Firma ne sme bez saglasnosti zaposlenog, dati njegove podatke ni knjigovođi
AnalizaIzdvajamoPoslovanjePreduzetnikU fokusuVesti
5.4.2021 15:07 Autor: Gordana Bulatović
Ni posle tri godine primene Zakona o zaštiti podataka o ličnosti u Srbiji, većina poslodavaca još uvek ne zna na koji način treba da se ponašaju prema osetljivim podacima svojih kupaca i dobavljača, ali ni zaposlenih. U pitanju je, zapravo, nacionalni propis kojim se za područje Srbije definiše ono što važi za sve države EU, a u kojoj se ova oblast primenjuje na bazi Opšte uredbe o zaštiti podataka – GDPR, a koji, između ostalog, predviđa šta firma sme da poseduje od ličnih podataka klijenata, saradnika, zaposlenih, pa čak i kandidata za posao.
Ono po čemu je GDPR poznat među kompanijama su uglavnom veoma visoke kazne. Srpski propis, za nepoštovanje njegovih odredbi, predviđa kazne do dva miliona za firmu, odnosno do pola miliona dinara za preduzetnika. Ukoliko srpska firma prodaje svoje proizvode ili usluge na području EU, na njih će se primenjivati i GDPR. U tom slučaju, kazne za nepoštovanje principa zaštite ličnih podataka o ličnosti mogu ići do četiri odsto ukupnog godišnjeg prihoda iz prethodne godine, odnosno do čak 20 miliona evra.
Kako je srpski propis skoro u potpunosi prenet iz zakonodavstva EU, nema potrebe da se firma posebno bavi načinom da implementira GDPR, ali zato mora veoma da povede računa o tome da li poštuje nacionalni propis kojim se štite podaci građana.
Ono što stručnjaci za ovu oblast preporučuju pre svega je da firma definiše koje sve baze podataka mora da ima. Svakako da mora imati baze koje se odnose na zaposlene, na klijente, ako firma pravi elektronski bilten – verovatno ima i ovu bazu. Ali, važno je da za svaku od ovih baza firma napravi procenu koliko je potrebno određene podatke čuvati i da li da se čuvaju, da li ih sa kim dele. Savet nadležnih je da sve ono od podataka što nije potrebno treba obrisati ili anonimizirati. Takođe, bitno je i ograničiti pristup određenim bazama samo na one zaposlene kojima je to zaista neophodno.
Čini se da među kompanijama najveće nerazumevanje u vezi sa primenom Zakona o zaštiti podataka o ličnosti postoji kada je u pitanju rukovanje sa podacima zaposlenih. Nekako se svim poslodavcima čini da je potpuno normalno da firma potpuno slobodno rukuje svim informacijama koje se odnose na zaposlene.
Kako za portal Biznis.rs objašnjava advokat Bojan Stanivuk, firma može, uz sva poštovanja procedura u vezi sa čuvanjem svih podataka o zaposlenima njima da rukuje. Za to joj nije potrebna prethodna saglasnost zaposlenih.
Međutim, kako većina firmi u Srbiji ima praksu da autsorsuje razne druge firme kako bi, umesto nje, obavile prateće poslove, u tom segmentu, upozorava Stanivuk, može doći do kršenja Zakona o zaštiti podataka o ličnosti.
„Čak i ukoliko kompanija angažuje, recimo, računovodstvenu agenciju da umesto nje vrši obračune zarada, za davanje podataka o svakom zaposlenom pojedinačno mora postojati njegova pismena saglasnost. U slučaju da zaposleni ne daje saglasnost za deljenje njegovih ličnih podataka sa firmom koja bi trebala da vrši obračun, poslodavac će biti u prekršaju“, objašnjava Stanivuk.
Zakonom je izričito zabranjena obrada sledećih podataka: onih koji se tiču rasnog ili etničkog porekla, političkog mišljenja, religijskih uverenja, članstva u sindikatu, biometrijski podaci u cilju identifikacije osobe, podaci o zdravlju, kao i seksualnoj orijentaciji pojedinca.
Poslodavac dolazi u dodir ili mora imati određene podatke o zaposlenima, a čija je obrada zabranjena, poput podataka o zdravlju imajući u vidu da radnik mora doneti doznake kojima se pravda izostanak sa posla od strane lekara, ali nikako ne sme te podatke, a posebno ne šifru bolesti deliti sa bilo kim. Takođe, poslodavac mora imati biometrijske podatke o svojim zaposlenima, ali njih sme deliti sa drugima isključivo uz pismenu saglasnost zaposlenog.