Shranjevanje pogodbe o zaposlitvi

Informacijski pooblaščenec RS (v nadaljevanju IP) prejel vaše zaprosilo za mnenje. Zanima vas, ali sme pravna služba v podjetju pripraviti elektronsko kopijo pogodbe o zaposlitvi in jo posredovati drugim službam v podjetju – predvsem računovodstvu? Zanima vas tudi, če se lahko pogodba o zaposlitvi shranjuje v podjetju še kje drugje, kot pa v personalni mapi?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanjem. IP v okviru neobvezujočega mnenja ne more ugotavljati ali potrjevati skladnosti posameznih dokumentov s področja varstva osebnih podatkov ali presojati zakonitosti konkretnih obdelav osebnih podatkov. Slednje lahko stori le v ustreznem inšpekcijskem ali drugem upravnem postopku.

V delovnih razmerjih velja, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno z zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem (48. člen Zakona o delovnih razmerjih, Uradni list RS, št. 21/13, s sprem. in dop; v nadaljevanju ZDR-1).

V skladu z načeli varstva osebnih podatnov morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“; člen 5(1)(c) Splošne uredbe). Osebni podatki morajo biti obdelani na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“; člen 5(1)(f) Splošne uredbe). Po drugem odstavku istega člena, je upravljavec odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati („odgovornost“; člen 5(2) Splošne uredbe).

Člen 32 Splošne uredbe določa, da je ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a) psevdonimizacijo in šifriranjem osebnih podatkov;

(b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

(c) zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

(d) postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

V zvezi z zagotavljanjem varne obdelave osebnih podatkov pri posredovanju elektronskih kopij dokumentov, ki lahko vsebujejo posebne vrste osebne podatke (npr. članstvo v sindikatu), opozarjamo še na določbo 14. člena ZVOP-1, po katerem se pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.

IP ni poznan predpis, ki bi zaradi zagotavljanja varne obdelave osebnih podatkov, natančno zapovedoval, da bi morala organizacija hraniti pogodbe o zaposlitvah svojih zaposlenih v njihovi personalni mapi (fizično). IP tudi ni poznan predpis, ki bi zaradi zagotavljanja varne obdelave osebnih podatkov prepovedoval posredovanje elektronskih kopij pogodb o zaposlitvi v druge oddelke. Takšna zahteva za varstvo osebnih podatkov ne izhaja niti iz Zakona o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06), ki na primer v tretjem odstavku 14. člena določa, da dokumenti s podatki o delavcu, za katerega se preneha voditi evidenca o zaposlenih delavcih (kjer se vodijo tudi podatki zaposlenih iz pogodb o zaposlitvah), in izvirne listine, na podlagi katerih se vpisujejo podatki v evidenco o zaposlenih delavcih, se hranijo kot listina trajne vrednosti, ki jo mora delodajalec predložiti na zahtevo pristojnega organa. Ob tem poudarjamo, da IP ni pristojen za tolmačenje ZEPDSV z vidika delovno-pravnih obveznosti, ki jih nadzira inšpekcija za delo.

Z vidika varstva osebnih podatkov je lokacija hrambe pogodb in posredovanje elektronskih kopij pogodb, predmet notranje organizacije podjetja, ki pa mora zagotavljati varstvo osebnih podatkov. Na splošno velja, da ni v nasprotju s pravili varstva osebnih podatkov, če znotraj organizacije različni oddelki ali službe uporabljajo zbirke osebnih podatkov, kolikor do podatkov dostopajo za dovoljen namen zaradi svojega dela (če na primer računovodska služba potrebuje podatek iz pogodbe o zaposlitvi za namen obračuna plače, je skladno s pravili varstva osebnih podatkov, da do potrebnih podatkov dostopa). Ob tem pa je organizacija dolžna glede na tveganje sprejeti ustrezne ukrepe. Ti ukrepi morajo zagotavljati spoštovanje načel in pravil varstva osebnih podatkov; načelo najmanjšega obsega podatkov na primer tako, da se posredujejo v drug oddelek delno prekriti dokumenti – le s podatki, ki so potrebni za namen za katerega bodo uporabljeni; načelo varne obdelave na primer tako, da se prepreči nepooblaščen dostop ali razkritje osebnih podatkov, uničenje ali izguba podatkov, ipd. Del ukrepov za zagotavljanje varnosti osebnih podatkov je tudi to, da se določi kdo lahko dostopa do osebnih podatkov pri upravljavcu, (torej da se navedejo tisti zaposleni, ki jih potrebujejo v zvezi s svojimi delovnimi nalogami); da so osebe, ki so pooblaščene za dostop do osebnih podatkov, te podatke dolžne varovati in da jih ne smejo brez ustrezne pravne podlage posredovati izven upravljavca. Kot že navedeno, pa je konkreten način omogočanja dostopov do osebnih podatkov med oddelki znotraj podjetja predmet notranje organizacije, ki mora zagotavljati ustrezno varstvo osebnih podatkov glede na tveganja.

Več v zvezi z zagotavljanjem varnosti pri obdelavi osebnih podatkov je IP opisal v smernicah: Smernice o zavarovanju osebnih podatkov. 

Več v zvezi z zagotavljanjem varstva osebnih podatkov v delovnih razmerjih je IP opisal v smernicah: Varstvo osebnih podatkov v delovnih razmerjih. 

Lep pozdrav,

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

Pripravil:

Anže Novak, univ. dipl. prav.

Svetovalec pooblaščenca za preventivo