Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Evidence obdelave podatkov v podjetju in pravne podlage za obdelavo

+ -
Datum: 24.05.2022
Številka: 07121-1/2022/557
Kategorije: Evidence dejavnosti obdelave, Pravne podlage, Zavarovanje osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje, v katerem pojasnjujete, da v podjetju prenavljate interne akte. Zanima vas, ali je treba v evidenco dejavnosti obdelave vključiti evidenco o letnih razgovorih in evidenco o prijavah kršitev etičnega kodeksa. Nadalje vas zanima, kje je pravna podlaga za obdelavo navedenih evidenc. Zanima vas tudi, ali je operacijski predpis obvezna dokumentacija sistema ureditve varstva osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. 

 

Glede obveznosti vodenja evidence dejavnosti obdelave mora upravljavec ugotoviti, ali je po 30. členu Splošne uredbe zavezan evidentirati vse svoje dejavnosti obdelave, to je v primeru, če zaposluje več kot 250 ljudi, oziroma, če zaposluje manj kot 250 ljudi, ali gre pri navedenih evidencah za dejavnosti obdelave, ki izpolnjujejo določene kriterije, kot to določa člen 30 Splošne uredbe.

Delodajalec mora kot upravljavec osebnih podatkov za vsako obdelavo osebnih podatkov zagotoviti zakonito in ustrezno pravno podlago. V konkretnem primeru IP predvsem napotuje na ZDR-1, ki v prvem odstavku 48. člena določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

 

O b r a z l o ž i t e v:

 

  1. Evidenca dejavnosti obdelave

Splošna uredba predpisuje vodenje t.i. evidence dejavnosti obdelave v 30. členu Splošne uredbe. Glede obveznosti vodenja evidence dejavnosti obdelave IP pojasnjuje, da morajo evidentirati vse svoje dejavnosti obdelav osebnih podatkov tisti upravljavci in obdelovalci, ki zaposlujejo več kot 250 ljudi. Druge (manjše) organizacije, pa le tiste dejavnosti obdelav, ki:

  • niso občasne; ali
  • predstavljajo tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki; ali
  • vključujejo posebne vrste osebnih podatkov ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški.

Zgornji kriteriji veljajo ne glede na to, ali gre za organizacijo javnega ali zasebnega sektorja. Ob tem pripominjamo, da se z evidentiranjem dejavnosti obdelav osebnih podatkov omogoča pregled nad zbirkami osebnih podatkov, ki jih obdelujete. Na ta način izkazujete, da podatke obdelujete skladno s pravili Splošne uredbe. Obveznosti v zvezi z vodenjem evidenc dejavnosti obdelav po Splošni uredbi je IP podrobneje opisal na svoji spletni strani pod naslednjo povezavo: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/evidenca-dejavnosti-obdelave/.

V zvezi z vašim vprašanjem, ali je treba za evidenco o letnih razgovorih in evidenco o prijavah kršitev etičnega kodeksa voditi evidenco dejavnosti obdelave v smislu člena 30 Splošne uredbe, vas napotujemo na zgoraj navedene kriterije. Torej kot upravljavec osebnih podatkov morate ugotoviti, ali ste zavezani evidentirati vse svoje dejavnosti obdelave oziroma, če vaša organizacija zaposluje manj kot 250 ljudi, ali gre pri navedenih evidencah za dejavnosti obdelave, ki izpolnjujejo zgoraj navedene kriterije. V vsakem primeru pa IP upravljavcem in obdelovalcem svetuje, da vodijo evidenco obdelave podatkov, četudi po členu 30 Splošne uredbe morda k temu niso zavezani, saj na takšen način lažje spremljajo procese obdelave podatkov v svoji organizaciji in lažje zagotavljajo skladnost s Splošno uredbo.

  1. Pravne podlage za obdelavo osebnih podatkov

Delodajalec mora kot upravljavec osebnih podatkov za vsako obdelavo osebnih podatkov zagotoviti zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe in so sledeče:

  • privolitev (točka (a)),
  • sklenitev ali izvajanje pogodbe (točka (b)),
  • zakon (točka (c)),
  • zaščita življenjskih interesov posameznika (točka (d)),
  • izvajanje javne naloge (točka (e) v zvezi s četrtim odstavkom 9. člena ZVOP-1),
  • zakoniti interesi upravljavca, ki ne prevladajo nad interesi in pravicami posameznika (točka (f)).

Za vsako obdelavo osebnih podatkov mora torej obstajati ustrezna pravna podlaga, ki jo mora že pred obdelavo osebnih podatkov natančno razčistiti upravljavec osebnih podatkov, ki mora biti zmožen tudi dokazati zakonitost obdelave osebnih podatkov.

Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje. Zato na tem področju praviloma obdelava osebnih podatkov na podlagi privolitve posameznika pride v praksi v poštev zgolj izjemoma, in sicer le pod pogojem če lahko posameznik resnično brez kakršnihkoli posledic za delovno razmerje privolitev odkloni. Področna zakona, ki urejata področje varstva osebnih podatkov v delovnih razmerjih, sta predvsem Zakon o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06, v nadaljevanju ZEPDSV) in Zakon o delovnih razmerjih (Uradni list RS, št. 21/13, s spremembami in dopolnitvami, v nadaljevanju ZDR-1). ZEPDSV v 12. členu določa vrste evidenc, ki jih morajo voditi delodajalci (evidenca o zaposlenih delavcih, evidenca o stroških dela, evidenca o izrabi delovnega časa, evidenca o oblikah reševanja kolektivnih delovnih sporov pri delodajalcu), v 13., 16., 18. in 20. členu pa njihovo vsebino. ZDR-1 pa v prvem odstavku 48. člena določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

To pomeni, da lahko navedene osebne podatke vodite na podlagi določb ZDR-1, drugega zakona ali pa je obdelava potrebna za namen uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Katera pravna podlaga pride v poštev v danem primeru pa morate kot upravljavec podatkov sami oceniti.

  1. Interni predpis o zavarovanju osebnih podatkov

IP ne razume povsem na kateri operacijski predpis se nanaša vaše vprašanje. Ne glede na to pa pojasnjuje, da mora delodajalec v skladu s še veljavnima 24. in 25. členom ZVOP-1 ter členom 32 Splošne uredbe zagotoviti tudi ustrezne tehnične in organizacijske postopke, s katerimi bo preprečil nepooblaščeno obdelavo, uničenje, izgubo ali spremembo osebnih podatkov. Upravljavci osebnih podatkov morajo v svojih aktih (npr. pravilniku) predpisati postopke in ukrepe za zavarovanje osebnih podatkov in določiti osebe, ki so odgovorne za posamezne zbirke osebnih podatkov.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

 

Pripravila:                                                                                                                                

Neja Domnik, mag. prav.,

asistentka svetovalca pri IP