01 Set AZOP (Croazia) – PARERE SUL TRATTAMENTO DEI DATI PERSONALI DEI LAVORATORI – SCANSIONE DI CARTE D’IDENTITÀ E CARTE BANCARIE
L’autorità croata per la protezione dei dati ha dichiarato in un parere consultivo che la scansione della carta d’identità e della carta bancaria dei dipendenti non può essere basata sull’adempimento di un obbligo legale ai sensi dell’articolo 6, paragrafo 1, lettera c), del GDPR, poiché nessuna legge nazionale imponeva di farlo. La DPA ha inoltre escluso la validità del consenso del dipendente e ha affermato che, sebbene i datori di lavoro possano avvalersi di interessi legittimi ai sensi dell’articolo 6(1)(f) del GDPR, devono comunque rispettare i principi di protezione dei dati ai sensi dell’articolo 5 del GDPR.
In Croazia, molti datori di lavoro chiedono le carte d’identità e le carte bancarie dei loro dipendenti per scannerizzarle e conservarle nei loro archivi. Il DPA croato ha emesso un parere su questo tipo di trattamento dei dati personali dei lavoratori.
Il DPA ha sottolineato che per essere lecito, il trattamento deve avere una base giuridica ai sensi dell’articolo 6(1) del GDPR.
In primo luogo, il DPA ha valutato se il trattamento fosse necessario per adempiere a un obbligo legale ai sensi dell’articolo 6, paragrafo 1, lettera c), del GDPR. Ha osservato che tale base giuridica deve essere stabilita dal diritto degli Stati membri o dell’Unione. L’articolo 29, paragrafo 1, della legge croata sul lavoro stabilisce che i dati personali dei lavoratori possono essere raccolti, elaborati, utilizzati e trasmessi a terzi solo se ciò è stabilito da questa o da un’altra legge o se è necessario ai fini dell’esercizio dei diritti e degli obblighi del rapporto di lavoro. Per quanto riguarda il primo caso, la legge stabilisce solo all’articolo 5 che il datore di lavoro è obbligato a tenere registri che devono contenere informazioni sui propri lavoratori e sulle ore di lavoro. Per quanto riguarda il secondo, se il trattamento è necessario ai fini dell’esercizio dei diritti e degli obblighi del rapporto di lavoro, l’articolo 29, paragrafo 2, di tale legge stabilisce che il datore di lavoro deve stabilirlo in anticipo tramite il regolamento del lavoro. Per questo motivo, il DPA ha stabilito che la legge croata sul lavoro non impone ai datori di lavoro l’obbligo legale di copiare o scansionare i documenti d’identità o le carte bancarie dei propri dipendenti. Di conseguenza, l’articolo 6, paragrafo 1, lettera c), del GDPR non può essere utilizzato come base giuridica per tale trattamento dei dati personali.
In secondo luogo, l’autorità di protezione dei dati ha esaminato se il consenso potesse fungere da base giuridica per il trattamento ai sensi dell’articolo 6, paragrafo 1, lettera a), del GDPR. Ha ritenuto che il consenso non possa essere considerato una base giuridica per il trattamento dei dati personali di dipendenti o potenziali dipendenti, a meno che questi non possano rifiutare il trattamento senza conseguenze negative per loro. Il DPA ha sottolineato che i dipendenti sono raramente in grado di dare, rifiutare o ritirare liberamente il proprio consenso, data la loro dipendenza dal datore di lavoro. Pertanto, salvo circostanze eccezionali, i datori di lavoro devono basarsi su una base giuridica diversa dal consenso.
Infine, il DPA ha osservato che i datori di lavoro potrebbero potenzialmente utilizzare i loro legittimi interessi come base giuridica per il trattamento in questione ai sensi dell’articolo 6, paragrafo 1, lettera f), del GDPR, anche se ciò dipenderebbe da come si raggiungerebbe l’equilibrio tra i loro legittimi interessi e gli interessi dei loro dipendenti in un caso specifico. Tuttavia, ha avvertito che anche in presenza di una base giuridica adeguata per il trattamento, i datori di lavoro dovranno rispettare i principi di protezione dei dati ai sensi dell’articolo 5 del GDPR, compreso il principio di minimizzazione dei dati. Questo principio richiede che i dati personali siano adeguati, pertinenti e limitati a quanto necessario in relazione alle finalità per cui sono trattati. Il DPA dubitava, ad esempio, che il numero di verifica (CSC, CVV o HVS) di una carta bancaria, che serve come prova del possesso fisico della carta al momento dell’acquisto online, fosse un’informazione necessaria ai fini del pagamento dello stipendio del dipendente. Pertanto, se è stato dimostrato un interesse legittimo a copiare o scannerizzare la carta bancaria del dipendente, devono comunque essere attuate misure tecniche adeguate per quanto riguarda i dati non necessari (ad esempio, alcuni dati potrebbero dover essere redatti).
fonte: gdprhub.eu