Vpogled v podatke tujega delavca, ki se hranijo v Sloveniji

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Navajate, da je vaše matično podjetje v Sloveniji, kjer imate tudi serverje, na katere se stekajo vsi podatki, korespondence, maili idr. iz računalnikov hčerinskih in matičnega podjetja. V Srbiji imate zaposleno ekipo, ki je v delovnem razmerju v srbskem (hčerinskem) podjetju. Ti sodelavci imajo službene računalnike in telefone, ki jih uporabljajo v službene in zasebne namene, vsi računalniki in telefoni pa so zaklenjeni z gesli. Zanima vas, pod pogoji katere zakonodaje (srbske ali slovenske) lahko delavec v Sloveniji vpogleda v server in podatke računalnika konkretnega srbskega delavca ter katera zakonodaja se upošteva, če so podatki in komunikacija zaposlenega v srbskem podjetju shranjeni na serverju v Sloveniji.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP ni pristojen za razlago predpisov s področja varstva osebnih podatkov in delovnega prava, ki veljajo v Srbiji.

Državljanstvo posameznikov, katerih osebni podatki se obdelujejo, ni merilo za uporabo določb Splošne uredbe in ZVOP-2. Prav tako za to presojo ni pomemben dejanski kraj obdelave, torej da so osebni podatki delavcev, ki so zaposleni v srbskem podjetju, shranjeni na serverju v Sloveniji. Ozemeljsko veljavnost Splošna uredba ureja v 3. členu, ZVOP-2 pa v 4. členu.

Vsak upravljavec mora glede posameznih dejanj obdelave osebnih podatkov opredeliti svojo vlogo po Splošni uredbi (samostojni/skupni upravljavec ali obdelovalec). Pri presoji, kdo šteje za upravljavca, ni odločilen kriterij samostojne pravne subjektivitete, temveč je relevantno, kdo določa sredstva in namene obdelave osebnih podatkov. To je treba upoštevati tudi v primeru povezane družbe ter ustrezno urediti razmerja med obvladujočo in odvisnimi družbami.

Pri vpogledu v delavčevo komunikacijo ter nadzoru nad njegovim računalnikom in telefonom je treba biti izjemno previden. Če gre za obdelavo zgolj prometnih osebnih podatkov po slovenskem pravu, mora biti za to podana ustrezna pravna podlaga, če pa gre tudi za posege v tajnost komunikacij, se načeloma zahteva sodna odredba oziroma je takšna možnost lahko izjemoma vnaprej predvidena v internih aktih delodajalca, pri čemer pa je treba upoštevati tudi utemeljeno pričakovanje zasebnosti delavcev na delovnem mestu.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da izven nadzornega postopka konkretnih obdelav osebnih podatkov ne more presojati. Prav tako IP ni pristojen za razlago predpisov s področja varstva osebnih podatkov in delovnega prava, ki veljajo v Srbiji, niti se ne more opredeljevati do urejanja delovnopravnih razmerij v primerih, ko je delavec zaposlen v Sloveniji in dela v Srbiji oziroma ko je zaposlen pri delodajalcu v Srbiji in določene naloge delodajalca opravlja poslovni subjekt v Sloveniji. IP tudi more dajati pojasnil glede tega, kateri predpisi se uporabljajo v delovnopravnih zadevah, kar pa je treba vsekakor upoštevati, če gre za zaposlene, za katere veljajo tudi srbski predpisi oziroma sodijo v okvir meddržavnih sporazumov s tega področja. Iz vašega vprašanja nadalje ne izhaja, kdo je v konkretnem primeru upravljavec osebnih podatkov delavca hčerinske družbe v Srbiji, v katere želi delavec matične družbe vpogledati, ter s kakšnim namenom in v katere podatke želi vpogledati. Zato vam v nadaljevanju IP podaja splošna pojasnila ter pravna izhodišča in pogoje za zakonito obdelavo osebnih podatkov z vidika predpisov s tega področja, ki veljajo v Republiki Sloveniji.

Zgolj državljanstvo posameznikov, katerih osebni podatki se obdelujejo, ni merilo za uporabo določb Splošne uredbe in ZVOP-2. Prav tako za to presojo ni pomemben dejanski kraj obdelave, torej da so osebni podatki delavcev, ki so zaposleni v srbskem podjetju, shranjeni na serverju v Sloveniji. Ozemeljsko veljavnost ureja Splošna uredba 3. členu, in sicer na podlagi dveh glavnih meril: merila »ustanovitve« upravljavca ali obdelovalca v skladu s prvim odstavkom in merila »ciljanja« v skladu drugim odstavkom. Kadar je izpolnjeno eno od teh dveh meril, se za obdelavo osebnih podatkov, ki jo izvaja določen upravljavec ali obdelovalec, uporabljajo določbe Splošne uredbe. Več o tem si lahko preberete v Smernicah EDPB št. 3/2018 o ozemeljski veljavnosti Splošne uredbe, ki so dostopne na: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3-version_sl. V teh smernicah so opisani različni scenariji, ki se lahko pojavijo, odvisno od vrste dejavnosti obdelave, subjekta, ki izvaja te dejavnosti obdelave, ali lokacije tega subjekta, navedene pa so tudi določbe, ki se uporabljajo v posameznih primerih.

Glede ozemeljske veljavnosti podobno določa tudi ZVOP-2, in sicer da velja ta zakon za obdelavo osebnih podatkov, ki se izvaja v okviru javnega sektorja Republike Slovenije, in za zasebni sektor, kadar gre za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, registrirane v Republiki Sloveniji, čeprav obdelava osebnih podatkov ne poteka v Republiki Sloveniji. Ta zakon velja tudi za obdelavo osebnih podatkov, ki se izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, ki je registrirana zunaj Evropske unije, če so dejavnosti obdelave povezane z nudenjem blaga ali storitev posameznikom v Republiki Sloveniji, ne glede na to, ali je zanje potrebno plačilo, ali če so povezane s spremljanjem delovanja ali vedenja posameznikov, če to poteka v Republiki Sloveniji.

Zato je v prvi vrsti pomembno, da jasno opredelite vloge po Splošni uredbi, torej pri katerih dejanjih obdelave v okviru povezane družbe gre za upravljavstvo, skupno upravljavstvo ali morda pogodbeno obdelavo, upoštevaje ureditev statusnih razmerij in organizacijo postopkov med matično in hčerinsko družbo. Nato je pri iskanju odgovora na vaše vprašanje treba ugotoviti, kdo je upravljavec ter morebitni obdelovalec osebnih podatkov delavca v Srbiji ter v kakšnem razmerju sta hčerinska družba v Sloveniji in matična družba v Srbiji z vidika vlog po Splošni uredbi.

»Upravljavec« je skladno s 7. točko 4. člena Splošne uredbe fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. Gre torej za subjekt, ki odloča o posameznih ključnih vidikih obdelave. Kadar je v obdelavo vključen več kot en subjekt, pa lahko pride do skupnega upravljanja, in sicer v primerih, ko dva ali več upravljavcev sodeluje pri določitvi namenov in sredstev dejanja obdelave. »Obdelovalec« je skladno z 8. točko 4. člena Splošne uredbe fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca. O pojmu upravljavca in obdelovalca v Splošni uredbi je Evropski odbor za varstvo podatkov (EDPB) izdal smernice št. 7/2020, ki so vam lahko v pomoč pri presoji teh vlog in so dostopne na: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_sl.

Pri presoji, kdo šteje za upravljavca, ni odločilen kriterij samostojne pravne subjektivitete, temveč je relevantno, kdo določa sredstva in namene obdelave osebnih podatkov. To je treba upoštevati tudi v primeru povezane družbe ter ustrezno urediti razmerja med obvladujočo in odvisnimi družbami (glej 19. točko 4. člena ter uvodni izjavi 36 in 37 Splošne uredbe). Več o tej temi si lahko preberete tudi v mnenju IP št. 0712-1/2019/899, ki je dostopno na https://www.ip-rs.si/mnenja-gdpr/.

Glede na to, da iz vašega zaprosila izhaja, da se osebni podatki delavcev med družbama v Sloveniji in Srbiji, ki je tretja država, najverjetneje izmenjujejo, je treba preveriti, ali pridejo v poštev tudi določbe Splošne uredbe in ZVOP-2 o prenosu osebnih podatkov v tretje države. Več o prenosih si lahko preberete na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-dr%C5%BEave-in-mednarodne-organizacije/.

V konkretnem primeru je treba torej upoštevati, da želi v osebne podatke delavca v Srbiji vpogledati slovenska matična družba, ki jo glede na kriterij ustanovitve zavezujejo določbe  Splošne uredbe, ZVOP-2 in drugih relevantnih nacionalnih predpisov s področja varstva osebnih podatkov. Če velja matična družba v Sloveniji za upravljavca oziroma obdelovalca osebnih podatkov delavca v Srbiji, potem bi lahko delavec, zaposlen pri slovenski matični družbi, v njegove osebne podatke vpogledal, če bi imel dostopne pravice za to oziroma bi bili te podatki pomembni za izvajanje njegovih delovnih nalog. Če pa slovenska matična družba ne bi štela niti za upravljavca niti za obdelovalca, pa bi lahko imela pravni interes za pridobitev oziroma drugačno obdelavo teh osebnih podatkov na primer na podlagi zakonitih interesov v smislu točke f) prvega odstavka 6. člena Splošne uredbe. V uvodni določbi 48. člena Splošne uredbe je namreč zapisano, da imajo lahko upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, zakoniti interes za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih.

IP ob tem dodaja, da je treba biti pri vpogledu v delavčevo komunikacijo ter nadzorom nad njegovim računalnikom in telefonom zaradi varstva pričakovane zasebnosti na delovnem mestu izjemno previden.

V primeru, da bi šlo za obdelavo zgolj prometnih podatkov po slovenskem pravu, mora biti za to podana ustrezna pravna podlaga po prvem odstavku 6. člena ZVOP-2 v zvezi s 6. členom Splošne uredbe. Če pa bi šlo pri tem tudi za posege v tajnost komunikacij v Republiki Sloveniji, bi se praviloma zahtevala sodna odredba. IP je v smernicah o varstvu osebnih podatkov v delovnih razmerjih (4. poglavje o nadzoru na delovnem mestu) že zapisal, da gre v takih primerih za kolizijo dveh pravic, in sicer lastninsko pravico delodajalca in delavčevo pravico do zasebnosti, nobena od teh pa ni absolutna in treba je v vsakem konkretnem primeru iskati primerno in čim manj invazivno rešitev glede na dane okoliščine. Vsaka oblika nadzora, ki pomeni poseg v pravico do zasebnosti, mora biti bodisi vnaprej utemeljena in transparentno predstavljena zaposlenim v internih aktih podjetja (v kakšnih primerih, na kakšen način in kdo ga lahko izvaja) bodisi imeti zakonsko podlago ter biti skladna z ustavnimi določili glede varstva zasebnosti. Ključni element sodne prakse ESČP je namreč v tem, da je sodišče oblikovalo standard utemeljenosti pričakovanja zasebnosti delavcev na delovnem mestu. Pri tem je pomembno, ali lahko zaposleni subjektivno in objektivno v določenih okoliščinah predvidi oblike nadzora. Sama opredeljenost nadzora v internih aktih pa še ne pomeni, da je vsak tak nadzor tudi dopusten – predhodna obveščenost zaposlenih je tako potreben, ne pa nujno tudi zadosten pogoj za zakonitost nadzora uporabe delovnih sredstev, ki vključuje obdelavo osebnih in/ali komunikacijskih podatkov. Celotne smernice IP so dostopne na: https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/varstvo-osebnih-podatkov-v-delovnih-razmerjih

O nadzoru zaposlenih na delovnem mestu je IP že izdal več mnenj, ki so dostopna na naši spletni strani https://www.ip-rs.si/mnenja-zvop-2/ (kategorija »Delovna razmerja«, npr. mnenja št. 07121-1/2022/488, 07121-1/2020/1052, 0712-1/2015/1621, 0712-1/2014/2889 ipd.).

Lepo vas pozdravljamo,

Pripravila:                                                                                                                                

Tina Ivanc, univ. dipl. prav.,

svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka