Praćenje kretanja zaposlenih putem aplikacije (primer kompanije Deliveroo)
Praćenje kretanja zaposlenih
Tema zaštite (ali i zloupotrebe) ličnih podataka je veoma aktuelna poslednjih nekoliko godina u celom svetu. Neretko se javljanju pitanja nezakonitog pribavljanja i obrade podataka o ličnosti, saglasnosti na obradu podataka postale su deo svakodnevnice, a ugovori i svi drugi pravni poslovi posebnu pažnju posvećuju regulisanju ove teme. Ipak redovno iz sveta dolaze do nas informacije o propustima kada je u pitanju zakonito pribavljanje i obrada podataka o ličnosti i svedoci smo sve bogatije prakse nadležnih organa drugih država kada je sankcionisanje ovakvih radnji u pitanju. Korisne zanimljivosti u nastavku ovog teksta će pronaći pre svega kompanije u Srbiji koje se bave delatnošću dostave hrane, pića i druge robe, koju kupci poručuju on line.
Radno pravo i pravo zaštite podataka o ličnosti kao nerazdvojiva celina
Ovaj put poseban fokus ćemo staviti na temu zaštite podataka o ličnosti u radnim odnosima. Najnovija praksa poverenika za zaštitu podataka o ličnosti dolazi iz Italije.
Italijanski organ koji je nadležan za zaštitu podataka o ličnosti (Garante) je izrekao kompaniji Delivero kaznu u iznosu od 2.5 miliona evra zbog neosnovane obrade podataka o zaposlenima. Kako je utvrđeno ova kompanija je prikupljala upotrebom mobilne aplikacije podatke o kretanju zaposlenih.
Kompanija „Deliveroo“ bavi se dostavom robe kao što su hrana, piće i druge vrste robe, a koju kupci poručuju putem interneta, dok a vozači ove kompanije vrše kupovinu u objektima partnera i dostavljaju lično na željenu lokaciju kupcu. Ova kompanija ima sedište u Irskoj odakle se upravlja data centrom, a predstavlja jedan deo holdinga kojim upravlja Roofoods sa sedištem u Velikoj Britaniji.
Možda na prvi pogled nije zabrinjavajući niti čudan podatak da su zaposleni vozači ove kompanije u Italiji (ukupan broj oko: 8.000) u obavezi su da nakon potpisivanja ugovora na svom privatnom mobilnom uređaju instaliraju aplikaciju namenjenu Deliverovim vozačima. Ta aplikacija, kako je utvrđeno prikuplja sledeće podatke: lične podatke, podatke o porudžbini, podatke o plaćanju, podatke o vozilu, podatke o lokaciji. Zamisao aplikacije jeste da se njome može zakazivati radi i smena od strane vozača radi optimizacije rada, da se može pratiti efikasnost kompanije, brzina dostave i na kraju, za kompaniju možda i najbitnije, zadovoljstvo korisnika.
Tako aplikacija koristi lokaciju vozača u momentu kada mu bude dodeljena porudžbina, jer je zbog efikasnosti važna kada se u obzir uzima lokaciju restorana, kupca i prevoznog sredstva koje je vozač naveo da poseduje. Lokacija vozača se beleži u sistemu svakih 12 sekundi, radi što bolje efikasnosti.
Nadležni organ u Italiji je u vršenju nadzora utvrdio da prilikom pristupa sistemima, isti omogućava pristup svim vozačima u zemljama EU i izvan EU, dok su operaterima data uputstva da ne pristupaju ni u kom slučaju vozačima iz drugih zemalja. Podrazumevani pristup sistemu daje prikaz bez geografskog ograničenja.
U odluci kojom se kažnjava ova kompanija se navodi da je ista izvršila obradu podataka oko 8.000 vozača na način koji nije u skladu sa Opštom uredbom o zaštiti podataka o ličnosti Evropske unije (GDPR).
U čemu je propust?
U Politici privatnosti kompanija je izostavila da navede konkretne metode obrade podataka koji se odnose na geografski položaj vozača, iznoseći potpuno generičke i obmanjujući indikacije „kada je vaš status postavljen na „onlajn“. Dalje je u istom dokumentu narušeno načelo ograničenja čuvanja podataka jer se daje prilično zbunjujuća formulacija „Nećemo čuvati vaše podatke duže nego što mislimo da je potrebno“ što nije u skladu sa navodima iz Evidencije o obradi podataka u kojoj se navode različiti rokovi, ali kriterijumi za određivanje tih rokova nisu navedeni.
Utvrđeno je da rukovalac donosi odluke na osnovu automatizovane obrade, profilisanjem koristeći podatke o vozilu i geolokaciji, ovaj način donošenja odluka se koristi i prilikom prioritetnog izbora smene, te da rukovalac o ovom načinu obrade podataka nije pružio dodatne informacije o logici kao i o važnosti i očekivanim posledicama ovog načina obrade po lice čiji se podaci obrađuju.
Kompanija je donosila odluke na osnovu automatizovane obrade podataka, uključujući i profilisanje
Istraga je utvrdila da je ova kompanija donosila odluke na osnovu automatizovane obrade podataka, uključujući i profilisanje. Aplikacija koju su vozači koristili beležila je da li su vozači bili onlajn u smeni koju su prijavili, potom da li su preuzimali narudžbine da bi na taj način poslodavac favorizovao one zaposlene koji bi se na osnovu ovih kriterijuma bolje pozicionirali dajući im prednost prilikom izbora smene, jer taj izbor direktno utiče i na mogućnost zarade. Ovde je reč o povredi člana 22. Uredbe kojim je propisano da se donošenje odluka može zasnivati na profilisanju ukoliko je to neophodno za izvršenje ugovora između rukovaoca i lica na koje se podaci odnose, ali uz poštovanje dodatnih obaveza rukovaoca.
Danas Italija, sutra Srbija…
Premda se radi o uporednoj praksi, podsećamo ovom prilikom da ni domaće kompanije nisu izuzete od ovakvih propisa, te bi nepridržavanje istih moglo da dovede kompanije koje koriste isti model rada i prikupljanja podataka u nezavidnu poziciju. Neka ova odluka služi kao podsetnik domaćim kompanijama da preispitaju usklađenost poslovanja sa našim Zakonom o zaštiti podataka o ličnosti.
Povezani tekstovi:
Kontrolne liste poverenika- poslednji poziv za usklađivanje sa ZZPL
Irski organ za zaštitu podataka o ličnosti izrekao visoku kaznu za „WhatsApp“