Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Uporaba zasebne naprave v službene namene

+ -
Datum: 29.11.2022
Številka: 07121-1/2022/1303
Kategorije: Delovna razmerja, Privolitev

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje uporabe zasebnega digitalnega potrdila za službeno rabo.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, 177/20, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Delodajalec lahko osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Če se na ravni posamezne organizacije z internimi akti določen ukrep opredeli kot nujen, potreben in učinkovit, ga je treba izvajati na način, ki najmanj posega v telo in zasebnost posameznika in brez prekomerne obdelave osebnih podatkov

Delavec ni dolžan dati na razpolago svojih sredstev za to, da lahko delodajalec izpolnjuje svoje dolžnosti, lahko pa delavec svoja sredstva da na razpolago delodajalcu, (samo) če to sam želi.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP uvodoma pojasnjuje, da dopuščanje zasebnih naprav v službenih okoljih neizogibno odpira niz pravnih, tehnoloških in varnostnih izzivov, ki jih je treba pravočasno identificirati in obravnavati. Pred vpeljavo takšne rešitve je zato ključno, da se opravi premislek o poslovnih potrebah oziroma zahtevah, ki jih zasleduje organizacija, izvede ocena učinka v zvezi z varstvom osebnih podatkov po temeljnih načelih varstva osebnih podatkov ter ustrezno dopolnijo interni akti organizacije.

IP je pripravil Smernice o uporabi zasebnih naprav v službene namene, ki predstavljajo prednosti in tveganja, ki jih takšna rešitev prinaša ter priporočila za varno in zakonito uvedbo tovrstnih rešitev. Smernice so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_BYODweb.pdf

IP splošno pojasnjuje, da Splošna uredba o varstvu podatkov v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

a)    posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)   obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)   obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)   obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)    obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

IP splošno pojasnjuje, da glede obdelave osebnih podatkov delavcev veljajo načeloma enaka pravila za delodajalce v zasebnem in javnem sektorju, pri čemer so za ugotavljanje zakonitosti konkretne obdelave pomembni posamezni področni predpisi. Zakon o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 - ZIUPOPDVE, 119/21 - ZČmlS-A, 202/21 - odl. US, 15/22, 54/22 – ZUPS-1) v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, zakaj je potrebna takšna obdelava osebnih podatkov delavca. Pri tem mora delodajalec v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost. Delodajalec mora torej paziti tudi na spoštovanje zasebnosti in dostojanstva delavca, odgovornost delodajalca pa narašča z intenzivnostjo posega v zasebnost. Če okoliščine delovnega razmerja tega ne terjajo oziroma če delodajalec ne izkaže, da je obdelava osebnih podatkov delavca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih ne sme obdelovati.

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

Pri izvedbi posameznih postopkov in ukrepov je torej treba vedno upoštevati tudi načelo sorazmernosti in vedno izbrati tisti ukrep, ki najmanj poseže v pravice zaposlenega glede na zasledovani zakoniti cilj. Posameznih ukrepov torej ne bi smeli odrejati, če je mogoče primerljiv učinek doseči z milejšimi ukrepi. Če se na ravni posamezne organizacije (v konkretnem primeru na ravni delodajalca) z internimi akti določen ukrep opredeli kot nujen, potreben in učinkovit, pa ga je treba izvajati na način, ki najmanj posega v telo in zasebnost posameznika in brez prekomerne obdelave osebnih podatkov. V takem primeru pa je tudi delodajalec tisti, ki mora poskrbeti za ustrezno infrastrukturo, ki omogoča ustrezno opremljenost posameznika, da lahko uporablja določeno storitev, ki je potrebna zaradi delovnega procesa. Kako bo delodajalec to zagotovil, ali bo npr. zaposlenim omogočil uporabo službenih digitalnih potrdil, pa je prepuščeno njemu samemu. IP pojasnjuje tudi, da digitalno potrdilo SIGEN-CA predstavlja identiteto uporabnika v elektronskem življenju. Je računalniški zapis, ki vsebuje podatke o imetniku in njegov javni ključ. Imetnik za uporabo digitalnega potrdila potrebuje tudi zasebni ključ.

Poudariti velja, da delavec ni dolžan dati na razpolago svojih sredstev za to, da lahko delodajalec izpolnjuje svoje dolžnosti, lahko pa delavec svoja sredstva da na razpolago delodajalcu, (samo) če to sam želi. Če delavec svojih sredstev, npr. zasebnega digitalnega potrdila, ne želi dati na razpolago delodajalcu, to nikakor ne sme in ne more vplivati na njegovo delovno razmerje, temveč bi mu moral delodajalec zagotoviti ustrezna delovna sredstva, če ocenjuje, da so res potrebna za delo. Delodajalec mora pred uporabo določene rešitve tudi zagotoviti ustrezno informiranje torej zaposlenih glede obdelave osebnih podatkov, do katere bo prišlo pri opisanem načinu delovanja v skladu z zahtevami 13. člena Splošne uredbe o varstvu osebnih podatkov.

Ob tem IP posebej poudarja, da je obdelava delavčevih osebnih podatkov na podlagi njegove osebne privolitve dopustna le izjemoma pod pogojem, da njena zavrnitev nima nikakršnih posledic na delovno razmerje oziroma na delavčev pravni položaj. Osebna privolitev v delovnih razmerjih torej je oziroma naj bo bolj izjema kot pravilo, saj je delodajalec v razmerju do delavca močnejša stranka in so možnosti za zlorabo tega instituta v delovnih razmerjih toliko večje. Tudi smernice Evropskega odbora za varstvo podatkov (EDPB) glede privolitve kot pravne podlage za obdelavo osebnih podatkov v delovnih razmerjih poudarjajo neprostovoljno naravo razmerja delavec - delodajalec, kar ovira veljavnost privolitve. Temeljni kriterij za dopustnost privolitve v delovnih razmerjih je po mnenju EDPB, da podaja ali zavrnitev privolitve za zaposlene nima nikakršnih negativnih posledic. Pri tem je treba upoštevati podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v 7. členu Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk ali kakršnakoli nedejavnost tako ne pomeni privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

Več informacij o privolitvi lahko najdete lahko najdete tudi na spletni strani IP:

https://www.ip-rs.si/?id=102

IP sklepno povzema, da v kolikor za obdelavo osebnega podatka zaposlenega ne bi bila podana nobena od navedenih pravnih podlag, morebitna obdelava njegovih osebnih podatkov ne bi bila zakonita. 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                   

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka