Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Razkritje osebnih podatkov o delovnem razmerju in pravica do seznanitve z informacijami o notranjih uporabnikih

+ -
Datum: 28.06.2022
Številka: 07121-1/2022/722
Kategorije: Delovna razmerja, Občine, Pravica do seznanitve z lastnimi osebnimi podatki, Obdelava OP javnih uslužbencev in funkcionarjev

Pri Informacijskem pooblaščencu (IP) smo 28. 6. 2022 prejeli vaše zaprosilo za mnenje. Navajate, da ste zaposleni v javnem podjetju ter da ste v bolniški odsotnosti. Na zadnji seji občinskega sveta je direktor na vprašanje svetnika, kakšen je vaš status v podjetju, odgovoril, da ste zaposleni ter da ste trenutno v bolniški odsotnosti. Pojasnjujete, da so posnetki sej javno objavljeni. Zanima vas, ali je prav, da je direktor javno razkril podatek o vašem stanju glede zaposlitve ter trenutne odsotnosti.

 

Nadalje navajate, da sumite, da je nekdo iz podjetja neupravičeno pogledal v vašo osebno mapo. Zato ste na elektronski naslov javnega podjetja poslali sporočilo, v katerem ste zahtevali informacijo, če je kdo od zaposlenih oziroma zunanjih zahteval vpogled v vašo osebno mapo oziroma vpogled v obrazec glede izplačila potnih stroškov za pot na in iz dela, vendar odgovora niste prejeli. IP prosite za mnenje.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

Za obdelavo osebnih podatkov v delovnih razmerjih je relevanten predvsem 48. člen ZDR-1, skladno s katerim se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Zakonsko podlago za obdelavo osebnih podatkov, ki so povezani z opravljanjem delovnega razmerja javnega uslužbenca, lahko predstavlja tudi ZDIJZ.

 

Skladno z dosedanjo prakso IP na podlagi zahteve za seznanitev z lastnimi osebnimi podatki po členu 15 Splošne uredbe o varstvu podatkov ni mogoče pridobiti informacij o konkretnih osebah, ki so znotraj upravljavca obdelovale osebne podatke posameznika.

 

 

O b r a z l o ž i t e v:

 

IP uvodoma opozarja, da lahko posamezne primere obdelave osebnih podatkov konkretno presoja le v okviru inšpekcijskega ali drugega upravnega postopka. V mnenju pa lahko poda zgolj splošna pojasnila, ne more pa dokončno presojati ustreznosti oziroma zakonitosti konkretnega ravnanja določenega upravljavca.

 

O varstvu osebnih podatkov v delovnih razmerjih je IP pripravil smernice, ki so dostopne na povezavi: https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/varstvo-osebnih-podatkov-v-delovnih-razmerjih. Smernice podajajo odgovore na najpogosteje zastavljena vprašanja glede varstva osebnih podatkov, s katerimi se srečujejo delavci in delodajalci.

 

V zvezi z vašimi vprašanji IP najprej pojasnjuje, da mora imeti upravljavec (v konkretnem primeru delodajalec) za vsako obdelavo osebnih podatkov, kamor sodi tudi razkritje podatka o statusu zaposlitve ter bolniški odsotnosti, zakonito in ustrezno pravno podlago. Te so določene v členu 6 Splošne uredbe o varstvu podatkov (privolitev, pogodba, zakon itn.).

 

Za obdelavo osebnih podatkov v delovnih razmerjih je relevanten predvsem 48. člen Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, s spremembami in dopolnitvami; v nadaljevanju ZDR-1), skladno s katerim se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Delodajalec mora med drugim upoštevati tudi načelo najmanjšega obsega podatkov iz člena 5(1)(c) Splošne uredbe o varstvu podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. To pomeni, da lahko delodajalec na zakonski podlagi osebne podatke delavca o zaposlitvi in prisotnostih oziroma odsotnostih obdeluje le pod pogojem, da je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Delodajalec mora glede na konkretne okoliščine in potrebe delovnega procesa presoditi, ali je razkritje določenih osebnih podatkov delavcev potrebno in sorazmerno glede na zakonit cilj.

 

Zakonsko podlago za obdelavo osebnih podatkov, kamor sodi tudi razkrivanje tretjim osebam, ki so povezani z opravljanjem delovnega razmerja javnega uslužbenca, lahko predstavlja tudi Zakon o dostopu do informacij javnega značaja (Uradni list RS, št. 51/06, s spremembami in dopolnitvami; ZDIJZ). ZDIJZ vsakomur omogoča prost dostop in ponovno uporabo informacij javnega značaja, s katerimi razpolagajo državni organi, organi lokalnih skupnosti, javne agencije, javni skladi in druge osebe javnega prava, nosilci javnih pooblastil in izvajalci javnih služb (1. člen), kar pomeni, da lahko vsakdo dostopa do tistih informacij, ki ne pomenijo ene od taksativno naštetih izjem v 5.a členu in prvem odstavku 6. člena ZDIJZ. Po tretjem odstavku 6. člena ZDIJZ podatki, ki so povezani s porabo javnih sredstev ali z opravljanjem javne funkcije ali delovnega razmerja javnega uslužbenca, ne sodijo med varovane osebne podatke. Ker pa je IP na področju dostopa do informacij javnega značaja pritožbeni organ, se vnaprej ne sme opredeljevati do vprašanja, kateri podatki konkretno bi predstavljali prosto dostopne informacije javnega značaja.

 

V zvezi z vašim drugim vprašanjem pa IP pojasnjuje, da ima skladno s členom 15 Splošne uredbe o varstvu podatkov vsak posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

  • namene obdelave;
  • vrste zadevnih osebnih podatkov;
  • uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
  • kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
  • obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
  • pravico do vložitve pritožbe pri nadzornem organu;
  • kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
  • obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

 

Upravljavec se mora na podano zahtevo odzvati brez nepotrebnega odlašanja in mora v vsakem primeru posredovati podatke in informacije oziroma zavrnilni odgovor v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev (tretji odstavek člena 12 Splošne uredbe o varstvu podatkov). Če upravljavec na zahtevo za seznanitev ne odgovori v enomesečnem roku, lahko posameznik pri IP kot pritožbenem organu vloži pritožbo. Pritožba pri IP je mogoča tudi zoper zavrnilni odgovor upravljavca, vložiti pa jo je treba v roku 15 dneh od prejema zavrnilnega odgovora upravljavca.

 

Več informacij o pravici do seznanitve lahko pridobite na spletnih straneh: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/ in https://tiodlocas.si/kako-uveljavim-svoje-pravice/.

 

IP ob tem še dodaja, da lahko na podlagi navedene pravice od upravljavca pridobite informacijo glede uporabnikov oz. kategorij uporabnikov, ki so jim bili vaši osebni podatki posredovani (točka c prvega odstavka člena 15 Splošne uredbe o varstvu podatkov). Na ta način se lahko seznanite komu so bili izven upravljavca posredovani vaši podatki (t.i. zunanja sledljivost). Skladno z dosedanjo prakso IP pa na podlagi zahteve za seznanitev z lastnimi osebnimi podatki po členu 15 Splošne uredbe o varstvu podatkov ni mogoče pridobiti informacij o konkretnih osebah, ki so znotraj upravljavca obdelovale osebne podatke posameznika. Splošna uredba o varstvu podatkov tako ne pokriva dostopa do informacij o notranjih vpogledih v osebne podatke in s tem notranje sledljivosti. Vsekakor pa se lahko v okviru vaše pravice do seznanitve z lastnimi osebnimi podatki seznanite z nameni, za katere so bili obdelovani vaši osebni podatki.

 

Ne glede na to pa bi lahko preverjanje zakonitosti obdelave osebnih podatkov znotraj upravljavca IP izvedel v okviru inšpekcijskega postopka. IP v inšpekcijskem postopku ugotavlja, ali in kdo je znotraj upravljavca nezakonito obdeloval osebne podatke. V primeru konkretnega suma, da je prišlo do nezakonitega vpogleda v vaše podatke, lahko pri IP vložite prijavo.

 

Lepo vas pozdravljamo,

 

Pripravila:                                                                                                                                

Tina Ivanc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka