Hramba podatkov
+ -Številka: 07121-1/2020/1830
Kategorije: Delovna razmerja, Pravne podlage, Rok hrambe OP
Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navedli ste, da pripravljate rešitev, v kateri je mogoče evidentirati evidenco vstopov v stavbo, evidenco vstopov v pisarne oz. prostore ter evidenco vstopov v hodnike. Nekateri upravljavci vodijo tudi evidenco vstopa kot registracijo delovnega časa. Sprašujete, kakšni so roki hrambe glede opisanih evidenc. Posebej sprašujete, kaj pomeni 4. odstavek 82. člena ZVOP-1 v delu, ki določa: »če zakon ne določa drugače.«
***
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Pri tem IP poudarja, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.
Delodajalec mora kot upravljavec osebnih podatkov do drugačne ureditve oz. sprejema novega Zakona o varstvu osebnih podatkov v delu, ko Splošna uredba varstva osebnih podatkov ne ureja drugače, upoštevati tako določila ZVOP-1 kot tudi določila Splošne uredbe. Najprej mora za nameravano obdelavo osebnih podatkov zagotoviti ustrezno pravno podlago, ki je določena v 6. členu Splošne uredbe. Glede na vprašanje ki ste ga zastavili, je treba poudariti, da mora upravljavec sprejeti tudi primerne tehnično-organizacijske ukrepe za zavarovanje osebnih podatkov. Tako je glede roka hrambe, kakor tudi glede drugih okoliščin v zvezi z varno hrambo osebnih podatkov, odgovoren upravljavec sam in vam konkretnega odgovora v okviru nezavezujočega mnenja IP ne more podati. Podajamo pa vam splošne usmeritve, ki jih je treba upoštevati v konkretnih situacijah, ko upravljavec določa rok hrambe osebnih podatkov.
Glede nekaterih evidenc ZVOP-1 eksplicitno določa rok hrambe; tudi v primeru, ki ga navajate, glede evidence vstopov in izstopov. Najprej opozarjamo, da IP ni pristojen za avtentično razlago ZVOP-1, ki jo lahko sicer poda le Državni zbor in da se v tem delu za mnenje glede razlage določb lahko obrnete na Ministrstvo za pravosodje, kot na pripravljavca zadevnega predpisa. Četrti odstavek 82. člena ZVOP-1 določa, da se osebni podatki iz evidence lahko hranijo največ tri leta od vpisa, nato se zbrišejo ali na drug način uničijo, če zakon ne določa drugače. Po mnenju IP se del zakonske dikcije »če zakon ne določa drugače« nanaša na primere, ko drug zakon določi drugačen (daljši) rok hrambe, npr. s področja hrambe dokumentarnega gradiva, nekaterih evidenc na področju delovnih razmerij. Navajate, da nekateri upravljavci vodijo evidenco vstopa kot registracijo delovnega časa. Poudarjamo, da imata obe evidenci samostojno pravno podlago in drugačen namen - evidenca o izrabi delovnega časa je določena z 18. členom Zakona o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06). V drugem odstavku 19. člena je nadalje določeno, da se dokumenti s podatki o delavcu, za katerega se preneha voditi evidenca o izrabi delovnega časa, hranijo kot listina trajne vrednosti, ki jo je delodajalec dolžan predložiti na zahtevo pristojnega organa.
Vsekakor pa naveden rok v četrtem odstavku 82. člena ZVOP-1 ne pomeni, da mora upravljavec hraniti evidence točno tri leta, ampak že sam zakon določa, da gre za skrajni rok (največ tri leta). Namreč, pri obdelavi osebnih podatkov je treba upoštevati načelo omejitve hrambe (točka (e) prvega odstavka 5. člena Splošne uredbe), ki določa, da se osebni podatki hranijo le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo. Navedeno z drugimi besedami pomeni, da morate glede na namen, iz katerega ste uvedli evidenco vstopov in izstopov iz prostorov (npr. varovanje premoženja, življenja ali telesa posameznikov), določiti primeren rok hrambe (vendar največ tri leta od vpisa) in je treba podatke, ko niso več potrebni v določen namen, (varno) izbrisati. Pri tem pa je treba seveda upoštevati (kot smo opozorili zgoraj) ali se določeni podatki hranijo na drugi pravni podlagi in za drug namen dlje ter posledično tudi področno zakonodajo, ki morda za določene primere določa daljši rok hrambe.
V upanju, da ste prejeli odgovor na vaše vprašanje, vas lepo pozdravljamo.
Mojca Prelesnik, univ.dipl.prav.,
informacijska pooblaščenka
Pripravila:
Barbara Pirš, univ.dipl.prav.,
Svetovalka Pooblaščenca za preventivo