Delovno razmerje, socialna omrežja
+ -Številka: 0712-1/2019/2664
Kategorije: Delovna razmerja, Fotografije kot OP, Pravne podlage, Privolitev
Informacijski pooblaščenec (v nadaljevanju: IP) je po elektronski pošti prejel vaše zaprosilo za mnenje v zvezi s kršitvijo osebnih podatkov. Zanima vas, ali vam sme vaš delodajalec naložiti, naj primete kozarce, da boste pili in se fotografirali in da potem te fotografije objavi kot del marketinga na socialnih omrežjih, s tem dela promocijo z delavci, zastonj. Zanima vas, zakaj to ni sankcionirano.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; v nadaljevanju: ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 - ZUstS-A; ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora ali upravnih postopkov konkretnih obdelav osebnih podatkov ne more presojati.
IP vam posreduje to neobvezno mnenje z vidika svojih pristojnosti in področja, ki ga nadzoruje. Glede morebitnih vprašanj v zvezi z delovnopravnimi pravicami in obveznostmi, IP ni pristojen.
Obdelava in varstvo osebnih podatkov delavcev sta (tudi za zasebni sektor) posebej urejena v področnih zakonih, v Zakonu o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06; v nadaljevanju: ZEPDSV) in Zakonu o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16 in 15/17 – odl. US; v nadaljevanju: ZDR). Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje, zaradi česar na tem področju praviloma niti v zasebnem sektorju (kjer sta zakonsko dovoljenje in posameznikova osebna privolitev načeloma izenačena) ne dopušča avtonomije strank v smislu, da bi delodajalec lahko brez podlage v zakonu od delavca zahteval katerekoli osebne podatke ali jih obdeloval na drugi pravni podlagi (npr. privolitev, pogodba). Delodajalec mora za vsak podatek, ki ga zahteva od delavca, izkazati, da njegovo obdelavo določa zakon ali da ga potrebuje za izvrševanje pravic in obveznosti iz delovnega razmerja.
ZDR v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člen določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.
Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.
Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave. Pri tem mora upoštevati načelo sorazmernosti in nabor osebnih podatkov prilagoditi delovnemu mestu.
Delodajalec lahko obdeluje tiste delavčeve osebne podatke, ki jih določa ZEPDSV in v skladu z 48. členom ZDR-1 tiste osebne podatke, za katere izkaže, da jih potrebuje zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravice in obveznosti obeh, torej delavca in delodajalca.
Osebna privolitev delavca (priporočena je pisna privolitev, ker je v primeru spora enostavno dokazljiva) je dopustna le izjemoma pod pogojem, da zavrnitev soglasja nima posledic na delovno razmerje oziroma na delavčev pravni položaj. Privolitev namreč ne sme biti pogojevana ali izsiljena, temveč mora biti povsem prostovoljna. Zbiranje osebnih podatkov na podlagi privolitve je dopustno le, če ni res nobenega dvoma o prostovoljnosti privolitve.
Privolitev je lahko veljavna le, če ima posameznik, na katerega se osebni podatki nanašajo, resnično izbiro in če ne obstaja nevarnost zavajanja, ustrahovanja, prisiljevanja ali negativnih posledic, če privolitve ne da. Če posledice privolitve ogrožajo svobodno izbiro posameznikov, potem privolitev ni prostovoljna.
Delodajalec lahko torej od delavca zbira le tiste osebne podatke, ki jih določa zakon (ZEPDSV, ZDR-1 ali drug področni zakon) in tiste osebne podatke, za katere ima veljavno osebno privolitev delavca. Ob tem je treba poudariti, da je obdelava osebnih podatkov delavca na podlagi njegove osebne privolitve dopustna le, če lahko delavec privolitev brez posledic za delovno razmerje odkloni.
IP pojasnjuje še, da je pristojen le za tisti del pravice do zasebnosti, ki se nanaša na varstvo osebnih podatkov in ki ga ureja 38. člen Ustave Republike Slovenije (Uradni list RS, št. 33/91-I in naslednji; v nadaljevanju Ustava RS). Če se primer nanaša na del širše pravice do zasebnosti, katere meje so začrtane v 35. členu Ustave RS (varstvo pravic zasebnosti in osebnostnih pravic). Kljub temu, da je IP načeloma pristojen za nadzor nad izvajanjem zakona in drugih predpisov, ki urejajo varstvo osebnih podatkov, vsi osebni podatki sami po sebi ne uživajo zaščite po Splošni uredbi in ZVOP-1, temveč so te zaščite deležni le v primeru, če so del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, kot to določa prvi odstavek člena 2 Splošne uredbe.
Objava slik na spletni strani Facebooka s strani fizične osebe bi glede na zgornje določbe lahko pomenila kršitev ZVOP-1 in Splošne uredbe le v primeru, če bi se objavljale in pošiljale slike in podatki, ki izvirajo iz varovanih zbirk osebnih podatkov.
V primeru kršitev je možno tudi varstvo po obligacijskem pravu ter v skrajnih primerih (suma storitve kaznivih dejanj) tudi po kazenskem zakoniku.
V primeru, da ne gre za kršitev določb Splošne uredbe in ZVOP-1 (to lahko IP presoja le v okviru inšpekcijskega postopka), IP opozarja, da takšno dejanje lahko morebiti predstavlja poseg v zasebnost posameznika v smislu 35. člena Ustave RS, ki zagotavlja nedotakljivost človekove zasebnosti ter osebnostnih pravic, za kršitev katerih vam je zagotovljeno sodno varstvo pred pristojnimi sodišči. Tako lahko v primeru, ko ste prepričani, da se z določenim dejanjem posega v vaše osebnostne pravice, pri sodišču vložite zahtevo za prenehanje s kršitvami osebnostnih pravic, skladno z določbami 134. člena Obligacijskega zakonika (Uradni list RS, št. 83/01 s spremembami; v nadaljevanju OZ), z namenom, da sodišče odredi prenehanje dejanja, s katerim se krši nedotakljivost človekove osebnosti, osebnega in družinskega življenja ali kakšna druga osebnostna pravica, da prepreči tako dejanje ali da odstrani njegove posledice. Poleg tega lahko posameznik v primeru, da je z ravnanjem druge osebe prišlo do občutnega posega v posameznikovo zasebnost in je posamezniku zaradi tega nastala škoda, na podlagi 179. člena OZ vloži tožbo pred pristojnim sodiščem in od povzročitelja škode zahteva denarno odškodnino.
Posameznik ima tudi kazenskopravno varstvo pred sodiščem v primeru, če storitev pomeni storitev katerega od kaznivih dejanj zoper čast in dobro ime iz osemnajstega poglavja Kazenskega zakonika (Uradni list RS, št. 50/12-UPB2; v nadaljevanju: KZ-1), kjer so v členih 158. do 162. določeni elementi kaznivih dejanj, kot so npr. razžalitev, obrekovanje, žaljiva obdolžitev, opravljanja in očitanje kaznivega dejanja z namenom zaničevanja, pri čemer pa je potrebno opozoriti, da se pregon za navedena kazniva dejanja začne na zasebno tožbo (168. člen KZ-1).
Glede na vse navedeno IP pojasnjuje, da lahko inšpekcijski postopek uvede le, ko za to obstaja utemeljen sum kršitve določb ZVOP-1 in ko je to v javnem interesu. To bi v vašem opisanem primeru pomenilo, da bi inšpekcijski postopek lahko uvedel le v primeru, ko bi obstajali dokazi, da je posameznik objavil fotografije na Facebook iz varovane zbirke osebnih podatkov. Če menite, da je tako, potem lahko pri IP podate prijavo. Na spletni strani IP najdete vse o prijavi:
https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave/
IP na koncu dodaja še to, da v primeru, če je objavljena vsebina neprimerna, daje Facebook samim uporabnikom svoje spletne strani možnost prijave neprimerne vsebine na svoji spletni strani. Predlagamo, da če menite, da je podan tak primer, primarno uveljavljate kršitev neprimerne vsebine pri samem upravljavcu (t.j. Facebook).
Več podatkov o možnosti prijave oziroma načinu prijave takšnih vsebin je dosegljivo na spletni strani:
https://www.facebook.com/help/www/181495968648557?ref=u2u
V upanju, da ste dobili odgovor na vprašanje, vas lepo pozdravljamo.
Pripravila:
Urška Črnič, univ. dipl. prav.,
Svetovalka informacijske pooblaščenke
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka