Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Dostop do telefona brez soglasja zaposlenega

+ -
Datum: 09.04.2021
Številka: 07121-1/2021/686
Kategorije: Delovna razmerja, Moderne tehnologije

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše vprašanje, v katerem navajate, da ste v službi prejeli navodilo, da morate začeti z uporabo aplikacije za beleženje ur, ki je dotlej delovala preko QR kode, po prejemu navodila pa je bila mogoča le prek NFC povezave. Navajate, da ste po pregledu aplikacije ugotovili, da je brez vašega soglasja ali odobritve prišlo do sprememb nastavitev v aplikaciji glede dostopa do vaših podatkov na telefonu. Navajate, da je do takšnih sprememb nastavitev prišlo tudi pri nekaterih vaših sodelavcih – vsem pa je prenehala delovati povezava preko QR kode. Uporabljate lastni telefon tudi za službene namene. Zanima vas torej, ali je dopustno, da zunanji administrator dostopa do vašega mobilnega telefona in spreminja nastavitve brez opozoril in ali je dopustno, da ima aplikacija praktično neomejen dostop do podatkov na telefonu?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Delodajalec bi moral v skladu s 157. členom ZEKom-1, ko je uvajal sistem beleženja ur prek aplikacije, ki se namesti na zasebne telefone zaposlenih, pred namestitvijo aplikacije na zasebne telefone zaposlenih, pridobiti njihovo privolitev. Privolitev bi morala ustrezati opredelitvi in vsebovati vse elemente privolitve iz Splošne uredbe. To zlasti pomeni, da morajo imeti zaposleni možnost zavrniti uporabo aplikacije brez posledic za njihovo delovno razmerje.

 

Pod predpostavko, da je bila privolitev za namestitev in uporabo aplikacije v skladu s 157. členom ZEKom-1 zagotovljena, je v nadaljevanju, za zakonito spreminjanje pogojev uporabe aplikacije, pomembno – ali podana »začetna« privolitev obsega tudi vse nadaljnje posodobitve aplikacije in (oddaljeno) spreminjanje pogojev njene uporabe oziroma; ali za takšno ravnanje delodajalca obstaja druga ustrezna pravna podlaga v skladu s členom 6 Splošne uredbe oziroma v skladu s 48. členom ZDR-1. Zagotovitev in izkazovanje ustrezne pravne podlage za obdelavo osebnih podatkov je odgovornost upravljavca. IP lahko presoja zakonitost obdelave osebnih podatkov v konkretnem primeru le v okviru konkretnega inšpekcijskega ali drugega ustreznega postopka.

 

Posameznik (zaposleni) mora biti obveščen o okoliščinah obdelave njegovih osebnih podatkov, vključno z nameni in pravnimi podlagami za obdelavo osebnih podatkov, roki hrambe, svojimi pravicami v zvezi z obdelavo osebnih podatkov, itd. (člena 13 in 14 Splošne uredbe).

 

IP meni, da bi bilo ustrezno, da bi delodajalec pred uvedbo in spreminjanjem pogojev uporabe aplikacije za beleženje delovnega časa na zasebnih telefonih zaposlenih, izvedel oceno učinkov na varstvo osebnih podatkov.

 

 

Obrazložitev

 

IP uvodoma poudarja, da ne pozna niti tehničnih podrobnosti delovanja aplikacije, ki jo omenjate, niti internih pravil pri delodajalcu v zvezi z njeno uporabo. Brez poznavanja konkretnih okoliščin in izven inšpekcijskega postopka pa IP ne more presojati zakonitosti obdelave osebnih podatkov v konkretnem primeru. Presojo zakonitosti obdelave osebnih podatkov lahko IP izvede le v konkretnem inšpekcijskem ali drugem ustreznem postopku.

 

IP pojasnjuje, da Splošna uredba o varstvu podatkov v členu 6 določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

 

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Področni zakon, ki ureja obdelavo osebnih podatkov delavcev, je Zakon o delovnih razmerjih (ZDR-1; Uradni list RS, št. št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/79 - ZPosS). Ta v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, se morajo takoj izbrisati in prenehati uporabljati.

 

Pri obdelavi osebnih podatkov je treba spoštovati tudi načelo najmanjšega obsega podatkov, ki določa, da morajo biti osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je dopustno obdelovati samo toliko osebnih podatkov delavcev, kolikor je nujno potrebno za izpolnitev zakonitega namena.

 

V svojem dopisu tudi navajate, da se beleženje delovnega časa izvaja prek posebne aplikacije, ki ste jo naložili na svoj zasebni telefon. V tem primeru bi moral delodajalec pri uvajanju in izvajanju takšnega sistema spoštovati tudi določbo prvega odstavka 157. člena Zakona o elektronskih komunikacijah (Uradni list RS, št. 109/12, 110/13, 40/14 – ZIN-B, 54/14 – odl. US, 81/15 in 40/17, v nadaljevanju ZEKom-1) ki določa, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov. Privolitev mora biti torej podana kot predpogoj za zakonito namestitev aplikacije na zasebni telefon zaposlenega in za pridobivanje podatkov iz teh njihovih naprav. To pomeni, da morajo imeti zaposleni možnost zavrniti uporabo aplikacije brez posledic za delovno razmerje. Taka privolitev zaposlenih bi namreč morala ustrezati opredelitvi in vsebovati vse elemente privolitve iz Splošne uredbe, kar pa je v delovnem razmerju (zaradi narave tega razmerja, v katerem je delodajalec močnejša stranka in ne obstaja ravnovesje moči) zelo težko zagotoviti in izkazati.

 

Odbor za varstvo podatkov (EDPB)[1]  je sprejel mnenje (št. 5/2019) glede odnosa med Splošno uredbo in Direktivo o e-zasebnosti 2002/58/ES (ta direktiva je v slovenski pravni red prenesena z ZEKom-1). V mnenju, ki je za IP v smislu enotne interpretacije zavezujoče, odbor pojasnjuje, da so pravne podlage za obdelavo osebnih podatkov na omenjenem področju določene v ZEKom-1, kot specialnem aktu.

 

Iz vsega zgoraj navedenega sledi, da bi moral delodajalec, ko je uvajal sistem, pred namestitvijo aplikacije na zasebne telefone zaposlenih, pridobiti njihovo privolitev v skladu s 157. členom ZEKom-1. Kot tudi že omenjeno, bi morala takšna privolitev ustrezati vsem pogojem veljavne privolitve po Splošni uredbi, torej, da je dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, konkretno, ozaveščeno in nedvoumno izrazil strinjanje z obdelavo osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo. Ali je bila takšna privolitev podana pred namestitvijo aplikacije iz vašega dopisa ni razvidno.

 

Pod predpostavko, da je bila privolitev za namestitev in uporabo aplikacije v skladu s 157. členom ZEKom-1 zagotovljena, je v nadaljevanju pomembno – ali podana »začetna« privolitev obsega tudi vse nadaljnje posodobitve aplikacije in (oddaljeno) spreminjanje pogojev njene uporabe oziroma; ali za takšno ravnanje delodajalca obstaja druga ustrezna pravna podlaga v skladu s členom 6 Splošne uredbe oziroma v skladu s 48. členom ZDR-1? Na to vprašanje lahko IP odgovori le v konkretnem inšpekcijskem ali drugem ustreznem postopku po preučitvi vseh okoliščin primera, odgovornost za izkazovanje zakonitosti obdelave osebnih podatkov, pa je v prvi vrsti na upravljavcu osebnih podatkov – v tem primeru je to vaš delodajalec.

 

IP še dodaja, da ne glede na to, po kateri pravni podlagi je prišlo do sprememb v zvezi z uporabo aplikacije in posledično v zvezi z obdelavo vaših osebnih podatkov, bi moral delodajalec zaposlene o tem jasno informirati – tako glede namenov obdelave, kot tudi glede pravne podlage za obdelavo osebnih podatkov, rokov hrambe in njihovih pravicah. To namreč zahteva Splošna uredba v členih 13 in 14, kjer so taksativno navedene informacije o katerih mora upravljavec seznaniti posameznike (v konkretnem primeru delodajalec svoje zaposlene). Več v zvezi s pregledno obdelavo osebnih podatkov najdete v Vodniku po varstvu osebnih podatkov za posameznike  in v brošuri Kako so moji osebni podatki varovani v delovnih razmerjih.

 

Vsekakor bi moral vaš delodajalec pred uvedbo sistema sprejeti tudi interni akt (npr. pravilnik) ter opredeliti način delovanja, postopke, opredeliti zbrane podatke, namene, upravljavca ter roke hrambe in urediti način izvajanja sistema sledenja, tudi s sprejemom primernih tehnično-organizacijskih ukrepov, kot je možnost dostopa do podatkov, ki jih sistem beleži. 

 

Zakonitost in tveganja v zvezi z uporabo lastnih naprav v službene namene je IP opisal tudi v Smernicah o uporabi zasebnih naprav v službene namene (BYOD). Predlagamo, da se s temi smernicami seznanite.

 

IP še poudarja, da bi bilo ustrezno, da bi delodajalec pred uvedbo aplikacije in pred spreminjanjem pogojev njene uporabe izvedel oceno učinka v zvezi z varstvom osebnih podatkov. Gre za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila uporaba aplikacije zakonita, sorazmerna, transparentna, varna itd. IP je na temo ocene učinkov izdelal Smernice o ocenah učinkov na varstvo podatkov. ki so dostopne na spletni strani IP.

 

Če menite, da je delodajalec kršil vašo pravico do varstva osebnih podatkov, lahko zoper delodajalca vložite tudi inšpekcijsko prijavo. Več o tem najdete na:

https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlo%C5%BEitev-prijave.  

 

S spoštovanjem,

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 

Pripravil:

Anže Novak, univ. dipl. prav.

Svetovalec pooblaščenca za preventivo