Savremene tehnologije značajno su izmenile način organizacije rada, posebno u kontekstu rada na daljinu.

Sa tim u vezi, potrebno je uskladiti upotrebu digitalnih alata za upravljanje radnim vremenom i nadzor nad zaposlenima, sa pravilima zaštite podataka o ličnosti.

U ovom članku analiziramo odluku italijanskog tela za zaštitu podataka o ličnosti („Garante“) br. 10128005 od 13. marta 2025. godine („Odluka“), kojom je utvrđeno niz povreda odredaba Opšte uredbe o zaštiti podataka („GDPR“) i relevantnih italijanskih propisa, zbog načina na koji je Poslodavac vršio GPS praćenje zaposlenih tokom rada na daljinu.

Odluka je značajna jer postavlja granice zakonitosti nadzora nad zaposlenima i obaveze poslodavaca u pogledu zaštite ličnih podataka i privatnosti zaposlenih.

Okolnosti slučaja

Regionalna agencija za poljoprivredni razvoj Kalabrije (“Poslodavac” ili “Rukovalac”) uvela je režim rada zaposlenih na daljinu, koji je podrazumevao obavezu zaposlenih da svakodnevno koriste aplikaciju za praćenje radnog vremena.

Konkretno, zaposleni su bili u obavezi da uključe geolokaciju na svojim uređajima (računaru ili telefonu), a ova aplikacija je prikupljala njihove geografske koordinate prilikom evidentiranja početka i kraja radnog vremena.

Poslodavac je koristio ove podatke kako bi proverio da li zaposleni obavljaju rad sa lokacija navedenih u njihovim pojedinačnim ugovorima o radu.

Pored napred opisanog praćenja, Poslodavac je vršio i ciljane kontrole koje su podrazumevale pozivanje zaposlenog u toku radnog vremena i zahtev zaposlenom da se isti dvostruko prijavi i odjavi putem aplikacije. Zaposleni je takođe bio u obavezi da pošalje mejl sa tačnom adresom na kojoj se nalazi pa bi Poslodavac zatim proverio da li se podaci iz mejla i aplikacije poklapaju.

U slučaju jednog zaposlenog, Poslodavac je na osnovu sprovedene ciljane kontrole pokrenuo disciplinski postupak protiv zaposlenog zbog uočene neusklađenosti između prijavljene lokacije rada i geolokacije utvrđene od strane Poslodavca tokom kontrole.

Zaposleni je podneo pritužbu Garante-u, tvrdeći da su ovim povređena njegova prava na zaštitu podataka o ličnosti.

U postupku pred Garante-om, Poslodavac je tvrdio da je ova praksa služila i organizacionim potrebama, potrebama zaštite bezbednosti i zdravlja zaposlenih te ostvarivanju konkretnih interesa koji se odnose na legitimne potrebe poslodavca kao i da su zaposleni dali pristanak za ovakvu obradu podataka.

Odluka

U sprovedenom postupku, Garante je utvrdio da je Poslodavac povredio odredbe GDPR i italijanskih propisa o radu i zaštiti podataka o ličnosti, na osnovu čega je izrekao novčanu kaznu.

Obrazloženje

Naime, italijanski propis o radu zabranjuje direktno i kontinuirano praćenje zaposlenih na radu putem geolokacije ili drugih tehnoloških sredstava. Ovakvo praćenje je dozvoljeno samo izuzetno u svrhe poput organizacionih potreba, bezbednosti i zdravlja na radu ili zaštite imovine, dok praćanje u konkretnom slučaju, prema oceni Poverenika, nije bilo takvog karaktera.

Da bi bila zakonita, ovakva obrada, prema oceni Garante-a, ne sme biti masovna i neselektivna, već se mora primeniti kao neinvazivna, srazmerna svrsi i tek kada su iscrpljene manje restriktivne mere.

Kako je u konkretnom slučaju reč o sistematskom prikupljanju preciznih lokacijskih podataka, Garante je ocenio da je ovakva obrada premašila ono što je bilo neophodno za upravljanje procesom rada na daljinu, te da je Rukovalac povredio načelo minimizacije podataka pri obradi (iz člana 5. stav 1. tačka c) GDPR).

Takođe, ovakva obrada, prema oceni Garante-a, nije ni u skladu sa evropskim standardima o zaštiti privatnosti na radnom mestu, budući da se istom zadire u privatni život zaposlenih, odnosno krši pravo na privatnost, garantovano članom 8. Evropske konvencije o ljudskim pravima, a što je potvrđeno i praksom Evropskog suda za ljudska prava.

Nadalje, iako je Rukovalac tvrdio da je obrada zasnovana na pristanku zaposlenih, Garante je ovu tvrdnju odbacio.

Pre svega, Garante je utvrdio da Rukovalac nije ispunio zahteve člana 13 GDPR-a, jer nije obezbedio odgovarajući nivo informisanosti zaposlenih o obradi ličnih podataka, budući da obaveštenje o obradi nije sadržalo sve obavezne elemente, zbog čega zaposleni nisu bili jasno, transparentno i potpuno upoznati sa konkretnim načinom obrade njihovih ličnih podataka.

Takođe, Garante je istakao da se u ovakvim situacijama, a kako je to potvrđeno smernicama Evropskog odbora za zaštitu podataka (European Data Protection Board – „EDPB“) i dosadašnjom praksom Poverenika, pristanak na obradu koji su zaposleni dali ne može smatrati slobodno datim (shodno članu 4. stav 11. GDPR) i s tim u vezi primenjivim osnovom obrade, budući da u kontekstu radnog odnosa ne postoji ravnoteža moći između poslodavca i zaposlenog, odnosno zaposleni je slabija ugovorna strana u ovom odnosu, pa se uzima da zaposleni ne može slobodno da odluči da li će dati ili uskratiti pristanak, pošto može osećati pritisak ili strah od posledica po njegov radnopravni status ili uslove rada.

Pri ovakvom stanju stvari, Garante je ocenio, da u konkretnom slučaju obrada nije sprovedena zakonito, pošteno i na transparentan način u odnosu na lice na koje se podaci odnose (načelo zakonitosti, poštenja i transparentnosti iz člana 5. stav 1. tačka a) i član 6. GDPR), kao i da podaci nisu bili prikupljeni u navedene odnosno legitimne svrhe (načelo ograničenja svrhe iz člana 5. stav 1. tačka b) GDPR) i najzad u skladu sa italijanskim propisom o radu i zaštiti podataka o ličnosti (član 88. GDPR).

Isto tako, Garante je utvrdio da Rukovalac nije implementirao tehničke i organizacione mere koje bi ograničile obradu samo na nužne podatke o ličnosti (zaštita podataka kroz dizajn i podrazumevane postavke iz člana 25. GDPR).

Kako je prikupljanje podataka bilo nezakonito, prema stavu Garante-a, i njihova dalja obrada u svrhu disciplinskih postupaka takođe je bila nezakonita.

Najzad, Garante posebno naglašava obavezu rukovaoca u pogledu sprovođenja postupka procene uticaja obrade na zaštitu podataka (shodno članu 35. GDPR), koja je u konkretnom slučaju propuštena da se ispuni kao neophodna, s obzirom na to da obrada geolokacijskih podataka zaposlenih u kontekstu rada na daljinu predstavlja visok rizik za prava i slobode zaposlenih, posebno imajući u vidu “ranjivost” zaposlenih u radnom okruženju i sistematski nadzor koji je sproveden, a kako to i smernice EDPB-a predviđaju.

Zaključak

Odluka Garante-a potvrđuje da praćenje zaposlenih putem GPS mora biti izuzetno pažljivo planirano, srazmerno i zakonito, uz poštovanje načela iz GDPR-a, naročito načela zakonitosti, transparentnosti, minimizacije i ograničenja svrhe, te zaštite podataka kroz dizajn i podrazumevane postavke.

Argumentacija Garante-a u potpunosti je primenjiva na domaće prilike, imajući u vidu da Zakon o zaštiti podataka o ličnosti Republike Srbije prati logiku i konkretna pravna rešenja GDPR-a, a Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti svoju praksu temelji upravo na praksi evropskih tela za zaštitu podataka o ličnosti.

Posebno je važno naglasiti da pristanak zaposlenih na ovakvu obradu podataka o ličnosti ne može biti smatran slobodno datim, te da rukovaoci moraju pronaći drugi odgovarajući pravni osnov za obradu podataka.

Takođe, propuštanje sprovođenja procene uticaja obrade na zaštitu podataka u slučajevima kada obrada uključuje sistematski nadzor i visok rizik, kao što je to slučaj sa GPS praćenjem u radnom okruženju, predstavlja ozbiljnu povredu.

Dakle, nadzor nad zaposlenima mora biti utemeljen na zakonitim osnovama i sproveden u skladu sa principima zaštite privatnosti i s tim u vezi dostojanstva zaposlenih na radu.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.