Može li škola dijeliti platne liste svojih zaposlenika Gradu bez njihove privole? Upravo to se dogodilo u Osnovnoj školi X, gdje je v.d. ravnatelja Gradu Y dostavio platne liste čak 18 zaposlenika. Bez pravne osnove, bez suglasnosti i bez zakonskog uporišta.

Agencija za zaštitu osobnih podataka (AZOP) utvrdila je da je time došlo do povrede članka 5. i članka 6. Opće uredbe o zaštiti podataka (GDPR) i školi izrekla novčanu kaznu od 2.000 eura. No, ono što je u cijelom slučaju najviše zabrinjavajuće jest činjenica da su iz tih podataka mogli biti izvedeni brojni osjetljivi zaključci o samim zaposlenicima – od članstva u sindikatu, preko kreditnih zaduženja i administrativnih zabrana, pa sve do obiteljskih prilika. Drugim riječima, u tuđim rukama završili su podaci koji se tiču najintimnijih aspekata njihovih života.

Kako su platne liste zaposlenika škole završile u tuđim rukama?

Priča je započela kada su se djelatnici, zastupani po odvjetnici, požalili da su njihove platne liste završile u rukama Gradskog ureda za unutarnju reviziju i kontrolu. Saznali su da je nad njima navodno pokrenut nekakav nadzor, no nikada nisu dobili objašnjenje na temelju čega i kojim aktom. Grad Y, kako je kasnije utvrđeno, nije imao zakonsko pravo tražiti takve podatke – a škola ih nije smjela dostaviti. Ministarstvo financija u svom mišljenju jasno je naglasilo da Grad Y nije ovlašten provoditi financijski nadzor nad sredstvima koja dolaze iz državnog proračuna.

Unatoč pokušaju djelomične “anonimizacije”, AZOP je zaključio da je ona bila neučinkovita. Platne liste sadržavale su dovoljno informacija da se lako otkrije o kome se radi i kakva je njegova osobna situacija. Time je povrijeđeno pravo zaposlenika na privatnost, ali i narušeno povjerenje u institucije koje bi trebale postupati zakonito i transparentno.

Zaposlenici bez znanja ostali bez kontrole nad svojim podacima

Za zaposlenike, cijela situacija nije bila samo suhoparno pravno pitanje, već ozbiljan osjećaj povrede i nelagode. “Kad znate da netko izvana ima uvid u vašu plaću, kredite ili sindikalnu pripadnost, imate osjećaj da je vaš život stavljen na stol bez vašeg pristanka”, istaknuli su u predstavci podnositelji. Upravo to i jest srž GDPR-a – zaštititi ljude od takvih situacija.

“Da je škola u ovom slučaju sklopila ugovor sa službenikom za zaštitu podataka koji poznaje propise i pravila, zaposlenici nikada ne bi doživjeli ovakav oblik povrede privatnosti”, komentirala je odvjetnica Sunčica Lončar. Prema njezinim riječima, uloga službenika za zaštitu podataka nije samo formalna, već i ključna u svakodnevnom radu institucija. On je prva linija obrane od nezakonitih zahtjeva i postupanja.

Nažalost, ovo nije jedini ovakav slučaj. Škole, ali i drugi javni subjekti, gotovo svakodnevno primaju različite zahtjeve za dostavom podataka. U tom valu zahtjeva nije uvijek lako procijeniti što se mora, a što ne smije dostaviti. No, upravo zato postoje pravila, i upravo zato postoje stručnjaci koji znaju kako postupiti. Jer jednom kad povreda nastane – štetu snose zaposlenici, a odgovornost institucija postaje neizbježna.

📄 Rješenje AZOP-a o kazni Osnovnoj školi X dostupno je ovdje.

*Naslovna slika preuzeta s  Facebook CDN