Nepravilnosti v podjetju
+ -Številka: 07121-1/2023/1064
Kategorije: Delovna razmerja, Varnost osebnih podatkov, Razno
Pri Informacijskem pooblaščencu (IP) smo dne 4. 8. 2023 prejeli vaše zaprosilo za mnenje o dogodkih v vašem podjetju v zvezi s prisluškovanjem delodajalca, domnevno povzročeno škodo za delodajalca, nedostopnostjo internega pravilnika o varstvu osebnih podatkov in razkrivanju poslovnih skrivnosti zunanjim osebam. Opisujete dogodke v zvezi z (možno) odpovedjo delovnega razmerja, priložili pa ste tudi večje število prilog.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena ZVOP-2, 58. členom Splošne uredbe o varstvu podatkov, 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP ni pristojen za svetovanje ali nadzor:
- v zvezi z domnevnim prisluškovanjem komunikacij, ker gre lahko za kaznivo dejanje;
- v zvezi z domnevno škodo, ki naj bi jo utrpel delodajalec IP, ker gre za civilnopravna in delovnopravna razmerja;
- v zvezi z razkrivanjem poslovnih skrivnosti zunanjim osebam, ker gre lahko za kaznivo dejanje in za civilnopravna ter delovnopravna razmerja (gl. Zakon o poslovni skrivnosti);
- v zvezi z delovnopravnimi razmerji v delu, ki se ne nanašajo na področje varstva osebnih podatkov.
V zvezi z internim pravilnikom o varnosti osebnih podatkov pojasnjujemo, da mora biti vsak upravljavec sposoben dokazati, da ima implementirane ustrezne postopke in ukrepe za varnost osebnih podatkov; praviloma to pomeni tudi sprejem internega pravilnika, ki ga je možno izvajati le, če so z njim na primeren način seznanjeni tudi zaposleni pri upravljavcu.
V primeru zaznanih kršitev varstva osebnih podatkov možno pri IP vložiti prijavo. Prijavitelj si lahko pomaga z enotnim obrazcem prijave (obrazec VOP prijava) na naslednji povezavi:
https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.
Obrazložitev:
Iz vašega dopisa in prilog niso razvidna konkretna dejstva in okoliščine, na podlagi katerih bi lahko zanesljivo sklepali na kršitve varstva osebnih podatkov. Zato vas obveščamo, da v tem trenutku ni možno uvesti nadzornega postopka. Možno pa je, da vložite ločeno prijavo tako v primeru, če so bile prizadete vaše pravice kot tudi če gre za sistemske kršitve, ki se tičejo več posameznikov.
Ugotavljamo, da se del problematike nanaša na področja za katera žal nismo pristojni.
Glede internega pravilnika o varnosti osebnih podatkov pojasnjujemo, da ga Splošna uredba in novi ZVOP-2 izrecno ne zahtevata. Vendar pa je zagotavljanje ukrepov za varnost osebnih podatkov (gl. zlasti 5. in 32. člen Splošne uredbe) praviloma težko izvajati in tudi težko dokazati, če upravljavec ne sprejme in v poslovanje ne integrira internih pravil o postopkih in ukrepih za varnost osebnih podatkov. Pomemben del integracije internih pravil je tudi seznanitev zaposlenih. Vendar pa zgolj zato, če zaposleni niso ustrezno seznanjeni z vsebino internih pravil, to še ne pomeni, da gre samo po sebi za kršitev varstva osebnih podatkov (torej kršitev Splošne uredbe in ZVOP-2), če se pravila sicer izvajajo ter posledično ne prihaja do kršitev varstva osebnih podatkov.
Lepo vas pozdravljamo,
Pripravil:
dr. Urban Brulc, univ. dipl. prav.
samostojni svetovalec IP
Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka