Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Snemanje sestankov in letnih razgovorov prek spletnih komunikacijskih platform

+ -
Datum: 16.11.2020
Številka: 07121-1/2020/2054
Kategorije:Delovna razmerja, Informiranje posameznika, Pravne podlage, Snemanje sej in javnih dogodkov, Zavarovanje osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da se zaradi korona krize vsi sestanki vodijo prek določene spletne komunikacijske platforme. Izpostavljate problem, da se sestanke in razgovore lahko snema, posnetke pa bi se lahko zlorabilo ali objavilo na internetu. Poleg možnosti zlorab vas skrbi tudi, ker zaposlene vabijo na letni razgovor prek video povezave, kar omejuje zaupnost razgovora prav zaradi snemanja. Zanima vas naše stališče, predvsem glede uporabe takšnih posnetkov za blatenje v medijih in druge zlorabe.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

Uvodoma IP pojasnjuje, da mora biti za vsako obdelavo osebnih podatkov, ki zapade pod Splošno uredbo o varstvu podatkov, podana ustrezna pravna podlaga, ki jih Splošna uredba opredeljuje v členu 6(1). Slednji določa vrste pravnih podlag, in sicer:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

V delovnopravnih razmerjih obdelavo osebnih podatkov primarno ureja zakon, torej je pravna podlaga v smislu člena 6(1) Splošne uredbe zapisana v točki (c) - izpolnitev zakonske obveznosti, ki velja za upravljavca. Prvi odstavek 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, s sprem. in dop.; v nadaljevanju ZDR-1) tako določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Drugi odstavek istega člena pa določa, da lahko osebne podatke delavcev zbira, obdeluje, uporablja in posreduje tretjim osebam samo delodajalec ali delavec, ki ga delodajalec za to posebej pooblasti.

Naloga upravljavca je, da presodi ustreznost izbrane pravne podlage, izkaže zakonitost obdelave in tudi nosi posledice morebitne nezakonite obdelave. Informacijski pooblaščenec konkretnih tehnologij in orodij ne more in ne sme komentirati z vidika zakonitosti obdelave, podamo vam lahko le splošne usmeritve, ki so uporabne pri takšni presoji. V okoliščinah, ki jih opisujete, bo potrebna dvostopenjska presoja; najprej presoja zakonitosti obdelave osebnih podatkov za samo izvedbo sestanka na daljavo s konkretnim orodjem, nato pa še zakonitost morebitnega snemanja in nadaljnje obdelave posnetkov.

Kot rečeno, je dokazno breme zakonitosti obdelave osebnih podatkov na strani delodajalca. Vsekakor pa mora delodajalec skladno s členom 13 Splošne uredbe svojim zaposlenim zagotoviti ustrezne informacije o obdelavi njihovih osebnih podatkov. Omenjeni člen 13 Splošne uredbe določa nabor informacij, ki jih mora upravljavec osebnih podatkov zagotoviti posamezniku, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki, med drugim identiteto in kontaktne podatke upravljavca; namene in pravno podlago za obdelavo; uporabnike ali kategorije uporabnikov osebnih podatkov ter nadalje tudi obdobje hrambe osebnih podatkov; obstoj pravic posameznika; obstoj pravice do preklica privolitve; pravico do vložitve pritožbe pri nadzornem organu.

Vse navedeno torej velja tudi za snemanje in nadaljnjo uporabo posnetkov snemanja. Poleg tega pa lahko pri snemanju brez ustrezne pravne podlage govorimo tudi o nezakonitem slikovnem in zvočnem snemanju, ki je lahko podlaga tudi za civilno in kazensko odgovornost. Delodajalec mora sprejeti ustrezne ukrepe, da odvrne takšno nevarnost in minimizira tveganja.

V vašem primeru pa vas torej želeli opozoriti še na vidik varnosti obdelave osebnih podatkov in poudariti, da mora upravljavec osebnih podatkov le-te ustrezno varovati v vseh fazah obdelave. Prvi odstavek člena 32 Splošne uredbe določa, da morata upravljavec in obdelovalec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotoviti ustrezno raven varnosti glede na tveganje.

Večina najbolj uveljavljenih orodij za spletno komuniciranje, omogoča t.i. šifriranje od vira do ponora komunikacije (angl. »end-to-end encryption«), ne pa nujno v vseh primerih (to najverjetneje npr. ne bo zagotovljeno, če je klic (deloma) opravljen preko navadne telefonske linije in ne preko podatkovnega prenosa) in ne nujno kot privzeto nastavitev, razlike med aplikacijami pa obstajajo tudi glede drugih vidikov varnosti in zasebnosti. Zato IP priporoča, da se glede teh vidikov pred uporabo upravljavec osebnih podatkov posvetuje s svojimi sodelavci s področja informacijskih tehnologij.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                                informacijska pooblaščenka

Pripravila:                                                                                                                                

mag. Polona Merc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov