Dostop do osebnih podatkov s strani zaupnika po ZZPri

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Zanima vas, ali je zaupnik po Zakonu o zaščiti prijaviteljev upravičen do neposrednega dostopa do osebnih podatkov zaposlenih zaradi zagotavljanja anonimnosti ali le do posrednega dostopa, torej na zahtevo.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Iz določb ZZPri, vzorca notranjega akta za vzpostavitev notranje poti za prijavo ter splošnih načel v zvezi za varstvom osebnih podatkov izhaja, da je zaupnik upravičen dostopati le do tistih osebnih podatkov zaposlenih, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namen obravnave konkretne prijave po ZZPri. To pomeni, da zaupnik osebnih podatkov zaposlenih v nobenem primeru ni upravičen zbirati na zalogo ne glede na to, ali mu je zagotovljen posreden ali neposreden dostop.

Na upravljavcu je odgovornost, da glede na konkretne okoliščine z notranjim aktom uredi primerno tehnično izvedbo dostopa do podatkov, ki jih zaupnik potrebuje za izvajanje svojih nalog, pri tem pa zagotovi ustrezno raven varnosti osebnih podatkov in zaupnost prijaviteljev.

O b r a z l o ž i t e v:

Za vsako obdelavo osebnih podatkov mora imeti upravljavec ustrezno in zakonito pravno podlago. Po prvem odstavku 6. člena ZVOP-2 se lahko osebni podatki obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe. To sta med drugim izpolnitev zakonske obveznosti, ki velja za upravljavca, ter opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

Pravno podlago za obdelavo osebnih podatkov v okviru prijave kršitve predpisov, za katere so posamezniki izvedeli v delovnem okolju, določa Zakon o zaščiti prijaviteljev (Uradni list RS, št. 16/23; v nadaljevanju ZZPri). Po 12. točki 4. člena ZZPri je zaupnik ena ali več zaupanja vrednih oseb ali notranja organizacijska enota za prejem in obravnavo notranjih prijav.

Skladno s petim odstavkom 7. člena ZZPri se osebni podatki, za katere je očitno, da niso potrebni za obravnavo prijave, ne zbirajo. Po drugem odstavku 12. člena ZZPri, ki ureja obravnavo notranje prijave, pa zaupnik zlasti od prijavitelja in osebe, na katero se prijava nanaša, pridobi informacije, ki so potrebne za oblikovanje predlogov ukrepov, ki so usmerjeni v prenehanje kršitve, odpravo posledic kršitve ali preprečevanje prihodnje kršitve.

Kot izhaja iz štirinajstega odstavka 9. člena ZZPri, zavezanec sprejme notranji akt, v katerem opiše notranjo pot za prijavo in med drugim opredeli postopek prejema notranje prijave in njene obravnave. Postopek obravnave prijave morate imeti tako urejen tudi v notranjih navodilih. V vzorcu notranjega akta za vzpostavitev notranje poti za prijavo, ki ga je pripravilo Ministrstvo za pravosodje v sodelovanju s Komisijo za preprečevanje korupcije (dostopen na povezavi »Gradivo« na spletni strani https://www.gov.si/novice/2023-02-22-veljati-je-zacel-zakon-o-zasciti-prijaviteljev-zvizgacev/), je denimo navedeno, da ima zaupnik pri delu dostop do gradiva, relevantnega za obravnavo prijave, zaposleni pa so mu dolžni nuditi pomoč in informacije, potrebne za njegovo delo. Zaupnik podatke, s katerimi se seznani, uporablja le za namene obravnave prijave in odprave kršitve.

Iz navedenih zakonskih določil, vzorca notranjega akta ter splošnih načel v zvezi za varstvom osebnih podatkov iz 5. člena Splošne uredbe, predvsem omejitve namena in najmanjšega obsega podatkov, izhaja, da je zaupnik upravičen dostopati le do tistih osebnih podatkov zaposlenih, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namen obravnave konkretne prijave po ZZPri. To pomeni, da zaupnik osebnih podatkov zaposlenih v nobenem primeru ni upravičen zbirati na zalogo ne glede na to, ali podatke pridobiva na zahtevo ali ima omogočen neposreden dostop do evidenc zaposlenih. Bistveno je, da upravljavec vzpostavi primerno tehnično izvedbo dostopa do podatkov, ki jih zaupnik potrebuje za izvajanje svojih nalog, pri tem pa zagotovi ustrezno raven varnosti osebnih podatkov (32. člen Splošne uredbe) in zaupnost prijaviteljev (6. člen ZZPri, prvi odstavek 12. člen ZZPri). Vsak upravljavec mora torej z notranjim aktom urediti način pridobivanja osebnih podatkov s strani zaupnika, bodisi posredno bodisi neposredno, upoštevaje konkretne okoliščine, kot so način vodenja evidenc, upravljanje dokumentarnega gradiva, število zaposlenih, organizacijo poslovnega procesa, dostopne pravice in podobno. IP namreč v mnenju ne more podati konkretnih in dokončnih navodil, na kakšen način naj posamezen upravljavec uredi postopek obravnave notranje prijave po ZZPri, zato na vaše vprašanje ne more dokončno odgovoriti.

Lepo vas pozdravljamo,

Pripravila:                                                                                                                                

Tina Ivanc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka