01 Sep AZOP (Kroaci) – OPINION PËR PËRPUNIMIN E TË DHËNAVE PERSONALE TË PUNËTORËVE – SKANIMI I KARTAVE TË IDENTITETIT, KARTËS BANKARE
Komisionieri për mbrojtjen e të dhënave kroat deklaroi në një opinion këshillues se skanimi i identitetit dhe kartave bankare të punonjësve mund të mos bazohet në përputhjen me një detyrim ligjor sipas nenit 6(1)(c) të GDPR pasi asnjë ligj kombëtar nuk i kërkonte ta bënin këtë. Komisioneri përjashtoi gjithashtu vlefshmërinë e pëlqimit të punonjësit dhe mendoi se, ndërsa punëdhënësit mund të përdorin interesa legjitime sipas nenit 6(1)(f) të GDPR, ata duhet të jenë ende në përputhje me parimet e mbrojtjes së të dhënave sipas nenit 5 të GDPR.
Në Kroaci, shumë punëdhënës kërkojnë karta identiteti dhe karta bankare të punonjësve të tyre për t’i skanuar dhe ruajtur në të dhënat e tyre. Komisioneri kroat lëshoi një opinion mbi një përpunim të tillë të të dhënave personale të punëtorëve.
Ai vuri në dukje se që përpunimi të jetë i ligjshëm, duhet të ketë një bazë ligjore sipas nenit 6(1) të GDPR.
Së pari, Komisioneri shqyrtoi nëse përpunimi ishte i nevojshëm për respektimin e një detyrimi ligjor sipas nenit 6(1)(c) të GDPR. Ai vuri në dukje se kjo bazë ligjore duhet të përcaktohet nga ligji i Shtetit Anëtar ose i Bashkimit Evropian. Neni 29(1) i Ligjit të Punës kroate përcakton se të dhënat personale të punëtorëve mund të mblidhen, përpunohen, përdoren dhe u transmetohen palëve të treta vetëm nëse përcaktohet nga ky ose një ligj tjetër ose nëse është e nevojshme për qëllimin e ushtrimit të të drejtat dhe detyrimet e marrëdhënies së punës. Sa i përket të parës, ligji parashikon vetëm në nenin 5 që punëdhënësi është i detyruar të mbajë shënime që duhet të përmbajnë informacione për punëtorët dhe orarin e punës. Për këtë të fundit, nëse përpunimi është i nevojshëm për ushtrimin e të drejtave dhe detyrimeve të marrëdhënies së punës, neni 29(2) i atij ligji thotë se punëdhënësi duhet ta përcaktojë këtë paraprakisht me Rregulloren e Punës. Për këtë arsye, Komisioneri përcaktoi se ligji kroat i punës nuk vendos një detyrim ligjor për punëdhënësit për të kopjuar ose skanuar dokumentet e identitetit ose kartat bankare të punonjësve të tyre. Për rrjedhojë, neni 6(1)(c) GDPR nuk mund të përdoret si bazë ligjore për një përpunim të tillë të të dhënave personale.
Së dyti, Komisioneri shqyrtoi nëse pëlqimi mund të shërbente për të përmbushur bazën ligjore për përpunimin sipas nenit 6(1)(a) të GDPR. Ai doli në përfundimin që pëlqimi i të dhënave nuk mund të konsiderohet si një bazë ligjore për përpunimin e të dhënave personale të punonjësve ose punonjësve të mundshëm, përveç nëse ata mund të refuzojnë përpunimin pa pasoja negative për ta. Komisioneri vuri në dukje se punonjësit rrallëherë janë në një situatë që lirisht të japin, refuzojnë ose tërheqin pëlqimin e tyre për shkak të varësisë së tyre nga punëdhënësi. Prandaj, me përjashtim të rrethanave të jashtëzakonshme, punëdhënësit duhet të mbështeten në ndonjë bazë tjetër ligjore përveç pëlqimit.
Së fundi, Komisioneri vuri në dukje se punëdhënësit mund të përdorin potencialisht interesat e tyre legjitime si një bazë ligjore për përpunimin në fjalë sipas nenit 6(1)(f) të GDPR, megjithëse kjo do të varej nga mënyra se si do të arrihej ekuilibri midis interesave të tyre legjitime dhe interesave të punonjësve të tyre në një rast të veçantë. Megjithatë, ai paralajmëroi se edhe me një bazë ligjore të përshtatshme për përpunim, punëdhënësit do të duhet të respektojnë parimet e mbrojtjes së të dhënave sipas nenit 5 të GDPR, duke përfshirë parimin e minimizimit të të dhënave. Kjo kërkon që të dhënat personale duhet të jenë të përshtatshme, relevante dhe të kufizuara në atë që është e nevojshme në lidhje me qëllimet për të cilat ato përpunohen. Komisioneri dyshonte, për shembull, se numri i verifikimit (CSC, CVV ose HVS) i një karte bankare, e cila shërben si dëshmi e posedimit fizik të kartës në momentin e blerjes online, do të ishte informacion i nevojshëm për qëllimin e pagesës së pagës së punonjësit. Prandaj, nëse vërtetohet një interes legjitim për kopjimin ose skanimin e kartës bankare të punonjësit, duhet të zbatohen masat e duhura teknike në lidhje me të dhënat që nuk janë të nevojshme (për shembull, disa të dhëna mund të kenë nevojë të redaktohen).
burimi: gdprhub.eu