Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Vpogled v kadrovsko mapo zaposlenega

+ -
Datum: 22.06.2023
Številka: 07121-1/2023/842
Kategorije: Delovna razmerja, Privolitev, Zakoniti interesi

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje v zvezi z vpogledom v kadrovsko mapo zaposlenih. Pojasnjujete, da so zaposleni podali soglasje za zbiranje in obdelavo osebnih podatkov. Ob zunanjem pregledu s strani presojevalcev ISO standarda ste morali dati na vpogled kadrovsko mapo izbranih delavcev. Zanima vas, ali je takšen vpogled v osebne podatke delavca v nasprotju z varovanjem osebnih podatkov oz. ali bi morali pridobiti soglasje delavca. Sprašujete tudi, ali je podaja soglasja ob zaposlitvi za ta namen dopustna (ob dejstvu, da delavca seznanite, da lahko podano soglasje kadarkoli umakne).

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Upravljavec mora za seznanitev z osebnimi podatki s strani tretjih oseb (npr. kot navajate presojevalcev ISO standarda) izkazati ustrezno pravno podlago skladno s 6. členom Splošne uredbe, npr. zakoniti interes po točki (f) prvega odstavka 6. člena Splošne uredbe, če in v obsegu, v katerem so za to izpolnjeni pogoji ter sprejeti ustrezne ukrepe za zavarovanje osebnih podatkov.

O b r a z l o ž i t e v:

Pri tem IP poudarja, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. 

Pojasnjujemo, da mora za zakonito obdelavo osebnih podatkov, kamor štejemo tako zbiranje osebnih podatkov, kot tudi npr. vpogled v njih, obstajati pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe, npr.:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

V okviru delovnega razmerja je relevantna tudi določba prvega odstavka 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmIS-A, 202/21 – odl. US, 15/22 in 54/22 – ZUPŠ-1, ZDR-1), ki določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Za obdelavo osebnih podatkov mora obstajati primerna pravna podlaga, tako za vodenje določenih evidenc, kot tudi za posredovanje podatkov tretjim osebam. Vodenje evidenc s področja dela je predpisano z zakonodajo, npr. z Zakonom o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06 in 50/23), ki med drugim določa evidenco o zaposlenih delavcih. Tudi za posredovanje osebnih podatkov zaposlenih iz teh evidenc tretji osebi (npr. v vašem primeru ISO presojevalcu) mora delodajalec zagotoviti ustrezno pravno podlago, npr. zakoniti interesi po točki (f) prvega odstavka 6. člena Splošne uredbe. Na zakonite interese se lahko upravljavec sklicuje pod pogojem in v obsegu, če je obdelava potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec, ali tretja oseba in če nad takimi interesi ne prevladajo interesi ali temeljne pravice in svoboščine posameznika. Vsekakor priporočamo, da presojo zakonitega interesa ustrezno pisno dokumentirate.

Ob tem je treba upoštevati tudi načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Predlagamo vam, da v konkretnem primeru presodite, kakšen je obseg podatkov, ki se lahko razkrije določenim zunanjim izvajalcem. Ob tem morate zagotoviti tudi ustrezno zavarovanje osebnih podatkov (npr. z internimi akti upravljavca oz. s pogodbo z zunanjim izvajalcem) kar pomeni, da je treba sprejeti določene tehnične oz. organizacijske ukrepe za zavarovanje teh podatkov skladno s 24., 25. in 32. členom Splošne uredbe (npr. pogodbenika se zaveže k varovanju zaupnosti, prepovedi uporabe podatkov v druge namene, itd.).

Opozarjamo, da pride privolitev v delovnem razmerju zaradi neenakosti moči strank v delovnopravnih razmerjih kot pravna podlaga v poštev zgolj izjemoma in sicer pod pogojem, da lahko posameznik resnično brez kakršnihkoli posledic za delovno razmerje privolitev odkloni. Tudi če obstaja privolitev zaposlenih za obdelavo osebnih podatkov, ki so jo podali ob sklenitvi pogodbe o zaposlitvi opozarjamo, da morajo iz privolitve natančno izhajati nameni, zaradi katerih se lahko osebni podatki obdelujejo.

Upamo, da smo vam s podanimi napotili uspeli pomagati.

Lepo vas pozdravljamo,

 

Mojca Prelesnik, univ. dipl. prav.,                                                  

informacijska pooblaščenka

 

Pripravila:                                                                                                                                

Barbara Žurej, univ. dipl. prav.,

svetovalka pooblaščenca za preventivo