GDPR i podaci stranih radnika: Što smijete pohraniti, kako dugo i kako zaštititi

Zapošljavanje stranaca donosi specifičan GDPR izazov koji mnogi HR odjeli podcjenjuju: uz standardnu personalnu dokumentaciju radnika, prikupljate i obrađujete iznimno osjetljive kategorije podataka — kopije putovnica, boravišnih dozvola, biometrijske podatke, informacije o zdravlju i obiteljskim vezama.

Prema Uredbi (EU) 2016/679 (GDPR) i Zakonu o provedbi GDPR-a RH, svaki poslodavac koji obrađuje osobne podatke mora imati valjanu pravnu osnovu, informirati radnika i poštivati stroga pravila o pohrani i zaštiti tih podataka.

1. Koje kategorije podataka prikupljate od stranaca

Standardni podaci (ne posebne kategorije): • Ime i prezime, datum i mjesto rođenja • Adresa boravišta u RH • Kontaktni podaci (telefon, email) • Podaci o obrazovanju i radnom iskustvu • Podaci o bankovnom računu (za isplatu plaće)

Posebne (osjetljive) kategorije podataka: • Kopije putovnice — sadrže biometrijske podatke • Boravišni dokumenti — sadrže podatke o imigracijskom statusu • Radne dozvole — pravni status • Zdravstveni podaci (potvrde o zdravstvenim pregledima, HZZO kartica) • Podaci o bračnom stanju i djeci (za spajanje obitelji) • Osuđivanost (potvrda o neosuđivanosti — posebna kategorija)

Kopija putovnice smatra se biometrijskim podatkom prema GDPR-u jer sadrži fotografiju i jedinstvene identifikacijske podatke. Obradu biometrijskih podataka dopuštena je samo uz strogo definiranu pravnu osnovu — najčešće zakonska obveza (Zakon o strancima).

2. Pravne osnove za obradu

Za svakog radnika i svaku kategoriju podataka mora postojati jedna od šest GDPR pravnih osnova:

• **Radni ugovor, plaća, HZMO/HZZO** — pravna osnova: ugovorni odnos (čl. 6(1)(b)); bez pristanka — nužno za izvršenje
• **Kopija putovnice, dozvole** — pravna osnova: zakonska obveza (čl. 6(1)(c)); Zakon o strancima zahtijeva čuvanje kopija
• **Podaci o zdravlju** — pravna osnova: zakonska obveza (zaštita na radu); samo ono što je propisano zakonom
• **Fotografije za HR dosije** — pravna osnova: pristanak (čl. 6(1)(a)); pismeni pristanak — slobodan i opoziv

3. Rokovi pohrane podataka

GDPR zahtijeva da se podaci ne pohranjuju dulje nego je nužno za svrhu za koju su prikupljeni:

• **Radni ugovor i plaćni listići** — 6 godina od prestanka radnog odnosa (porezni rokovi)
• **Kopije radnih dozvola i boravišnih dokumenata** — za trajanja radnog odnosa + 3 godine (inspekcijska provjera)
• **Zdravstveni podaci o ozljedama na radu** — 40 godina (posebni zakonski rokovi)
• **Dokumenti koji nisu zakonom propisani** (npr. životopis) — 6 do 12 mjeseci od završetka selekcijskog procesa

4. Obveza informiranja radnika

Prije ili najkasnije pri potpisivanju ugovora, svaki radnik mora primiti Obavijest o obradi osobnih podataka (Politiku privatnosti za radnike) na jeziku koji razumije. Dokument mora sadržavati:

• Koji podaci se prikupljaju i zašto
• Na kojoj pravnoj osnovi
• Koliko dugo se čuvaju
• S kime se dijele (agencije, inspekcija, HZMO itd.)
• Prava radnika (pristup, ispravak, brisanje, prigovor)
• Kontakt DPO-a (Službenika za zaštitu podataka) ako ga imate

Obavijest o obradi podataka mora biti na jeziku koji radnik razumije. Za radnike iz Filipina/Nepala/Indije preporuča se engleski ili jezik koji radnik navede. Ulaganje u prijevod je mali trošak s velikim pravnim učinkom.

5. Zaštita podataka — tehničke i organizacijske mjere

Puka pohrana podataka nije dovoljna — morate ih i adekvatno zaštititi:

• Fizički HR dosijei: zaključani ormarići, pristup samo ovlaštenim osobama
• Digitalni dosijei: zaštita lozinkom, šifriranje, pristup samo HR osobama
• Email slanje dokumenata: šifrirani PDF ili zaštićeni share link (ne privitak bez zaštite)
• Brisanje kopija putovnica od neovlaštenih mjesta (teamovi, grupne poruke, slobodni share-ovi)
• Pohrana u cloudu: samo kod pružatelja koji jamče GDPR usklađenost (EU serveri)

6. Posebni scenariji za strance

Dijeljenje podataka s agencijom: ako surađujete s agencijom za zapošljavanje (npr. Humble Hunters), agencija je obraditelj podataka u vašem ime. Morate potpisati Ugovor o obradi podataka (Data Processing Agreement) kojim definirate uvjete obrade.

Prijenos podataka izvan EU: ako šaljete dokumente radniku u matičnu zemlju (Filipini, Nepal, Indija) ili konzulatu — to je prijenos osobnih podataka u treće zemlje. Dopušteno je pod uvjetom da je nužno za zakonski proces (viza, dozvola), uz bilješku u evidenciji aktivnosti obrade.

Trebate stručnu podršku pri zapošljavanju stranaca? Humble Hunters prati sve zakonske promjene i brine se da vaš proces bude potpuno usklađen s hrvatskim propisima.

*Ovaj sadržaj je informativne naravi i ne predstavlja pravni savjet. Za specifičnu pravnu situaciju savjetujte se s kvalificiranim pravnim stručnjakom.*