Zahteva po zasebni telefonski številki zaradi dostopa do službene e-pošte

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nas prosite za mnenje. Kot ste pojasnili ste vsi zaposleni na službene elektronske naslove prejeli obvestilo, da morate javiti svojo osebno mobilno telefonsko številko v računalniški podporni center, da se boste lahko prijavili v vaš službeni elektronski naslov z uporabo dvofaktorske avtentikacije za zagotovitev večje varnosti. Prvo geslo naj bi ostajalo enako, drugo pa naj bi prejemali vsakič po svojem mobilnem telefonu z sms sporočilom. Ker se vam osebno zdi to sporno, saj je vaš osebni telefon s številko vaša osebna last in ne last delodajalca, ste poklicali v računalniški podporni center UKCL, kjer ste na vaše vprašanje, kaj bon če tega ne naredite, dobili njihov odgovor, da potem pa ne boste prejemali elektronske pošte. Pojasnili ste še, da tu ne gre za delo od doma temveč za delo na delovnem mestu.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Informacijski pooblaščenec (v nadaljevanju IP) uvodoma pojasnjuje, da je omenjena tema obravnavana v smernicah IP o varstvu osebnih podatkov v delovnih razmerjih, ki so dostopne na:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf

V smernicah smo pojasnili, da »ZEPDSV posebej ne določa možnosti zbiranja zasebnih kontaktnih podatkov delavca (zasebna telefonska številka, zasebni elektronski naslov), prav tako ti podatki praviloma niso nujno potrebni za uresničevanje pravic in obveznosti iz delovnega razmerja. Zato jih delodajalec lahko zbira s privolitvijo delavca izrecno za namen lažjega in hitrejšega komuniciranja, ki naj bi bilo v interesu obeh. V tem primeru mora delodajalec natančno opredeliti, da posredovanje podatkov ni obvezno in da lahko delavec posreduje enega ali oba podatka, odvisno od tega, na kakšen način želi, če sploh želi, komunicirati z delodajalcem preko telefona ali elektronske pošte. Delodajalec namreč lahko komunicira z delavcem tudi po navadni pošti oz. delavcu, če to zahteva organizacija delovnega procesa, dodeli službeni telefon in/ali službeno elektronsko pošto.

Če pa delodajalec določi, da mora biti delavec vedno dosegljiv oziroma je stalna dosegljivost predpisana v notranjih aktih delodajalca ali v pogodbi o zaposlitvi in kot taka predstavlja obveznost iz delovnega razmerja, mora delodajalec poskrbeti za ustrezno infrastrukturo, ki omogoča dosegljivost delavca tudi na domu oziroma izven službenih prostorov in delovnega časa. Kako bo delodajalec to zagotovil, je prepuščeno njemu samemu (npr. s službenim mobilnim telefonom, z omogočanjem oddaljenega dostopa do službene elektronske pošte). Informacijski pooblaščenec poudarja, da delavec ni dolžan dati na razpolago svojih sredstev za to, da lahko delodajalec izpolnjuje svoje dolžnosti. Delavec svoja sredstva sicer lahko da na razpolago delodajalcu, vendar le če to sam želi, po dogovoru tudi z ustrezno odmero uporabnino.«

V delovnih razmerjih privolitev kot podlaga za obdelavo osebnih podatkov praviloma ne pride v poštev, saj med zaposlenim in delodajalcem obstaja razmerje podrejenosti-nadrejenosti, kjer se privolitev načeloma šteje za prisiljeno. Prisiljena privolitev ni veljavna privolitev. Podlago za obdelavo osebnih podatkov v delovnih razmerjih tako praviloma predstavlja zakon oziroma pogodba z zaposlenim. Skladno z 48. členom Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS in 81/19, v nadaljevanju: ZDR-1) delodajalec obdeluje osebne podatke samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Da bi se štelo, da telefonska številka posameznika predstavlja obveznost iz delovnega razmerja mora takšna zahteva izhajati iz internega akta delodajalca ali pogodbe o zaposlitvi. V takem primeru pa je tudi delodajalec tisti, ki mora poskrbeti za ustrezno infrastrukturo, ki omogoča ustrezno opremljenost posameznika, da lahko uporablja določeno storitev, ki je potrebna zaradi delovnega procesa. Kako bo delodajalec to zagotovil, ali bo zaposlenim omogočil uporabo službenih mobilnih telefonov, pa je prepuščeno njemu samemu. Poudariti velja, da delavec ni dolžan dati na razpolago svojih sredstev za to, da lahko delodajalec izpolnjuje svoje dolžnosti, delavec pa svoja sredstva sicer lahko da na razpolago delodajalcu, (samo) če to sam želi. Če delavec svojih sredstev, npr. zasebne telefonske številke, ne želi dati na razpolago delodajalcu, to nikakor ne sme in ne more vplivati na njegovo delovno razmerje, temveč bi mu moral delodajalec zagotoviti ustrezna delovna sredstva, če ocenjuje, da so res potrebna za delo. 

Delodajalec mora pred uporabo omenjene storitve tudi zagotoviti ustrezno informiranje posameznikov, torej zaposlenih, glede obdelave osebnih podatkov, do katere bo prišlo pri opisanem načinu delovanja e-pošte. Ustrezno informiranje zaposlenih lahko pomembno vpliva tudi na njihovo zaupanje v primerno ravnanje s podatki. Zaposlenim mora na ustrezen način podati vse informacije, ki jih zahteva člen 13 Splošne uredbe (kolikor še niso znane zaposlenim):

•              identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

•              kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

•              namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

•              kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

•              uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;

•              kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

•              obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

•              obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;

•              kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

•              pravico do vložitve pritožbe pri nadzornem organu;

•              ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in

•              obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

V pomoč se lahko zgleduje tudi po obrazcu, ki je na voljo na spletni strani Informacijskega pooblaščenca:

https://www.ip-rs.si/fileadmin/user_upload/doc/vzorci/VZOREC_OBVESTILA_POSAMEZNIKOM_GLEDE_OBDELAVE_OSEBNIH_PODATKOV.docx.

Informacije se lahko zaposlenim posreduje po elektronski pošti, objavi na intranetu ali se jih posreduje na drug ustrezen način. Med informacijami je pomembno, da je zaposlenim jasno predstavljen namen obdelave osebnih podatkov (zakaj je potrebna uporaba telefonske številke), kakor tudi zagotovila, da se bo s podatki ravnalo na varne način; praviloma naj bi varnost osebnih podatkov urejal interni akt (pravilnik o varnosti osebnih podatkov). 

Glede na priložena naknadna obvestila vašega računalniškega centra pa ugotavljamo, da se je delodajalec odločil, da omogoči tudi alternativno možnost, brez uporabe vaše telefonske številke (z rešitvijo MS Authenticator), zato imate možnost izbire in lahko izberete možnost, kjer delodajalcu ne potrebujete zaupati vaše zasebne telefonske številke in vseeno nemoteno dostopate do elektronske pošte.

S spoštovanjem,

Mojca Prelesnik, univ.dipl.prav.,                                                                                                   

informacijska pooblaščenka

Pripravil:                                                                                                                                  

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke