Novosti
Pravna napomena: Ovaj tekst je informativnog karaktera i ne predstavlja pravni savjet. Za konkretnu situaciju preporučujemo konzultaciju s pravnikom ili službenikom za zaštitu osobnih podataka (DPO).
GPS nadzor službenih vozila u Hrvatskoj nije zabranjen, ali nije ni “automatski dopušten” samo zato što je vozilo u vlasništvu tvrtke. Kombinacija Opće uredbe o zaštiti podataka (GDPR), Zakona o provedbi Opće uredbe o zaštiti podataka (NN 42/2018) i Zakona o radu (NN 93/14, 127/17, 98/19, 151/22, 64/23) postavlja jasne okvire — i poslodavac ih je dužan poštivati.
U nastavku objašnjavamo na koje se pravne osnove poslodavac može osloniti, što AZOP (Agencija za zaštitu osobnih podataka) očekuje od tvrtki te koji minimalni interni dokumenti trebaju postojati prije ugradnje uređaja.
Pravna osnova: zašto je “legitimni interes” najčešći izbor
GDPR u članku 6. nabraja šest mogućih pravnih osnova za obradu osobnih podataka. Za GPS nadzor službenih vozila u praksi su relevantne dvije:
- čl. 6(1)(b) — obrada nužna za izvršavanje ugovora (npr. ako je riječ o vozilu koje se koristi za uslugu prijevoza i kupac plaća uslugu),
- čl. 6(1)(f) — legitimni interes poslodavca (zaštita imovine, organizacija rada, sigurnost vozača, dokaz o izvršenoj usluzi).
Privola zaposlenika (čl. 6(1)(a)) u radnom odnosu se u pravilu ne koristi kao osnova jer postoji neravnoteža moći između poslodavca i zaposlenika — AZOP i Europski odbor za zaštitu podataka (EDPB) opetovano upozoravaju da takva privola obično nije “slobodno dana”.
Praktično: većina tvrtki uvodi GPS nadzor na temelju legitimnog interesa, što znači da mora postojati pisana procjena u kojoj se vaga interes poslodavca u odnosu na prava i slobode zaposlenika.
Procjena učinka na zaštitu podataka (DPIA)
Kada je vjerojatno da obrada može prouzročiti visok rizik za prava i slobode pojedinaca, GDPR (čl. 35) zahtijeva izradu Procjene učinka na zaštitu podataka (DPIA). Sustavno praćenje lokacije zaposlenika može potpadati pod kriterij visokog rizika, posebno ako se kombinira s drugim podacima (vrijeme, ponašanje, radni sati).
DPIA nije čista formalnost — to je dokument u kojem poslodavac:
- opisuje obradu i njezinu svrhu,
- procjenjuje nužnost i razmjernost,
- identificira rizike za zaposlenike,
- predlaže mjere za smanjenje rizika.
Za male tvrtke s nekoliko vozila može biti dovoljna jednostavna procjena legitimnog interesa (LIA — Legitimate Interest Assessment). Za veće flote, posebno ako se prati ponašanje vožnje, savjetuje se puni DPIA.
Što kažu Zakon o radu i sudska praksa
Zakon o radu (čl. 29.) propisuje da poslodavac smije prikupljati, obrađivati i koristiti osobne podatke radnika samo ako je to određeno zakonom ili ako je to potrebno radi ostvarivanja prava i obveza iz radnog odnosa. Drugim riječima — i ako se pozivate na GDPR-ov legitimni interes, taj interes mora biti vezan uz radni odnos i vozilo, ne uz osobu izvan njega.
Hrvatska i europska sudska praksa pokazuju da je tajni nadzor zaposlenika gotovo uvijek neproporcionalan. Europski sud za ljudska prava u predmetu Bărbulescu protiv Rumunjske (2017.) jasno je istaknuo načela: zaposlenik mora biti unaprijed obaviješten o postojanju, opsegu i prirodi nadzora.
Što smiješ — što ne smiješ (orijentacijska tablica)
| Smiješ | Ne smiješ |
|---|---|
| Pratiti lokaciju vozila tijekom radnog vremena | Pratiti vozilo izvan radnog vremena bez jasne osnove |
| Bilježiti rute i zaustavljanja za poslovnu svrhu | Koristiti podatke za nadzor privatnog života |
| Koristiti podatke za izradu putnih naloga | Otkrivati podatke trećim stranama bez osnove |
| Postaviti geofencing oko poslovnih lokacija | Pratiti vozilo kada je vozaču dozvoljena privatna upotreba bez “private mode” opcije |
| Obavijestiti vozača o nadzoru u pisanom obliku | Implicirati da su zaposlenici “pristali” jer su potpisali ugovor |
| Čuvati podatke razdoblje koje je nužno za svrhu | Čuvati podatke “za svaki slučaj” neograničeno |
Minimalni interni dokumenti
Prije ugradnje sustava, tvrtka bi trebala imati:
- Pravilnik o korištenju službenih vozila i GPS nadzora — opisuje svrhu, opseg, korisnike i razdoblje čuvanja podataka.
- Pisanu obavijest zaposlenicima prema čl. 13. GDPR-a — informacija o voditelju obrade, svrsi, pravnoj osnovi, primateljima, rokovima, pravima.
- Procjenu legitimnog interesa (LIA) ili punu DPIA, ovisno o rizičnosti.
- Evidenciju aktivnosti obrade prema čl. 30. GDPR-a.
- Ugovor o obradi podataka (DPA) s pružateljem usluge GPS nadzora prema čl. 28.
Bez tih dokumenata, AZOP u slučaju prijave nema “ničega na što bi se osloniti” — sama činjenica da uređaj radi ne dokazuje da je obrada zakonita.
Razdoblje čuvanja podataka
GDPR ne propisuje konkretan rok, ali traži da podaci ne budu pohranjeni duže nego što je nužno za svrhu. Praksa u EU za fleet podatke najčešće je:
- pozicije i rute: 30–90 dana za operativne potrebe,
- izvještaji za obračun troškova: do isteka poreznih obveza (najčešće 6 godina prema Općem poreznom zakonu),
- alarmi i sigurnosni događaji: razdoblje potrebno za rješavanje incidenta.
Sustav bi trebao imati funkciju automatskog brisanja nakon definiranog roka.
Privatna upotreba službenog vozila
Ako se vozilo smije koristiti i privatno, situacija postaje osjetljivija. Tri uobičajena pristupa:
- Private mode (privatna vožnja) — vozač gumbom prebacuje uređaj u režim u kojem se ne bilježi detaljna ruta, već samo prijeđeni kilometri za obračun.
- Vremensko ograničenje — sustav prati samo unutar definiranog radnog vremena.
- Ograničenje pristupa — različite uloge u aplikaciji vide različite razine detalja.
Bez jednog od ovih mehanizama, GPS nadzor vozila u privatnoj upotrebi teško je opravdati.
FAQ
Smije li poslodavac u Hrvatskoj pratiti službeno vozilo GPS-om? Da, ako postoji jasna pravna osnova (najčešće legitimni interes prema čl. 6(1)(f) GDPR-a), ako su zaposlenici unaprijed pisano obaviješteni i ako je prikupljanje podataka razmjerno svrsi.
Treba li privola zaposlenika za GPS nadzor? U pravilu ne. Privola u radnom odnosu se ne smatra slobodno danom zbog neravnoteže moći. Koristi se legitimni interes ili druga pravna osnova.
Što je DPIA i tko je radi? DPIA je Procjena učinka na zaštitu podataka, propisana čl. 35. GDPR-a. Izrađuje je voditelj obrade (poslodavac), najčešće uz pomoć službenika za zaštitu podataka (DPO) ili vanjskog stručnjaka.
Mora li tvrtka imati službenika za zaštitu podataka (DPO)? DPO je obvezan u određenim slučajevima (čl. 37. GDPR-a), ali nije obvezan za svaku tvrtku koja ima GPS nadzor. Ipak, savjetuje se kontakt sa stručnjakom prije uvođenja sustava.
Smije li poslodavac vidjeti gdje sam bio vikendom službenim vozilom? Ako je vozilo u privatnoj upotrebi, sustav bi morao imati mehanizam koji to onemogućava (private mode ili vremensko ograničenje). U protivnom obrada nije razmjerna.
Koliko dugo se smiju čuvati GPS podaci? Samo onoliko koliko je nužno za definiranu svrhu. Operativni podaci najčešće 30–90 dana, podaci za obračun do isteka poreznih obveza.
Što ako vozač odbije voziti vozilo s GPS uređajem? Pitanje je individualno i savjetuje se razgovor uz prisustvo HR-a. Ako je sustav uveden transparentno i u skladu s pravilnikom, odbijanje obavljanja posla može imati posljedice po Zakonu o radu, ali svaki slučaj treba ocijeniti pojedinačno.
Zaključak i sljedeći korak
GPS nadzor službenih vozila u Hrvatskoj može biti vrlo koristan alat, ali samo ako je postavljen u skladu s GDPR-om i Zakonom o radu. Transparentnost, jasna svrha, razmjernost i pisani interni dokumenti — to su četiri stupa zakonitog nadzora.
Sljedeći korak: ako razmišljate o uvođenju GPS nadzora, BeeDigital može pomoći u tehničkom dijelu (odabir uređaja, ugradnja, aplikacija). Za pravni dio (pravilnik, DPIA, obavijest zaposlenicima) preporučujemo konzultaciju s pravnikom ili DPO-om — možemo predložiti vanjske suradnike s iskustvom u ovom području.
➡️ Pošaljite upit za besplatnu tehničku konzultaciju (30 min) o izboru sustava za vašu flotu.
