Promatrajući proteklu kalendarsku godinu, bez sumnje možemo reći da su je uveliko obilježila četiri slova – GDPR, barem kada je riječ o pravnom sistemu EU. Iza popularnih slova krije se Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27.04.2016. godine o zaštiti pojedinca u vezi sa obradom ličnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ, poznatija pod nazivomOpća uredba o zaštititi podataka. Uredba je direktno implementirana u zakonodavstvo svih zemalja članica EU, bez mogućnosti interpretacija, a sve sa ciljem osiguranja jednakovrijedne razine zaštite pojedinaca i slobodnog protoka ličnih podataka na cijelom području EU. Prepuštanje pravnog uređenja materije ličnih podataka nacionalnim zakonodavstvima država članica EU pokazalo se kao nespretno rješenje, s obzirom na različite prakse i standarde na koje se nailazilo. GDPR predstavlja krovni propis o zaštiti ličnih podataka u EU koji ima osnovnu zadaću u jačanju prava pojedinaca kroz:
- pravo na prigovor,
- pravo na informisanje,
- obavezu pribavljanja saglasnosti na obradu ličnih podataka uz
- pravo na odustanak/opoziv saglasnosti, pravo na ispravak (koje proizlazi iz načela tačnosti i ažurnosti),
- pravo na brisanje podataka („pravo na zaborav“),
- kroz uvođenje dva „nova“ prava:
- pravo na prijenos podataka drugom voditelju obrade te
- pravo na obavještavanje o povredi podataka.
GDPR sadrži naglašenu obavezu voditelja obrade da se pojedincima obraća jasnim, jednostavnim, razumljivim i nedvosmislenim jezikom. U ovom konkretnom tekstu ostavit ćemo po strani pitanje primjenjivosti GDPR na teritoriju Bosne i Hercegovine te ćemo za primjer uzeti situaciju u kojoj se radi o poslodavcu koji ispunjava uslov iz člana tri, stav dva, tačka jedan GDPR. U konkretnom slučaju, primjena GDPR ne isključuje obavezu postupanja u skladu sa Zakonom o zaštiti ličnih podataka (Sl. glasnik BiH, br: 49/06, 76/11 i 89/11 Zakon o zaštiti ličnih podataka) u smislu člana dva stav (1) Zakona o zaštiti ličnih podataka.
Kada su u pitanju radni odnosi, poslodavac ima obavezu uzimanja ličnih podataka i vođenja evidencija reguliranih radnopravnim propisima te poštivanje njima predviđenih ograničenja i zabrana u pogledu ličnih podataka, kao i ograničenja i zabrana predviđenih Zakonom o zaštiti ličnih podataka te GDPR.
Šta poslodavac može tražiti
U kontekstu radnog odnosa, lični podaci su podaci koje poslodavac prikuplja od radnika u svrhu zasnivanja radnog odnosa te reguliranja prava i obaveza koje proizlaze iz radnog odnosa. Kategorije ličnih podataka radnika koje poslodavac obrađuje u vezi sa radnim odnosom možemo podijeliti na:
- podatke u vezi sa zasnivanjem radnog odnosa (stepen obrazovanja i kompetencije radnika, radni staž i prethodna zaposlenja),
- podatke potrebne za ostvarivanja prava iz radnog odnosa (bankovni račun, prisutnost na radu, zaduženja radnika) i
- posebno osjetljive podatke (podaci o invalidnosti, uvjerenja o nekažnjavanju ili podaci o krivičnoj osudi, biometrijski podaci koji mogu služiti u svrhe evidencije radnog vremena ili zaštite imovine poslodavca i radnika – primjerice, video zapis, otisak prsta).
Zakon o radu FBiH (Službene novine Federacije BiH, broj: 26/16 i 89/18 Zakon o radu) zabranjuje poslodavcu da prilikom postupka odabira kandidata za radno mjesto (razgovor, testiranje, anketiranje i slično) radi sklapanja ugovora o radu, ali i za vrijeme trajanja radnog odnosa, traži od radnika podatke koji nisu u neposrednoj vezi s radnim odnosom (primjerice, podatke o privatnom životu, bračnom stanju, djeci, stambenim prilikama i sl.). Bez obzira što kandidati za posao često sami navode takve podatke u svojim biografijama (dobrovoljno i samoinicijativno), poslodavci ne bi smjeli o tim temama dalje ispitivati kandidata/radnika.
Podaci o bračnom stanju ili trudnoći
Lični podaci koje poslodavac prikuplja moraju biti bitni za postizanje utvrđene svrhe prikupljanja i ne smiju se prikupljati u većem opsegu nego što je to nužno da bi se postigla utvrđena svrha. Tako primjerice, podaci o bračnom stanju ili potomstvu prelaze okvire prikupljanja podataka jer nemaju direktan uticaj i vezu s radnim odnosom te ih poslodavac ne bi bio ovlašten tražiti u upitniku za zapošljavanje. Poslodavac ne smije tražiti ni podatke koji mogu biti kriterij za diskriminaciju (rasa, vjera, političko opredjeljenje, seksualna orijentacija i sl.), kao ni podatke o trudnoći. Kada je riječ o trudnoći, radnica je u obavezi obavijestiti poslodavca o trudnoći, ako želi koristiti neko od prava i mora dostaviti potvrdu o trudnoći. Dakle, u slučaju kada bi posao za koji se kandidatkinja prijavila predstavljao kategoriju poslova koji mogu biti štetni za trudnicu i trudnoću te oni koje trudnica ne bi smjela obavljati, poslodavac bi trebao samo upoznati kandidatkinju s tim, ali ne i tražiti da se izjasni o trudnoći.
Kazneni postupak i zaposlenje
U slučajevima kada pojedini propisi propisuju prepreke za zapošljavanje u slučaju pravomoćne osude za neka krivična djela ili prekršaje, ili u slučaju da se protiv radnika vodi krivični ili prekršajni postupak za neko takvo djelo, poslodavac ima pravo izravno pitati kandidata, ali i zatražiti od kandidata ili sam pribaviti odgovarajući dokument kojim se takva tvrdnja potkrjepljuje (potvrde o nekažnjavanju). U praksi često nailazimo na zahtjeve poslodavaca prema kandidatima da dostave potvrdu da se protiv njih ne vodi krivični postupak i to za bilo koje krivično djelo, bez obzira što oni, kao poslodavci nisu obvezani posebnim zakonom koji bi propisivao vođenje krivičnog postupka kao smetnju za zapošljavanje. Kako je pretpostavka nevinosti jedno od temeljnih ustavnih načela, smatramo da vođenje krivičnog postupka kao smetnja zapošljavanju i traženje takvog podatka od radnika predstavlja iznimnu mjeru koja se može koristiti samo u slučaju kada je to posebnim zakonom propisano. Imajući u vidu već spomenutu zabranu poslodavcu da traži od radnika podatke koji nisu u neposrednoj vezi s radnim odnosom, u nedostatku propisa koji bi poslodavcu nametao konkretnu smetnju za zapošljavanje, poslodavci ne bi smjeli tražiti od kandidata takve podatke/dokumente te postoji rizik da se takav zahtjev poslodavca okarakterizira kao teži prekršaj poslodavca.
Čuvanje biografije
U praksi često nailazimo na dvojbe poslodavaca o opravdanosti i rokovima u vezi sa čuvanjem biografije kandidata s kojima nije zasnovan radni odnos, s obzirom na nedostatak zakonske regulacije. Kod određivanja svrhe, osnove i rokova čuvanja kao polazište treba uzeti u obzir osnovna načela koja su propisana GDPR-om, odnosno, zakonitost, poštenost, transparentnost, ograničavanje svrhe te ograničenje pohrane. Tako svrha obrade podataka kandidata s kojima nije uspostavljen radni odnos (to jest pohrane i čuvanje biografija) može biti potencijalni konkurs za zapošljavanje, dok osnova može biti saglasnost (pohranjuju se biografije samo onih kandidata koji za to daju svoju valjanu saglasnost) te se takvi podaci mogu pohranjivati u nekom razumnom razdoblju kojeg odredi sam poslodavac, odnosno, do trenutka do kada kandidat povuče saglasnost.
Pravila o čuvanju radne evidencije
Poslodavac ima obavezu voditi ažurnu evidenciju o radnicima, u pisanom ili elektronskom obliku od trenutka zasnivanja radnog odnosa, tokom trajanja radnog odnosa pa sve do njegovog prestanka, nakon čega ju je obavezan čuvati kao dokumentaciju trajne vrijednosti. Sadržaj evidencije propisan je Pravilnikom o sadržaju i načinu vođenja evidencije o radnicima i drugim licima angažiranim na radu kojim je određeno koje lične podatke najmanje mora sadržavati (ime, prezime, JMB, spol, dan mjesec i godinu rođenja, mjesto, općinu i državu rođenja i državljanstvo, prebivalište odnosno boravište, dozvolu za boravak i rad ili potvrdu o prijavi rada ako je radnik stranac ili lice bez državljanstva i ako ih je obavezan imati, školsku spremu, stručni ispit, dodatno obrazovanje, uvjerenja i certifikate o završenoj obuci u neformalnom obrazovanju i slično), uz naznaku da je dužan voditi i druge podatke o kojima ovisi ostvarenje pojedinih prava iz radnog odnosa ili u vezi s radnim odnosom (obavijest ili potvrda o trudnoći, majčinstvo, dojenje djeteta, status samohranog roditelja, status usvojitelja, profesionalna bolest, povreda na radu, profesionalna nesposobnost za rad, smanjenje radne sposobnosti uz preostalu radnu sposobnost, smanjenje radne sposobnosti uz djelimični gubitak radne sposobnosti, neposredna opasnost od nastanka smanjenja radne sposobnosti, neposredna opasnost od nastanka invalidnosti, invalidnost, stepen invalidnosti zbog djelimičnog gubitka radne sposobnosti, za radnike koji rade sa nepunim radnim vremenom podatak o svakom drugom poslodavcu kod kojeg radnik radi u nepunom radnom vremenu i slično). Radnik je slobodan ne koristiti neko pravo i o tome ne dati podatak poslodavcu.
Postoje kontradiktorna stajališta o tome da li se kolektivnim ugovorom ili pravilnikom o radu mogu odrediti dodatni podaci o kojima radnici moraju obavijestiti poslodavca, a koji nisu propisani zakonom ili gore navedenim pravilnikom. Svakako je najsigurnije za poslodavca ostaviti radnicima na volju hoće li neki podatak dati poslodavcu ako se tim podatkom ostvaruje neko pravo ili pogodnost, odnosno da radnik može dobrovoljno dati podatke koji nisu propisani pravilnikom, a koji će se obrađivati na temelju saglasnosti radnika. Svakako, valja napomenuti da je prilikom utvrđivanja pravne osnove obrade ličnih podataka potrebno jasno razlučiti kontekst obrade te utvrditi da li je saglasnost ispravan izbor valjane pravne osnove za obradu ličnih podataka, s obzirom na to da je dupliciranje osnova i pribavljanja saglasnosti „reda radi“ svakako nepoželjna pojava s obzirom na laku interpretaciju saglasnosti kao „uvjetovane saglasnosti“, pogotovo u slučaju postojanja neravnoteže između pojedinca i voditelja obrade, čime gubi smisao i dovodi voditelja obrade u poziciju kršitelja obaveza koje za njega proizlaze na temelju GDPR.
Posljedice kršenja GDPR-a za osnivače podružnica u BiH
GDPR je dio pravnog sistema EU više od šest mjeseci, a izazovi s kojima se susreću sve države članice počinju od same interpretacije pojedinih instituta koje propisuje GDPR. Iznimno je važno osigurati ujednačena stajališta unutar pravnog okvira EU s obzirom na to da je ujednačavanje prakse unutar EU najveći zadatak, ali i izazov GDPR-a. S druge strane, obveznici GDPR-a suočeni su s mnogim izazovima prilikom implementacije, koja zahtijeva pravnu i informatičku sveobuhvatnost procesa koji su, ovisno o veličini i kompleksnosti sistema, često dugotrajni i rezultiraju značajnim finansijskim izdacima.
Kada su u pitanju posljedice kršenja GDPR za EU matice poslodavaca iz BiH, ostaje nam nadati se da će regulatorne agencije u 2019. godini (kada se očekuje njihov izlazak na teren) zauzeti koncept edukativnih inspekcija, čemu se nadaju i mnogi naši europski susjedi. No, kada se uzme u obzir da je GDPR donesen 2016. godine te da je razdoblje za implementaciju trajalo pune dvije godine, nema sumnje – svakako treba biti spreman!
