Zaštita podataka o ličnosti u radnom odnosu – obaveze poslodavaca prema Zakonu i GDPR-u

Zaštita podataka o ličnosti u radnom odnosu – obaveze poslodavaca prema Zakonu i GDPR-u

Zašto je zaštita podataka ključna u radnim odnosima

U modernom poslovanju, zaštita podataka o ličnosti postala je jedno od najvažnijih pitanja, naročito u sferi radnih odnosa. Poslodavci svakodnevno obrađuju lične podatke zaposlenih – od ugovora o radu i obračuna plata, do zdravstvenih potvrda i video nadzora u radnim prostorijama. Ipak, mnoge kompanije i dalje potcenjuju značaj pravilne obrade podataka, što ih dovodi u rizik od visokih kazni i narušavanja poverenja zaposlenih.

Najčešće greške poslodavaca uključuju prikupljanje prekomernih podataka, nepostojanje internih politika privatnosti, ili pogrešno verovanje da saglasnost zaposlenog automatski rešava sve obaveze. U nastavku objašnjavamo kako zakon u Srbiji i GDPR regulišu ovu oblast, koje su konkretne obaveze poslodavaca i na koji način se mogu uskladiti sa propisima.

Pravni okvir u Srbiji – Zakon o zaštiti podataka o ličnosti i GDPR

U Republici Srbiji, osnovni propis koji reguliše ovu oblast je Zakon o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 87/2018), koji je u velikoj meri usklađen sa Opštom uredbom o zaštiti podataka (GDPR) Evropske unije.

Zakon se primenjuje na sve poslodavce – pravna i fizička lica – koji obrađuju podatke o zaposlenima, bez obzira na broj radnika ili veličinu organizacije. On propisuje:

  • načela obrade podataka (zakonitost, ograničenost svrhe, minimizacija, tačnost, integritet i poverljivost),
  • prava lica na koja se podaci odnose,
  • obaveze rukovalaca i obrađivača podataka,
  • i nadležnost Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.

Iako GDPR nije direktno primenjiv u Srbiji, domaći Zakon gotovo u potpunosti preuzima njegove principe, pa se može smatrati da poslodavac koji posluje u skladu sa GDPR-om poštuje i nacionalne propise.

Šta se smatra podacima o ličnosti zaposlenih?

Lični podaci su svi podaci koji se odnose na identifikovano ili identifikabilno fizičko lice. Kada je reč o zaposlenima, to obuhvata mnogo više od osnovnih informacija iz ugovora o radu.

Primeri ličnih podataka zaposlenih:

  • osnovni identifikacioni podaci: ime, prezime, JMBG, adresa, broj lične karte, kontakt telefon, e-mail;
  • podaci o radnom statusu: ugovor o radu, plata, bonusi, radno vreme, odsustva;
  • posebne kategorije podataka (osetljivi podaci): zdravstveni kartoni, invaliditet, članstvo u sindikatu;
  • tehnički i metapodaci: IP adresa, lokacija službenog uređaja, evidencija pristupa sistemima;
  • snimci sa video nadzora ili audio zapisi sa radnog mesta.

U praksi to znači da skoro svi podaci koji omogućavaju identifikaciju zaposlenog spadaju u kategoriju ličnih podataka, a njihova obrada mora biti jasno pravno osnovana i proporcionalna svrsi.

Obaveze poslodavca prema Zakonu i GDPR-u

Svaki poslodavac koji obrađuje podatke o zaposlenima ima status rukovaoca podataka i dužan je da poštuje sledeće obaveze:

1. Transparentnost i obaveštenje zaposlenih

Poslodavac mora na jasan i razumljiv način obavestiti zaposlene o:

  • svrsi i pravnom osnovu obrade,
  • kategorijama podataka koji se prikupljaju,
  • pravima zaposlenih,
  • kontaktu lica za zaštitu podataka (ako postoji),
  • rokovima čuvanja podataka i mogućim primaocima podataka.

2. Evidencija aktivnosti obrade

Svaki poslodavac mora voditi internu evidenciju aktivnosti obrade podataka, koja sadrži podatke o kategorijama lica, vrstama podataka, svrsi obrade, pravnim osnovima i merama zaštite.

3. Bezbednost podataka

Potrebno je preduzeti tehničke i organizacione mere zaštite (npr. kontrola pristupa, enkripcija, sigurnosne kopije, procedure za reagovanje na incidente).

4. Imenovanje lica za zaštitu podataka (DPO)

Kod većih sistema ili u slučajevima kada je obrada obimna i sistematska, obavezno je imenovanje službenika za zaštitu podataka o ličnosti (DPO).

Najčešće zablude poslodavaca

„Moje društvo ne obrađuje podatke o ličnosti“

Čak i mala preduzeća koja vode evidenciju zaposlenih, obračunavaju zarade ili imaju video nadzor – obrađuju lične podatke i dužna su da poštuju Zakon.

„Dovoljna je saglasnost zaposlenog“

Saglasnost nije jedini ni najpouzdaniji osnov za obradu. U radnim odnosima postoji neravnopravan odnos moći, pa se saglasnost često smatra nevalidnom. Poslodavac se pre svega treba osloniti na zakonsku obavezu, ugovorni osnov ili legitimni interes.

„Mogu slobodno pratiti mejlove i društvene mreže zaposlenih“

Nadzor nad komunikacijom mora biti proporcionalan i unapred poznat zaposlenima. Tajno praćenje privatnih poruka ili naloga na društvenim mrežama predstavlja ozbiljno kršenje prava na privatnost.

„Video nadzor je uvek dozvoljen“

Video nadzor može biti uveden samo ako postoji jasna i opravdana svrha – bezbednost ljudi i imovine, zaštita poverljivih podataka i sl. Zaposleni moraju biti obavešteni o postojanju kamera, a nadzor u svlačionicama, toaletima i sličnim prostorijama je zabranjen.

„BYOD daje poslodavcu potpuni pristup uređaju“

Kod politike Bring Your Own Device (korišćenje privatnih uređaja u poslovne svrhe), poslodavac ne sme pristupati privatnim podacima zaposlenog niti instalirati softver koji omogućava nadzor bez njegove saglasnosti.

Prava zaposlenih u vezi sa podacima

Zaposleni imaju pravo da:

  • dobiju informacije o tome koji se podaci o njima obrađuju,
  • zatraže ispravku netačnih podataka,
  • zahtevaju brisanje („pravo na zaborav“) u određenim slučajevima,
  • ograniče obradu ili ulože prigovor,
  • dobiju kopiju svojih podataka u prenosivom formatu.

Poslodavac mora reagovati na zahtev zaposlenog u roku od 30 dana, uz mogućnost produženja za dodatnih 60 dana uz obrazloženje.

Kazne i posledice nepoštovanja obaveza

Zakon o zaštiti podataka o ličnosti predviđa novčane kazne do 2.000.000 dinara za pravna lica i do 50.000 dinara za odgovorna lica u firmi.

U primeni GDPR-a, kazne su još oštrije – do 20 miliona evra ili 4% godišnjeg prometa, u zavisnosti od toga koji iznos je veći.

Primer iz prakse: poznat slučaj H&M iz 2020. godine, kada je kompanija kažnjena sa 35 miliona evra zbog praćenja privatnog života zaposlenih i nelegalnog čuvanja podataka.

Osim finansijskih sankcija, nepoštovanje propisa može dovesti i do gubitka poverenja zaposlenih, štete po reputaciju i smanjenja produktivnosti.

Kako poslodavci mogu da obezbede usklađenost?

1. Izrada internih akata i politika privatnosti

Potrebno je kreirati Politiku zaštite podataka o ličnosti zaposlenih, kao i pravilnike koji uređuju video nadzor, korišćenje službenih uređaja, BYOD i pristup poslovnim sistemima.

2. Edukacija zaposlenih i HR sektora

Redovna obuka o obavezama i rizicima u vezi sa obradom podataka ključno je za prevenciju grešaka.

3. Procena rizika i revizija procesa

Advokati i IT stručnjaci mogu sprovesti mapiranje tokova podataka, identifikovati rizike i predložiti mere za njihovo smanjenje.

4. Uvođenje sigurnosnih mera

Uključuju tehničke mere (šifrovanje, antivirus zaštitu) i organizacione mere (ograničen pristup dokumentima, nadzor logova).

Uloga advokata u zaštiti podataka

Advokat specijalizovan za oblast zaštite podataka o ličnosti može pomoći poslodavcima da:

  • izrade ili prilagode interne politike i akte,
  • sprovedu procenu usklađenosti (compliance audit),
  • zastupaju poslodavca u postupcima pred Poverenikom,
  • edukuju zaposlene i rukovodioce o pravnim obavezama,
  • implementiraju GDPR standarde u poslovne procese.

U praksi, saradnja sa pravnim stručnjakom često znači razliku između slučajnih prekršaja i potpuno usklađenog poslovanja koje štiti i poslodavca i zaposlene.

Zaključak

Zaštita podataka o ličnosti nije samo zakonska obaveza – to je temelj poverenja između poslodavca i zaposlenih. Kompanije koje se ponašaju odgovorno prema ličnim podacima ne samo da izbegavaju kazne, već i jačaju reputaciju i organizacionu kulturu.

Najčešća pitanja (FAQ)

1. Šta se sve smatra ličnim podatkom zaposlenog?

Svaki podatak koji može identifikovati zaposlenog - ime, adresa, plata, fotografija, IP adresa, zdravstveni podaci, podaci o porodici - spada u lične podatke.

2. Da li poslodavac može da nadzire službeni mejl zaposlenog?

Može, ali uz jasnu politiku i obaveštenje zaposlenih. Nadzor mora biti proporcionalan i ne sme zadirati u privatnu komunikaciju.

3. Da li je dozvoljeno postavljanje video nadzora na radnom mestu?

Jeste, ali samo u svrhu zaštite ljudi i imovine, i uz jasno obaveštenje zaposlenih o lokacijama kamera.

4. Kada je saglasnost zaposlenog za obradu podataka validna?

Kada je data slobodno, informisano i bez uslovljavanja - što u radnim odnosima retko može biti ispunjeno.

5. Koja su prava zaposlenih prema Zakonu i GDPR-u?

Pravo na uvid, ispravku, brisanje, ograničenje obrade, prenosivost podataka i prigovor.

6. Šta znači BYOD politika i koje su opasnosti po privatnost?

BYOD (Bring Your Own Device) omogućava korišćenje ličnih uređaja u poslovne svrhe, ali nosi rizik mešanja privatnih i poslovnih podataka, što može dovesti do neovlašćenog pristupa.

7. Koje su kazne za poslodavce u slučaju kršenja Zakona o zaštiti podataka?

Kazne prema domaćem zakonu iznose do 2 miliona dinara, a prema GDPR-u do 20 miliona evra ili 4% godišnjeg prometa.

8. Kada je obavezno imenovati lice za zaštitu podataka (DPO)?

Kada poslodavac sistematski i obimno obrađuje podatke ili kada je to propisano zakonom (npr. u bankarskom, zdravstvenom ili javnom sektoru).

Usklađivanje sa Zakonom o zaštiti podataka o ličnosti i GDPR-om zahteva stručan pristup i razumevanje pravnih nijansi. Ako niste sigurni da li su vaši interni procesi u skladu sa propisima, pravovremeno angažovanje advokata može sprečiti visoke kazne i zaštititi reputaciju vaše kompanije.

Povezani tekstovi

Porez na kapitalnu dobit – izračunavanje, oslobađanje i najčešća pitanja

Pročitaj više

Tužba za mobing – kako zaštititi svoja prava i pokrenuti postupak

Pročitaj više

Osnivanje udruženja u Srbiji – postupak, dokumentacija i pravna pomoć

Pročitaj više

Call Now Button