Seznanitev s podatki o plači
+ -Številka: 07121-1/2022/1478
Kategorije: Delovna razmerja, Pravica do seznanitve z lastnimi osebnimi podatki, Varnost osebnih podatkov
Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje glede seznanitve s podatki o plači. Sprašujete naslednje:
1. Ali je v zakonodaji oz. praksi določen krog oseb, ki sme imeti dostop do podatka o plačah zaposlenih?
2. Ali imate kot delavec pravico zahtevati podatek o tem, kdo ima dostop do podatkov o vaši plači oz. je kadarkoli vpogledal vanje in kako je to izvedljivo, če so podatki v fizični oz. elektronski obliki?
3. Če je krog oseb, ki imajo dostop do teh podatkov nepotrebno širok, kdo o tem presoja?
4. Kakšni bi lahko bili ukrepi ter ali je treba dokazovati škodo na sodišču?
***
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/20, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
Posameznik skladno z zakonodajo o varstvu osebnih podatkov ne more prejeti informacije o tem, kdo od zaposlenih vpogleduje v njegove osebne podatke. Skladno s Splošno uredbo pa lahko posameznik uveljavlja pravico dostopa do podatkov, ki se nanašajo nanj, v okviru katere lahko med drugim pridobi tudi informacije o uporabnikih ali kategorijah uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki (kamor pa se ne štejejo zaposleni pri upravljavcu).
V zvezi z morebitnimi kršitvami v zvezi z varstvom osebnih podatkov lahko podate prijavo pri IP. Sankcije za kršitve so določene v veljavnem zakonu o varstvu osebnih podatkov in jih v primeru kršitev izreče IP. Odškodnino lahko uveljavljate pred pristojnim sodiščem.
O b r a z l o ž i t e v:
Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
Pojasnjujemo, da lahko posameznik pri upravljavcu uveljavlja pravico dostopa posameznika po 15. členu Splošne uredbe. Prvi odstavek 15. člena Splošne uredbe določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in nekatere informacije, med drugim tudi uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah. Kot smo že večkrat izpostavili v mnenjih, se zaposleni pri upravljavcu ne štejejo med uporabnike, glede katerih lahko posameznik prejme informacije o obdelavi podatkov. Tako mnenje je npr. mnenje št. 0712-1/2019/1828 z dne 5.8.2019, informacije o uporabnikih, s katerimi se lahko seznanite, pa so dostopne tudi na https://tiodlocas.si/pravica-do-seznanitve-kdo-so-uporabniki-s-katerimi-se-lahko-seznanim/. Obrazec, ki ga lahko uporabite pri uveljavljanju svoje pravice je dostopen na https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/ (Zahteva za seznanitev z lastnimi osebnimi podatki - obrazec SLOP). Glede načina posredovanja informacij prvi odstavek 12. člena Splošne uredbe določa, da se informacije posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno z elektronskimi sredstvi. Več o pravici dostopa posameznika, lahko preberete na spletni strani https://tiodlocas.si/. V primeru, da bi bila vaša zahteva za seznanitev z lastnimi osebnimi podatki zavrnjena ali upravljavec nanjo ne bi odgovoril v enomesečnem roku, lahko pri IP podate pritožbo.
Prav tako pojasnjujemo, da mora upravljavec skladno s 24., 25. in 32. členom Splošne uredbe določiti ustrezne tehnično-organizacijske ukrepe za zavarovanje osebnih podatkov, pri čemer mora med drugim poskrbeti tudi za to, da do podatkov ne dostopajo nepooblaščene osebe. Drugi odstavek 25. člena še veljavnega ZVOP-1 določa, da upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke. Podobne določbe novi Zakon o varstvu osebnih podatkov ki je bil dne 27. 12. 2022 objavljen v Uradnem listu RS št. 163/2022 in bo pričel veljati 26. 1. 2023, sicer ne vsebuje, vendar obveznost upravljavca, da glede na konkretne okoliščine in tveganja sam določi primerne ukrepe za zavarovanje osebnih podatkov (vključno s pooblaščenimi osebami za dostop do podatkov) po mnenju IP izhaja že iz samih določb Splošne uredbe.
Glede ukrepov se vnaprej IP v zvezi z domnevnimi kršitvami ne sme in ne more opredeljevati zunaj inšpekcijskega oz. prekrškovnega postopka, na splošno pa vam pojasnjujemo, da so sankcije za kršitve določene v ZVOP-1, oz. v novem ZVOP-2. Tako npr. 93. člen ZVOP-1 določa, da se z globo od 4.170 do 12.510 eurov kaznuje za prekršek pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost, če v skladu s tem zakonom obdeluje osebne podatke in ne zagotovi zavarovanja osebnih podatkov (24. in 25. člen ZVOP-1). Določene so tudi globe za odgovorno osebo pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost, za odgovorno osebo državnega organa ali organa samoupravne lokalne skupnosti, ter za posameznika, ki stori naveden prekršek.
95. člen ZVOP-2 določa, da se sankcije za kršitve, ki jih predpisuje Splošna uredba, izrekajo pravnim osebam, samostojnim podjetnikom posameznikom in posameznikom, ki samostojno opravljajo dejavnost kot globe za prekrške, v višini in razponih, kot jih določa Splošna uredba. Navedeno pomeni, da se lahko upravljavcu glede obveznosti po 25. in 32. členu Splošne uredbe, skladno s četrtim odstavkom 83. člena Splošne uredbe naloži upravna globa v znesku do 10 000 000 EUR ali v primeru družbe v znesku do 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji. Globe za odgovorne osebe in posameznike pa nadalje opredeljuje 96. člen novega ZVOP-2. Konkretna višina globe se za morebitni prekršek določi z upoštevanjem določenih dejavnikov, npr. narava, teža in trajanje kršitve, sprejeti ukrepi s strani upravljavca, predhodne kršitve, itd.
Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve Splošne uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo. Odškodnina za škodo se uveljavlja pred pristojnimi sodišči.
Predlagamo vam, da izkoristite zgoraj omenjeno pravico dostopa posameznika do vaših osebnih podatkov. V kolikor boste še vedno mnenja, da je šlo za nezakonit vpogled v vaše osebne podatke, oz. da gre za kršitev varstva osebnih podatkov, lahko podate prijavo na IP. Pomagate si lahko z obrazcem »Prijava kršitve varstva osebnih podatkov«, ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.
Upamo, da smo vam s podanimi napotili uspeli pomagati.
Mojca Prelesnik, univ. dipl. prav.,
informacijska pooblaščenka
Pripravila:
Barbara Žurej, univ. dipl. prav.,
svetovalka pooblaščenca za preventivo