Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Izjava zaposlenih

+ -
Datum: 19.12.2019
Številka: 0712-1/2019/2922
Kategorije:Delovna razmerja, Zavarovanje osebnih podatkov

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje. Pojasnjujete, da delavcem, ki obdelujejo posamezne zbirke osebnih podatkov že od uveljavitve Splošne uredbe (ang. GDPR) dajete v podpis izjave, razvidne iz priloge. Eden od delavcev, ki se je zaposlil na novo in ima dostop do velikega števila zbirk osebnih podatkov izjave noče podpisati. Navaja, da delodajalec za zbiranje tovrstnih izjav nima pravne podlage. Navedel je, da  je takšno tudi stališče Informacijskega pooblaščenca.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

Iz priložene izjave izhaja, da gre za izjavo s katero zaposleni izjavi, da se strinja, da bo spoštoval interna pravila in zakonodajo s področja varstva osebnih podatkov. IP v okviru mnenja ne more konkretno komentirati skladnosti priložene izjave z zakonodajo, slednje lahko presoja le v inšpekcijskem postopku. Na splošno IP lahko pojasni, da delodajalci s tovrstnimi zlasti izpolnjujejo svojo obveznost glede varne obdelave osebnih podatkov, ki zahteva sprejem ustreznih tehničnih in organizacijskih ukrepov s katerimi se prepreči nepooblaščen dostop, kopiranje, posredovanje, izgubo podatkov, itd. (torej zlasti obveznosti po členih 29 in 32 Splošne uredbe ter 24. člen ZVOP-1). V navedeni okvir sodi tudi sprejem ustreznih politik varstva osebnih podatkov (npr. pravilnik o varni obdelavi osebnih podatkov). Da bi delodajalec zagotovil varno obdelavo osebnih podatkov je dolžan zaposlene seznaniti s pravili glede obdelave osebnih podatkov (zakonodajo in internimi pravili), kar se v praksi izkazuje tudi prek podpisane izjave, v kateri zaposleni izjavi, da je bil seznanjen s pravili varstva osebnih podatkov, ki jih prevzema delodajalec in da bo v primeru kršitev lahko soočen z disciplinskimi sankcijami ali drugimi posledicami. Takšna izjava torej ni sporna z vidika Splošne uredbe, saj prek nje upravljavec (delodajalec) izkazuje, da je zaposlene ki rokujejo z osebnimi podatki seznanil s pravili glede obdelave osebnih podatkov, ki jim morajo slediti. IP ob tem še poudarja, da zavrnitev podpisa tovrstne izjave ne razbremenjuje odgovornosti upravljavca in oseb, ki delujejo po njegovim vodstvom, da bi spoštovali pravila na področju varstva osebnih podatkov.

IP ob navedenem še dodaja, da v praski opaža, da prihaja do nejasnosti v zvezi izjavami, s katerimi se zagotavlja varna obdelava osebnih podatkov in drugimi izjavami, s katerimi delodajalec informira zaposlene glede obdelave njihovih osebnih podatkov in izjavami, na podlagi katerih se zbira privolitev zaposlenih. Treba je torej ločiti med različnimi obveznostmi, ki jih nalaga Splošna uredba in sicer:

  • Obveznost zagotavljanja varne obdelave osebnih podatkov (zlasti člena 29 in 32 Splošne uredbe),
  • Informiranje posameznikov (zaposlenih) z obdelavami osebnih podatkov, ki se nanašajo na zaposlene (člena 13 in 14 Splošne uredbe),
  • Izjemoma zbiranje privolitev kot podlage za obdelavo osebnih podatkov (člen 6(1)(a) oziroma 9(2)(a) Splošne uredbe).

Pri tem je treba zlasti še poudariti, da privolitev, ki delodajalcu zagotavljajo pravni temelj za obdelavo osebnih podatkov, ne gre zamenjevati drugimi navedenimi z izjavami. Privolitev kot pravna podlaga za obdelavo osebnih podatkov mora biti prostovoljna in lahko pride v poštev zgolj izjemoma (če je narava obdelave takšna, da z zavrnitvijo zaposleni ne bi zapadel v slabši položaj). Kljub temu, da v delovnih razmerjih privolitev praviloma ni ustrezna pravna podlaga zaradi nesorazmerja moči med delodajalcem in delavcem, lahko za obdelavo osebnih podatkov obstaja druga ustrezna pravna podlaga. Pravne podlage za obdelavo osebnih podatkov v delovnih razmerjih ureja Splošna uredba, področni predpisi in drugi uporabljivi pravni akti. Podrobnejši pregled zakonodaje, ki ureja podlage za obdelave osebnih podatkov v delovnih razmerjih je predstavljen v smernicah IP (Varstvo osebnih podatkov v delovnih razmerjih, str. 5-8).

Od vsega navedenega pa je treba ločiti tudi obveznost delodajalca, da zagotavlja zaposlenim kot posameznikom o katerih zbira in obdeluje osebne podatke tudi informacije skladno s členoma 13 in 14 Splošne uredbe. Obveznost informiranja velja v vseh primerih obdelav osebnih podatkov (ne glede na pravno podlago), razen ko veljajo izjeme predpisane v členih 13(4) in 14(5).

Da bi se izognili zmedi na tem področju, IP predlaga ločenost omenjenih izjav. Zaposlene dolžnost spoštovanja predpisov veže ne glede na podpis izjave, vsekakor pa gre nedvomno tudi za del delovnih obveznosti. Delodajalec sam opredeljuje ukrepe v primeru nespoštovanja ukrepov, ki jih ima opredeljene v zvezi z zagotavljanjem varstva osebnih podatkov.

Lep pozdrav,

Informacijski pooblaščenec

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

Pripravil:                                                                                 

Anže Novak, univ. dipl. prav.                                       

Svetovalec Pooblaščenca za preventivo