Uporaba GSM številke zaposlenega za dostop do lastnih kadrovskih podatkov
+ -Številka: 07121-1/2021/2341
Kategorije: Delovna razmerja, Privolitev
Pri Informacijskem pooblaščencu (IP) smo dne 19. 11. 2021 prejeli vaše zaprosilo za mnenje glede uporabe zasebne telefonske številke v sistemski rešitvi, v kateri se vodijo kadrovski podatki o zaposlenih v podjetju. Do svojih osebnih dokumentov (odločbe, plačilne liste…) lahko zaposleni dostopajo preko osebnega portala. Do osebnega portala pa zaradi varnosti lahko dostopajo preko dvofaktorske avtentikacije kar pomeni, da po prijavi v sistem, dobijo na svoj GSM aparat geslo, s katerim jim je dostop omogočen. Vsi zaposleni nimajo službene telefonske številke, zato pri teh zaposlenih, na podlagi predhodno podpisanega soglasja z njihove strani, uporabljate njihovo zasebno GSM številko. V obeh primerih (ne glede na to, ali gre za službeno ali za zasebno GSM številko) se ta podatek zapiše v polje GSM, ki se uporablja v nadaljevanju kot številka, na katero prispe geslo za uporabo Osebnega portala. Ta številka pa se v sistemski rešitvi prikaže tudi na izpisu osebnega kartona zaposlenega in v nekaterih poročilih (npr. telefonske številke zaposlenih). Do kadrovske evidence, kjer se vodi ta GSM številka (torej tudi do izpisa osebnega kartona in do poročil kadrovske evidence) imajo dostop le kadrovski uporabniki s svojim uporabniškim imenom in geslom.
Zanima vas:
- ali je sámo dejstvo, da je ta številka izpisana tudi na osebnem kartonu in v poročilih kadrovske evidence lahko z vidika varstva osebnih podatkov sporno oziroma, ali gre v tem primeru za kršitev pravil varstva osebnih podatkov;
- ali je v tem primeru nujno dopolniti soglasje delavca, da se številka uporablja za dvofaktorsko avtentikacijo, hkrati pa bo vidna v kadrovski evidenci na določenih izpisih in poročilih, do teh pa lahko dostopajo le pooblaščene osebe z uporabniškim imenom in geslom.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Pri tem še pojasnjujemo, da se lahko do konkretnih primerov obdelave osebnih podatkov dokončno opredelimo le v inšpekcijskih postopkih. Zato so spodnja pojasnila le splošna.
- Uporaba delavčeve zasebne GSM številke za dvofaktorsko avtentikacijo pri dostopu do lastnih kadrovskih podatkov je dopustna na podlagi privolitve delavca, toda ta je veljavna le, če je – poleg drugih pogojev – dana prostovoljno in če je dopusten njen preklic brez negativnih posledic za delavca.
- Možnost priprave poročil in izpisov iz sistema, ki lahko vsebujejo tudi delavčevo zasebno GSM številko, sama po sebi ni nezakonita, vendar le pod pogojem, da se ti dokumenti oziroma podatki o GSM številki na teh dokumentih ne uporabljajo za namen, ki ni krit z ustrezno pravno podlago. V nasprotnem primeru je treba tehnično rešitev ali sam dokument prirediti tako, da te številke ne bodo vidne.
- Delavec mora biti v skladu s 13. členom Splošne uredbe o varstvu podatkov obveščen o vseh pomembnih vidikih obdelave njegovih osebnih podatkov, kar vključuje informacijo o tem, ali in kako ter zakaj bo njegova GSM številka lahko dostopna oziroma uporabljena v sistemu (torej tudi na izpisih in poročilih).
O b r a z l o ž i t e v:
- Z vidika varstva osebnih podatkov je na splošno pomembno, da delavec delodajalcu ni dolžan razkrivati kontaktnih podatkov iz polja zasebne rabe, za razkritje katerih ni na voljo zakonske podlage. V konkretnem primeru menimo, da razkritje zasebne GSM številke in njena uporaba ne more biti nujno potrebna za izvrševanje pravic in obveznosti iz delovnega razmerja, zaradi česar 48. člen ZDR-1 ne pride v poštev kot pravna podlaga za razkritje in nadaljnjo obdelavo delavčeve zasebne GSM številke.
Tudi privolitev delavca v delovnih razmerjih pogosto ne pride v poštev. V vašem primeru bi zaradi tega, ker gre za potrebe delovanja varnostne rešitve in ker gre za omogočanje dostopa do lastnih osebnih podatkov, privolitev pogojno lahko bila ustrezna pravna podlaga za uporabo GSM številke v sistemu. Toda veljavna privolitev mora med drugim izpolnjevati pogoj popolne prostovoljnosti in preklicljivosti. Oba pogoja mora biti delodajalec zmožen dokazati. Če je razkritje GSM številke edina možnost, ki jo ponuja oziroma zahteva delodajalec, ni mogoče govoriti o prostovoljnosti. Taka privolitev bi vsebovala elemente prisilitve zaradi neenakega razmerja moči v delovnem razmerju. Neprostovoljna »privolitev« ni veljavna privolitev in zato ne more imeti učinkov na zakonito obdelavo osebnih podatkov. Enako velja, če delavec brez neugodnih delovnopravnih posledic ne more privolitve preklicati.
Privolitev ni prostovoljna, če posameznik, na katerega se nanašajo osebni podatki, nima možnosti dejanske ali prostovoljne izbire ali privolitve ne more zavrniti ali preklicati brez škode (42. uvodni recital Splošne uredbe o varstvu podatkov). Za zagotovitev, da je privolitev dana prostovoljno, privolitev ne bi smela biti veljavna pravna podlaga za obdelavo osebnih podatkov v posebnem primeru, ko obstaja očitno neravnotežje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem (43. uvodni recital Splošne uredbe o varstvu podatkov).
- Izpisi in poročila iz sistema, ki vsebujejo GSM številko se lahko uporabljajo le v okviru namena, za katerega je delavec podal privolitev. V izjemnih primerih ni izključena tudi kakšna zakonska podlaga (npr. življenjski interesi posmeznika po (d) točki prvega odstavka 6. člena Splošne uredbe o varstvu podatkov). Omejitev dostopnih pravic do sistema je sicer dober varnostni ukrep, a če bi se poročila in izpisi skupaj z GSM številko uporabljali ali kako drugače obdelovali brez pravne podlage (npr. za klicanje na delo, za klice z namenom kontrole, za polzasebne klice), je to kršitev varstva osebnih podatkov.
- Obveznost informiranja posameznika o namenih obdelave in o morebitnih zunanjih uporabnikih ter podlagi (13. člen Splošne uredbe o varstvu podatkov) pride v poštev tudi v vašem primeru. Uporaba izpisov in poročil lahko pomeni drug namen, kot je osnovni namen vodenja teh podatkov, tj. dvofaktorska avtentikacija. Smisleno enako velja za morebitne zunanje uporabnike in za pravno podlago.
Delno se sklicujemo tudi na mnenja IP št. 0712-1/2019/1757, 0712-1/2015/878 in 07121-1/2021/97. Tudi v zvezi s privolitvijo in pogojev za njeno veljavnost je na spletni strani IP že objavljenih več mnenj.
Prijazen pozdrav,
mag. Urban Brulc, univ. dipl. prav.
samostojni svetovalec IP
Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka