Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Nadzor delodajalca nad delovnimi sredstvi

+ -
Datum: 05.05.2022
Številka: 07121-1/2022/479
Kategorije: Delovna razmerja, Elektronska pošta, Moderne tehnologije, Svetovni splet

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede nadzora delodajalca nad službenimi napravami.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Delodajalec ima pravico do oblasti nad svojimi sredstvi in pravico, da nadzira, ali so ta sredstva oziroma oprema uporabljena skladno z namenom, za katerega je bila zaposlenemu dana v uporabo, delavec pa lahko utemeljeno pričakuje določeno stopnjo zasebnosti na delovnem mestu, kar izhaja že iz 46. člena ZDR-1.

Vsaka oblika nadzora delodajalca, ki pomeni poseg v pravico do zasebnosti delavca, mora biti najprej skladna z ustavnimi določili glede varstva zasebnosti, hkrati pa bodisi vnaprej utemeljena in transparentno predstavljena zaposlenim v internih aktih podjetja (v kakšnih primerih, na kakšen način in kdo lahko izvaja takšen nadzor) bodisi imeti zakonsko podlago.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati zakonitosti in primernosti obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem inšpekcijskem postopku.

IP splošno pojasnjuje, da Splošna uredba o varstvu podatkov v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

  1. a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)   obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)   obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)   obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)    obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

IP splošno pojasnjuje, da glede obdelave osebnih podatkov delavcev veljajo načeloma enaka pravila za delodajalce v zasebnem in javnem sektorju, pri čemer so za ugotavljanje zakonitosti konkretne obdelave pomembni posamezni področni predpisi. Zakon o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 - ZIUPOPDVE, 119/21 - ZČmlS-A, 202/21 - odl. US, 15/22) v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, zakaj je potrebna takšna obdelava osebnih podatkov delavca. Pri tem mora delodajalec v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost. Delodajalec mora torej paziti tudi na spoštovanje zasebnosti in dostojanstva delavca, odgovornost delodajalca pa narašča z intenzivnostjo posega v zasebnost.

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

Pri izvedbi posameznih postopkov in ukrepov je torej treba vedno upoštevati tudi načelo sorazmernosti in vedno izbrati tisti ukrep, ki najmanj poseže v pravice zaposlenega glede na zasledovani zakoniti cilj. Posameznih ukrepov torej ne bi smeli odrejati, če je mogoče primerljiv učinek doseči z milejšimi ukrepi. Če se na ravni posamezne organizacije (v konkretnem primeru na ravni vašega delodajalca) določen ukrep opredeli kot nujen, potreben in učinkovit, pa ga je treba izvajati na način, ki najmanj posega v telo in zasebnost posameznika in brez prekomerne obdelave osebnih podatkov.

V zvezi z nadzorom nad delovnimi sredstvi IP uvodoma pojasnjuje, da mej pristojnosti delodajalca do nadzora na delovnem mestu in pravic delavca do zasebnosti na delovnem mestu v Sloveniji izrecno (še) ne ureja noben zakon. Vselej gre v tovrstnih primerih za kolizijo dveh pravic, in sicer lastninske pravice delodajalca na eni in delavčeve pravice do zasebnosti na drugi strani. Nobena od teh pravic ni absolutna in tako je treba je v vsakem konkretnem primeru iskati primerno in čim manj invazivno rešitev glede na dane okoliščine. Delodajalec ima pravico do oblasti nad svojimi sredstvi oziroma opremo in pravico, da nadzira, ali je ta oprema uporabljena skladno z namenom, za katerega je bila zaposlenemu dana v uporabo, delavec pa lahko utemeljeno pričakuje določeno stopnjo zasebnosti na delovnem mestu, kar izhaja že iz zgoraj omenjenega 46. člena ZDR-1. Prav tako ima delavec pravico do varovanja drugih ustavno zagotovljenih pravic (npr. varstvo tajnosti pisem in drugih občil) in osebnostnih pravic.

 Vsaka oblika nadzora, ki pomeni poseg v pravico do zasebnosti, mora biti najprej skladna z ustavnimi določili glede varstva zasebnosti, hkrati pa bodisi vnaprej utemeljena in transparentno predstavljena zaposlenim v internih aktih podjetja (v kakšnih primerih, na kakšen način in kdo lahko izvaja takšen nadzor) bodisi imeti zakonsko podlago. Ob tem IP opominja, da morajo biti delavci o obdelavi osebnih podatkov obveščeni s strani delodajalca v skladu z določbami 13. oziroma 14. člena Splošne uredbe o varstvu podatkov.

Glede vpogleda v elektronsko pošto delavca IP posebej pojasnjuje, da vprašanje nadzora službene elektronske pošte v marsičem presega zgolj vidike varovanja osebnih podatkov. Gre namreč za širše vprašanje posegov v komunikacijsko zasebnost posameznikov oziroma zaposlenih (35. in 37. člen Ustave RS), katerih varstvo je v Sloveniji zagotovljeno v kazenskem pravu v okviru določb o kršitvi tajnosti občil 139. člena Kazenskega zakonika (KZ-1; Uradni list  RS, št. 50/12 - UPB, 6/16 - popr., 54/15, 38/16, 27/17, 23/20, 91/20, 95/21, 186/21) oziroma v civilnem pravu v okviru določb o zahtevi za prenehanje kršitve osebnostnih pravic 134. člena Obligacijskega zakonika (OZ; Uradni list RS, št. 97/07 - UPB, 64/16 - odl. US, 20/18 - OROZ631) in pripadajočih določb o odškodninski odgovornosti za takšen poseg. Prekomerni poseg v upravičeno pričakovano zasebnost zaposlenih tako torej ne zgolj ogroža zakonitost delodajalčevega konkretnega dejanja, ampak delodajalca potencialno izpostavlja tudi odškodninski oziroma kazenski odgovornosti.

IP ponavlja, da delavci tudi na delovnem mestu upravičeno pričakujejo določeno stopnjo zasebnosti. Ob tem IP izpostavlja, da mora delodajalec v skladu s 24. in 25. členom ZVOP-1 ter 32. členom Splošne uredbe o varstvu podatkov zagotoviti ustrezne tehnične in organizacijske postopke in ukrepe, s katerimi bo preprečil nepooblaščeno obdelavo, uničenje, izgubo ali spremembo osebnih podatkov. V svojih aktih mora predpisati postopke in ukrepe za zavarovanje osebnih podatkov in določiti osebe, ki so odgovorne za posamezne zbirke osebnih podatkov. Upravljavec (v konkretnem primeru delodajalec) mora torej sorazmerno natančno predpisati postopke in ukrepe, s katerimi bo varoval elektronsko pošto zaposlenih (npr. Pravilnik o varnosti osebnih podatkov ali Pravilnik glede uporabe službene elektronske pošte). Uporaba informacijskih tehnologij na delovnem mestu in pravice delodajalca do nadzora njihove rabe v zakonodaji, kot rečeno, nista izrecno regulirana. Tako tudi vpogled v elektronsko pošto zaposlenega sam po sebi ni eksplicitno prepovedan, vendar je ob tem vsekakor treba upoštevati predpisane interne postopke in ukrepe za zavarovanje, ki veljajo v konkretni organizaciji, katerih pa, kot omenjeno, IP ne more presojati izven inšpekcijskega postopka.

Glede podatkov o uporabi interneta IP pojasnjuje, da podatki o obisku spletnih strani predstavljajo osebne podatke delavca. Vpogled v te podatke bi bil, tako kot pri vseh službenih sredstvih, dopusten le v izjemnih primerih (npr. reševanje varnostnih incidentov - okužba računalnika zaradi obiska nevarne spletne strani) in pod (ustavno in zakonsko skladnimi) pogoji, določenimi v internem aktu delodajalca.

IP sklepno pojasnjuje, da več informacij o vprašanjih glede uporabe službenih sredstev in relacije delodajalec - delavec v povezavi s podatki na službenih sredstvih lahko najdete tudi v smernicah Varstvo osebnih podatkov v delovnih razmerjih (str. 21-29, ki so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka