trebali bi uključiti mogućnost da vam kandidat da privolu za “ulazak u bazu kandidata i mogućnost da vas kontaktiramo kod nekog budućeg natječaja” te omogućiti kandidatu da naknadno, na jednostavan način, može i povući tu privolu (što mora rezultirati uklanjanjem njegovih podataka i CV-a iz daljnje obrade).
Privole – davanja i povlačenje suglasnosti djelatnika
U prethodnim primjerima smo iz par smjerova došli do privola pa ćemo sada detaljnije razjasniti u kojim slučajevima su potrebne privole kod procesa u ljudskim potencijalima tvrtke te kada ih je uputno pokušati izbjeći.
Da bi bila sukladna GDPR-u, privola u svom tekstu mora imati jasno iskaznu svrhe obrade podatka te je važeća samo za te svrhe. Privola ne smije biti općenita, bez svrhe, u smislu “dajem svoj osobni podatak, a voditelj obrade neka koristi taj podatak u bilo koju svrhu“.
Naša preporuka je da privole shvatite kao zadnju mjeru definicije pravnog temelja obrade nekog podatka, odnosno da u uvođenje nove privole ulazite tek kada ni po kojem dugom osnovu, ni izdaleka, ne možete objasniti pravni temelj obrade tog osobnog podatka. U primjeru ljudskih potencijala, ako vam je neki podatak zaposlenika potreban za obavljanje poslovanja te ako će vam poslovanje stati ako zaposlenici povuku hipotetsku privolu za korištenje tog podatka, tada nemojte uvoditi privolu za to, proglasite to pravnim temeljem legitimnog interesa u vašoj GDPR dokumentaciji.
Međutim postoje osobni podaci djelatnika i svrhe korištenja tih podataka gdje ne možete izbjeći uvođenje privola. U tom slučaju, sukladno GDPR-u, morate osigurati:
- da zaposlenik može povući privolu na jednako jednostavan način kao što je dao privolu,
- da vodite kompletnu arhivu promjena statusa privola, npr. zaposlenik može više puta dati i povući istu privolu, morate imati arhivirano u kojim periodima je privola bila aktivna te osigurati (i dokazati u slučaju spora) da se njegov podatak u svrhu iz privole obrađivao samo u tim periodima.
Što tvrtka mora podržati vezano uz osobne podatke djelatnika da bi bila sukladna s GDPR-om?
Nakon što smo u osnovnim crtama objasnili na primjerima iz ljudskih potencijala što su to zbirke, sadržaji zbirke, svrhe obrade i privole, idemo pobrojati koje bi to osnovne cjeline GDPR-a trebalo podržati u HR procesima:
- Dokumentacija zbirki osobnih podataka – morali bi imati popisano koje zbirke osobnih podataka djelatnika pratite, koje podatke u njima, s kojim svrhama i pravnim temeljima te s kojim periodima čuvanja podataka.
- Minimalizacija praćenja osobnih podataka – ako se prilikom definicije dokumentacije iz prethodne točke identificiraju neki osobni podaci koji se ne koriste u svrhu obrade te nisu vam ti osobni podaci djelatnika potrebni za poslovne procese, trebali bi osigurati da su ti podaci uklone. Pod ovu cjelinu “minimalizacije” uključit ćemo i primjenu perioda čuvanja podataka svake zbirke, odnosno ono od čega se svaki IT hvata za glavu, da mora brisati (ili učiniti nedostupnim za obradu) podatke neke zbirke starije od npr. 6 godina, ako je tako definirana zbirka.
- Pravo ispitanika na informiranost – ako vas (sadašnji ili bivši) djelatnik zatraži svoj “record“, odnosno zatraži vas izvještaj o svojim osobnim podacima, tvrtka mu mora dati izvještaj s njegovom osobnim podacima, podacima njegove evidencije radnog vremena, podacima rješenja za godišnji odmor itd..
- Pravo ispitanika na ispravak pogrešnih podataka – ako vas djelatnik zatraži ispravak osobnog podatka, tvrtka mora osigurati da se taj zahtjev obradi i osobni podatak po potrebi korigira te da se zabilježi obrada zahtjeva ispitanika.
- Pravo ispitanika na zaborav – djelatnik vas može tražiti da izbrišete njegove osobne podatke (ili samo neki podatak). Tvrtka mora osigurati da se njegov zahtjev obradi, da mu se obrazloži gdje to nije moguće zbog zakonskih ili poslovnih potreba, odnosno da obriše (anonimizira, pseudoanonimizira, učini nedostupnim za obradu, ovo se sve postupci koje GDPR poznaje) osobne podatke tog djelatnika tamo gdje je to moguće.
- Privole – tvrtka mora osigurati skupljanje i vođenje privola na način sukladan GDPR-u tamo gdje je to potrebno.
Gdje vam tu pomaže HR Portal?
HR Portal omogućava vam strukturirano ispunjenje svih ovih šest zahtjeva koje GDPR postavlja, npr. možete na jednostavan način automatizirati pravo ispitanika na informiranost ili automatizirati sustav skupljanja privola. Kao što je ranije HR Portal omogućio npr. da pratite potvrde primitka platnih listi ili vođenje dokumentacije djelatnika bez papirologije, sada možete i privole voditi bez papira, s elektroničkim privolama svakog djelatnika koji se prijavljuje u HR Portal.
Ovu temu GDPR u HR Portalu detaljnije ćemo opisati u narednom blog postu, ovaj se je već dovoljno odužio.