Dostop študentke do osebnih podatkov zaposlenih
+ -Številka: 0712-1/2017/1494
Kategorije:Delovna razmerja, Zavarovanje osebnih podatkov
Spoštovani,Informacijskega pooblaščenca (v nadaljevanju IP) ste zaprosili za podajo mnenja glede dostopa (mladoletne) študentke, ki preko študentskega servisa opravlja delo v vašem podjetju, do vseh osebnih podatkov, ki se vodijo v kadrovskih mapah zaposlenih (npr. izobrazbene strukture, naslovi, davčne številke, EMŠO in med drugim tudi do občutljivih osebnih podatkov iz zdravniških pregledov, bolniških staležev ipd.), ki ga v podjetju zaznavate kot problematičnega. Zanima vas, ali za taka ravnanja v podjetju, obstaja ustrezna zakonska pravna podlaga oziroma ali je z zakonom omejen dostop do teh podatkov.Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.Dejstvo, da študentka, ki v vašem podjetju po pogodbi (študentski napotnici) opravlja delo v kadrovski službi, v zvezi s svojim delom dostopa do osebnih podatkov samo po sebi še ne pomeni, da delodajalec krši določbe zavarovanja osebnih podatkov, saj ne gre za katerokoli tretjo osebo. Kot je razbrati, gre za s strani delodajalca določeno osebo, ki ji je delodajalec določene podatke predal v obdelavo v zvezi z nalogami, ki jih opravlja. Študentka, ki je bila v vaše podjetje napotena po študentski napotnici, je oseba, ki ji je priznana najmanj poslovna sposobnost za opravljanje dela po navodilih in pod dolžnim nadzorstvom delodajalca (odgovorne osebe delodajalca z ustreznimi pooblastili). Gre torej za osebo, ki je za določen čas postala del poslovnega procesa delodajalca, seveda pa mora tudi zanjo (enako kot za ostale zaposlene) delodajalec zagotoviti, da se za ta čas zaveže in podvrže vsem njegovim pravilom in ukrepom glede varstva osebnih podatkov, npr. tudi s pisno izjavo o trajnem varstvu osebnih podatkov, katere ji delodajalec po navodilih in pod dolžnim nadzorstvom zaposlene odgovorne osebe poveri v morebitno obdelavo in s katerimi se pri delu seznani. IP opozarja, da se morajo odgovorne osebe, ki so pri podjetju pooblaščene izvajati dolžno nadzorstvo (t.j. vodstvo podjetja oziroma od njega pooblaščena odgovorna oseba za zbirko osebnih podatkov zaposlenih), zavedati, da so (tudi z vidika 15. člena Zakona o prekrških) polno odgovorni za nadzor dela, ki ga v imenu, na račun, v korist ali s sredstvi delodajalca opravi ali ne opravi študentka pri obdelavi osebnih podatkov v personalnih mapah, kakor da bi ga opravljali oni sami. Enako pa seveda velja, da mora študentka svoje delo opravljati v skladu z navodili in podatkov, s katerimi se seznani, ne sme nepooblaščeno posredovati tretjim.Prav tako mora delodajalec zagotoviti sistem sledljivosti, ki omogoča kasnejše ugotavljanje, kdo in kdaj je vpogledal v katero od personalnih map zaposlenih oziroma spreminjal osebne podatke v personalnih mapah. Osebne podatke v zasebnem sektorju, se skladno s prvim odstavkom 10. člena ZVOP-1 lahko obdeluje samo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev posameznika. Zakonsko podlago v smislu navedene določbe ZVOP-1 urejata Zakon o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/2006, v nadaljnjem besedilu ZEPDSV) in Zakon o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F in 52/16, v nadaljnjem besedilu ZDR-1). Medtem ko slednji v prvem odstavku 48. člena določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in dostavljajo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, ZEPDSV izrecno določa vrste in vsebino evidenc na področju dela in socialne varnosti, način zbiranja podatkov, način vodenja in povezovanja evidenc, način posredovanja podatkov za potrebe državnih organov, lokalnih skupnosti in nosilcev javnih pooblastil ter ostalih uporabnikov, ki te podatke potrebujejo za opravljanje zakonsko določenih nalog oziroma za vodenje zbirk podatkov o posameznikih ali posameznicah ter za namene izvajanja statističnih, socialno ekonomskih in drugih raziskovanj, ki imajo zakonsko podlago.IP meni, da za študente, ki jih delodajalci najemajo preko študentskega servisa, enako kot za delavce v delovnem razmerju velja, da delo opravljajo po navodilih (podeljenih pravicah, pristojnostih in obveznostih ter odgovornostih) in pod nadzorom delodajalca, torej v imenu delodajalca. Študentje v razmerju do delodajalca tako ne sodijo med tretje osebe. Delodajalec, ki je odgovoren za izvajanje varnega in učinkovitega delovnega procesa, mora preko ustreznih navodil osebam, vključenih v delovni proces, med katere sodijo tudi študentje, zagotoviti, da delovni proces sledi tem ciljem. S sprejemom dela pri določenem delodajalcu (ta vedno temelji na prostovoljni odločitvi delavca) se šteje, da delavec na te delodajalčeve pogoje tudi pristane in jih je dolžan spoštovati. To velja tudi za delo npr. napotenih delavcev, katerih položaj se po svoji vsebini najbolj približuje delo študentov, ki opravljajo delo preko študentskih napotnic, kar pomeni tudi, da so dopolnili najmanj petnajsto leto starosti, so sicer omejeno poslovno sposobni, lahko pa sklepajo pravne posle, če zakon ne določa drugače (odobritev zakonitega zastopnika je potrebna le pri poslih, ki so tako pomembni, da bistveno vplivajo na mladoletnikovo življenje - 108. člen Zakona o zakonski zvezi in družinskih razmerjih). Študentje so se tako, kot vsi ostali delavci, ki opravljajo delo v okviru delovnega razmerja, kot tudi drugi na delo napoteni delavci, dolžni podvreči pravilom delodajalca, s katerimi, z namenom doseganja kakovostnih in zanesljivih rezultatov, zagotavlja varen in učinkovit delovni proces, vključno s pravili in ukrepi za zagotavljanje zavarovanja (občutljivih) osebnih podatkov, kot jih glede na ocenjena tveganja njihove obdelave, predpiše in izvaja delodajalec.ZVOP-1 ne določa konkretnih napotkov za zavarovanje oziroma ne določa konkretnih varnostnih standardov, v skladu s katerimi bi delodajalec, kot upravljavec osebnih podatkov zaposlenih moral le-te zavarovati, pač pa našteva splošne pogoje zlasti v 14., 24. in 25. členu. Dolžnost vsakega upravljavca pa je, da po lastni presoji in ob upoštevanju konkretnih nevarnosti uvede ustrezne varnostne ukrepe in druge ukrepe za zavarovanje osebnih podatkov.ZVOP-1 zavarovanje občutljivih osebnih podatkov, med katere sodijo tudi podatki o zdravstvenem stanju posameznega zaposlenega, določa v 14. členu:(1) Občutljivi osebni podatki morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih, razen v primeru iz 5. točke 13. člena tega zakona.(2) Pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.Zavarovanje ostalih osebnih podatkov v skladu s 24. členom ZVOP-1 obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi osebne podatke ustrezno varuje, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihovo spremembo ali izgubo ter nepooblaščeno obdelavo teh podatkov tako, da se:1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.(2) V primeru obdelave osebnih podatkov, ki so dostopni preko telekomunikacijskega sredstva ali omrežja, morajo strojna, sistemska in aplikativno programska oprema zagotavljati, da je obdelava osebnih podatkov v zbirkah osebnih podatkov v mejah pooblastil uporabnika osebnih podatkov.(3) Postopki in ukrepi za zavarovanje osebnih podatkov morajo biti ustrezni glede na tveganje, ki ga predstavlja obdelava in narava določenih osebnih podatkov, ki se obdelujejo.(4) Funkcionarji, zaposleni in drugi posamezniki, ki opravljajo dela ali naloge pri osebah, ki obdelujejo osebne podatke, so dolžni varovati tajnost osebnih podatkov, s katerimi se seznanijo pri opravljanju njihovih funkcij, del in nalog. Dolžnost varovanja tajnosti osebnih podatkov jih obvezuje tudi po prenehanju funkcije, zaposlitve, opravljanja del ali nalog ali opravljanja storitev pogodbene obdelave.Dodatne varnostne zahteve upravljavcev in tudi njihovih pogodbenih obdelovalcev, pa izhajajo še iz 25. člena ZVOP-1, in sicer:(1) Upravljavci osebnih podatkov in pogodbeni obdelovalci so dolžni zagotoviti zavarovanje osebnih podatkov na način iz 24. člena tega zakona.(2) Upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.Lep pozdrav, Pripravila:mag. Petra Ratajecdržavna nadzornica za varstvo osebnih podatkovInformacijski pooblaščenec:Mojca Prelesnik, univ. dipl. prav.,informacijska pooblaščenka