Пођемо ли од чињенице да однос послодавца и запосленог није равноправан као у општем случају односа руковаоца података и лица на које се подаци односе, као и чињенице да послодавац има својеврстан монопол моћи над запосленим, више је него очигледно да се отвара једна врло изазовна област примене права за коју до сада у Србији није било превише интересовања
Заштита података о личности спада у корпус људских права и слобода који су загарантовани Уставом и заштићени законом. У условима високе стопе незапослености и велике несигурности сталног запослења, питања остваривања права на приватност и заштиту података о личности на радном месту у Србији, уз неколико часних изузетака, не заузимају високу позицију на листи приоритета, како запослених и синдиката, тако ни стручне јавности. Ипак, пратећи трендове пораста значаја приватности и освешћености појединаца и струковних удружења, може се очекивати да ће и број инцидената и спорова који укључују повреде приватности бити у све већем порасту.
Послодавац има оправдане и легитимне интересе да прикупља и обрађује податке о личности кандидата за запослење у сврху њиховог избора, с једне стране, и сопствених запослених, с друге, ради остваривања права и обавеза из рада и по основу рада, остваривања права и обавеза запосленог и послодавца утврђених законима и општим актима послодавца и у сврху одвијања других легитимних пословних активности послодавца. У појединим случајевима ова потреба подразумева и податке који се односе на чланове породице, верска уверења, чланство у синдикату, здравствено стање, начињене прекршаје или наводне прекршаје запосленог, судске поступке за стварне или наводне прекршаје запосленог и друге податке које закон категоризује као нарочито осетљиве податке о личности.
Пракса послодавца неретко се огледа и у њиховој потреби да техничким средствима прикупљају и обрађују податке о запосленима не би ли се тако обезбедила безбедност и заштита на раду, заштита имовине и информација, репутација и други легитимни пословни интереси самог послодавца. Тиме су по правилу обухваћени подаци контроле приступа просторијама, снимци безбедносног видео-надзора, подаци о ГПС праћењу возила, остварена комуникација преко службених телефона и других средстава електронских комуникација у власништву послодавца, садржај службене електронске поште и друге информације приватног карактера које се могу пронаћи на ИТ ресурсима у власништву послодавца.
Када се јаве у приватном сектору, набројане ситуације саме по себи већ су довољно деликатне, али своју пуну тежину добијају када се као послодавац појављује држава или орган јавне управе.
Имамо ли у виду и чињеницу да однос послодавца, с једне стране, и запосленог, односно кандидата за запослење, с друге, није равноправан као у општем случају односа руковаоца података и лица на које се подаци односе, као и чињеницу да послодавац има својеврстан монопол моћи над запосленим, више је него очигледно да се отвара једна врло изазовна област примене права за коју до сада у Србији није било превише интересовања.
Законски оквир
Чланом 42. Устава Републике Србије заштита података о личности зајемчена је као посебно људско право и слобода. Основи система заштите података о личности постављени су у Конвенцији Савета Европе о заштити лица у односу на аутоматску обраду података, а која је постала део унутрашњег правног поретка на основу Закона о потврђивању Конвенције о заштити лица у односу на аутоматску обраду података („Сл. лист СЦГ – Међународни уговори”, бр. 11/2005).
Конвенција утврђује принципе према којима лични подаци који се аутоматски обрађују морају да буду:
1) лојално и законито добијени и обрађени;
2) унети за тачно утврђене и легитимне сврхе и да се не користе ненаменски;
3) адекватни, релевантни и одговарајућег обима у односу на сврху за коју су и унети;
4) брижљиво сложени и, када је потребно, благовремени;
5) похрањени у облику који омогућује идентификацију заинтересованих лица у периоду који не премашује онај неопходан период за сврхе за које су и похрањени.
Детаљи система заштите података о личности уређени су Законом о заштити података о личности („Сл. гласник РС”, бр. 97/08 од 27. 10. 2008. и 104/09), који између осталог утврђује и услове за прикупљање и обраду података о личности, као и права лица и заштиту права лица чији се подаци прикупљају и обрађују, а која се сходно примењују и на запослене и послодавце, као руковаоце тим подацима.
Закон о заштити података о личности даје дефиницију податка о личности сматрајући га сваком оном информацијом која се односи на физичко лице, без обзира на облик у којем је тај податак изражен, начин његовог прибављања, носача информације, околности чувања и без обзира на нека друга својства те информације. Другим речима, податак о личности је информација било које врсте или садржине, ако се односи на физичко лице, а које је могуће идентификовати.
Појам података који се „односе” на лице врло је широко одређен. Подаци о личности нису ограничени на приватне и породичне податке и не постоји прописан начин на који ти подаци морају да се „односе” на појединца, да би се сматрали подацима о личности. Дефиниција података о личности, како је наводи закон, широка је и отворена, тако да само одређивање спада ли нека информација у категорију података о личности, у неким случајевима није сасвим једноставно.
Закон дефинише физичко лице као човека чији је идентитет одређен или га је могуће одредити на основу личног имена, јединственог матичног броја грађана, адресе, радног места или другог обележја његовог физичког, психолошког, духовног, економског, културног или друштвеног идентитета.
Закон даје и отворену дефиницију обраде података, као сваке оне радње предузете у вези с подацима као што су: прикупљање, бележење, преписивање, умножавање, копирање, преношење, претраживање, разврставање, похрањивање, раздвајање, укрштање, обједињавање, уподобљавање, мењање, обезбеђивање, коришћење, стављање на увид, откривање, објављивање, ширење, снимање, организовање, чување, прилагођавање, откривање путем преноса или на други начин чињење доступним, прикривање, измештање и на други начин чињење недоступним, као и спровођење других радњи у вези с наведеним подацима, без обзира на то да ли се врши аутоматски, полуаутоматски или на други начин.
Примењено на однос запосленог и послодаваца, Закон о заштити података о личности у члану 8. обраду података одређује као недозвољену:
– ако запослени није дао пристанак за обраду, односно ако се обрада врши без законског овлашћења;
– ако се врши у сврху различиту од оне за коју је одређена, без обзира на то да ли се врши на основу пристанка лица или законског овлашћења за обраду без пристанка;
– ако сврха обраде није јасно одређена, ако је измењена, недозвољена или већ остварена;
– ако је податак који се обрађује непотребан или неподесан за остварење сврхе обраде;
– ако су број или врста података који се обрађују несразмерни сврси обраде;
– ако је податак неистинит и непотпун, односно када није заснован на веродостојном извору или је застарео.
Јасно је да пристанак запосленог заузима кључно место у оцени да ли ће се обрада података о његовој личности сматрати дозвољеном или не. Према члану 10. Закона о заштити података о личности пуноважан пристанак за обраду може дати лице, након што га руковалац, у смислу одредбе члана 15. истог закона, претходно обавести о:
– сврси прикупљања и даље обраде података, начину коришћења података, идентитету лица или врсти лица која користе податке;
– обавезности и правном основу, односно добровољности давања података и обраде;
– праву да пристанак за обраду опозове, као и правне последице у случају опозива;
– правима која припадају лицу у случају недозвољене обраде.