Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Mnenje Informacijskega pooblaščenca v zvezi z obdelavo osebnih podatkov pri uporabi aplikacije za spremljanje dela na domu s strani delodajalca

+ -
Datum: 21.04.2020
Številka: 07121-1/2020/519
Kategorije: Delovna razmerja, Informiranje posameznika, Pravne podlage

Na Informacijskega pooblaščenca (v nadaljevanju IP) ste se obrnili z vprašanjem v zvezi zbiranjem osebnih podatkov zaposlenih, ki naj bi jih delodajalec med trajanjem vašega dela na domu, zbiral s pomočjo posebne aplikacije. Navedli ste, da vam je delodajalec v teh kriznih časih odredil delo od doma. To naj bi storil samo po email-u, tako da vam je dal pisni napotek, da v naslednjih 14 dneh delate od doma. Prva dva tedna naj bi bilo potrebno oddajati poročila pisno po elektronski pošti, tako da ste napisali nekaj alinej kaj ste počeli tisti dan. Za nadaljevanje dela od doma pa naj bi delodajalec od vas zahteval, da si naložite aplikacijo _____ Ko ste se o njej pozanimali na spletu naj bi ugotovili, da ta aplikacija posega kar globoko v človekove pravice (beležila naj bi katere spletne strani si obiskoval, koliko si bil aktiven,koliko časa  itd...). Zanimalo vas je, ali delodajalec lahko to zahteva od vas.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 57. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/2005 in 51/2007–ZUstS-A) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora ali drugega upravnega postopka iz svoje pristojnosti, ne more podajati konkretnih stališč v zvezi s posameznimi vprašanji s področja varstva osebnih podatkov oziroma o zakonitosti ali nezakonitosti obdelave osebnih podatkov.

V zvezi z aplikacijo za spremljanje dela na domu zaposlenih, ki ste jo opisali v vašem vprašanju IP najprej poudarja, da njeno delovanje, glede na namen in naravo, nedvomno zahteva tudi obdelavo osebnih podatkov zaposlenih. Podatki, ki jih na ta način zbira in nadalje obdeluje delodajalec se nanašajo na določene posameznike in tako ustrezajo definiciji osebnega podatka iz prve točke 4. člena Splošne uredbe, prav tako pa ravnanje delodajalca s temi podatki ustreza definiciji obdelave osebnih podatkov iz druge točke istega člena.  

Za vsako obdelavo osebnih podatkov mora obstajati zakonita pravna podlaga. Te so določene v členu 6 Splošne uredbe. Glede na to, da gre v obravnavanem primeru za obdelavo osebnih podatkov znotraj delovnega razmerja (za obdelavo osebnih podatkov zaposlenih s strani delodajalca) je relevantna tudi določba 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16 in 15/17 – odl. US, v nadaljevanju ZDR-1), ki določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. V navedenih členih so torej na splošno določeni primeri in pogoji, pod katerimi pravni red dopušča poseganje v posameznikovo pravico do varstva osebnih podatkov, upravljavec osebnih podatkov (v vašem primeru delodajalec) pa je tisti, ki mora zagotoviti, da za konkretno obdelavo osebnih podatkov, ki jo želi izvajati, obstaja ena od pravnih podlag iz navedenih določb.

Vsaka obdelava osebnih podatkov mora biti hkrati tudi v skladu s temeljnimi načeli obdelave, kot so določeni v členu 5 Splošne uredbe. Osebni podatki morajo biti tako:

  1. obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, pravičnost in preglednost“);
  2. zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni („omejitev namena“);
  3. ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);
  4. točni in, kadar je to potrebno, posodobljeni („točnost“);
  5. hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; („omejitev shranjevanja“);
  6. obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

IP, kot rečeno, zakonitosti konkretne obdelave osebnih podatkov, ki se izvaja oziroma se namerava izvajati, ne more presojati izven inšpekcijskih postopkov, v katerih predhodno ugotovi vse relevantne okoliščine primera, poleg tega pa ste nam v svojem vprašanju posredovali zelo splošne informacije, saj navajate, da ste tudi sami prejeli zelo skope informacije glede delovanja aplikacije.  

Glede na navedeno IP poudarja, da je delodajalec, ki zaposlene napoti na delo na domu, opravljanje takega dela s strani zaposlenih vsekakor upravičen v določeni meri spremljati in nadzirati in v ta namen, v skladu z določbo 48. člena ZDR-1 tudi obdelovati njihove osebne podatke. Pri odločanju o tem, katere osebne podatke zaposlenih bo v ta namen obdeloval in na kakšen način pa mora dosledno spoštovati zlasti zgoraj omenjeno načelo najmanjšega obsega podatkov. Če se delodajalec odloči za uporabo aplikacije, kot jo navajate v vašem vprašanju to pomeni, da lahko s pomočjo take aplikacije zbira samo tiste osebne podatke zaposlenih, za katere izkaže, da so potrebni, primerni in sorazmerni za spremljanja dela na domu in s tem povezan nadzor delodajalca nad delom zaposlenih. Dokončnega odgovora, katere podatke delodajalec s pomočjo take aplikacije lahko zbira ni mogoče podati na splošno, saj je odvisen od vrste in narave dela, ki ga posamezni zaposleni opravlja. Vsekakor je delodajalec vedno upravičen do podatkov o delovnih nalogah, ki jih je zaposleni opravil tekom dela na domu in ki jih zaposleni vpiše v tako aplikacijo v obliki dnevnih ali tedenskih poročil. Če narava dela zahteva, da se delo na domu opravlja v točno določenih časovnih intervalih, bi bil delodajalec lahko upravičen tudi do podatka, ali je zaposleni delo res opravljal v zahtevanem intervalu, vendar mora tudi v takem primeru izbrati rešitev, ki v najmanjši meri posega v informacijsko zasebnost zaposlenega in strogo upoštevati načelo najmanjšega obsega podatkov. V skladu z navedenim mora torej delodajalec pri določitvi vrste in obsega osebnih podatkov zaposlenih, ki jih v namen spremljanja dela na domu obdeluje in izbiri sredstev, s katerimi to izvaja paziti, da v preveliki meri ne poseže v informacijsko zasebnost zaposlenih. S tega vidika bi kakršnokoli avtomatizirano in sistematično zbiranje in nadaljnja obdelava npr. posnetkov (slik) zaslonov službenih računalnikov zaposlenih, iz katerih je razvidna vsebina takega zaslona v določenem trenutku in s tem tudi več njegovih (lahko tudi občutljivih) osebnih podatkov in avtomatično in sistematično zbiranje in nadaljnja obdelava podatkov o obisku spletnih strani, ki jih je posamezni zaposleni izvedel v delovnem času in podobne rešitve, ki jih omogočajo različne aplikacije za nadzor zaposlenih, predstavljali resen in nesorazmeren poseg v informacijsko zasebnost zaposlenih s strani zavezanca in obdelavo njegovih osebnih podatkov, za katero zavezanec nima nobene pravne podlage iz Splošne uredbe ali ZDR-1. Takšna obdelava osebnih podatkov zaposlenih s strani ne bi bila niti primerna, še manj pa potrebna za sicer legitimen namen, ki ga ta zasleduje (spremljanje izvajanja dela na domu), saj ima delodajalec na voljo dovolj drugih sredstev za učinkovit nadzor zaposlenih, s katerimi bi v manjši meri ali pa sploh ne posegel v varstvo osebnih podatkov zaposlenih. 

Karakteristike in delovanje konkretne aplikacije, ki se jo navajali v vašem dopisu IP ni znano, vendar pa je v splošnem take aplikacije mogoče uporabljati na zelo različne načine, tudi glede obdelave osebnih podatkov, odvisno od nastavitev, ki jih administrator in/ali uporabnik izbere. Tako je npr. isto aplikacijo mogoče pogosto uporabiti na način, ki je glede obdelave osebnih podatkov skladen s Splošno uredbo in ZVOP-1 in na način, ki grobo krši določila teh aktov, zato je primerneje kot o sami aplikaciji govoriti o načinu njenega delovanja v konkretnem primeru.

Glede na navedbe v vašem sporočilu je nujno opozoriti tudi na pomembnost spoštovanja načela preglednosti s strani upravljavcev, v vašem primeru vašega delodajalca. Načelo se nanaša predvsem na odnos med upravljavcem osebnih podatkov in posameznikom, katerega podatki se obdelujejo in je izpeljano v določbah člena 13 in 14 Splošne uredbe. V skladu s slednjim členom bi vam moral delodajalec zaposlenim ob vpeljavi in pričetku uporabe aplikacije za spremljanje dela od doma zagotoviti vsaj informacije o namenih obdelave vaših osebnih podatkov, pravni podlagi za njihovo obdelavo, vrstah osebnih podatkov, ki jih obdeluje (tj. katere vaše podatke bo aplikacija zbirala in bodo na voljo delodajalcu) in uporabnikih teh podatkov. V drugem odstavku člena 14 so določene dodatne informacije, ki jih mora upravljavec zagotoviti posamezniku, če je to potrebno za zagotavljanje poštene in pregledne obdelave. Iz navedb v vašem dopisu gre sklepati, da delodajalec ni ravnal v skladu s tem načelom in da vam ni zagotovil informacij iz člena 14 Splošne uredbe, čeprav bi jim te informacije moral zagotoviti. IP v praksi opaža, da do nejasnosti in nesporazumov med upravljavci osebnih podatkov in posamezniki prihaja tudi zaradi nespoštovanja navedene obveznosti s strani upravljavcev. Glede na navedeno vam svetujemo, da delodajalca (upravljavca) najprej opozorite na spoštovanje določb člena 14 Splošne uredbe. Če se ta na vaša opozorila ne bi odzval ali pa bi iz posredovanih informacij po tem členu izhajalo, da izvajana obdelava osebnih podatkov ni v skladu z zgoraj navedenimi pravili varstva osebnih podatkov, pa pri našem organu vložite prijavo, na podlagi katere bomo pri upravljavcu izvedli postopek inšpekcijskega nadzora.

V upanju, da ste dobili odgovore na svoje vprašanje, vas lepo pozdravljamo.

Pripravil:                                                                     

Blaž Pavšič, univ. dipl. prav.                                                    

Državni nadzornik za varstvo osebnih podatkov                       

Mojca Prelesnik, univ.dipl.prav.,

 informacijska pooblaščenka