Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 12.11.2007
Naslov: Kontrola bolniških odsotnosti s strani pogodbena izvajalca
Številka: 0712-977/2007/2
Vsebina: Pogodbena obdelava OP
Pravni akt: Mnenje

Spoštovani,

Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) najprej pojasnjuje, da vaše e-pošte, ki naj bi bila poslana dne 10. 10. 2007 na uradni e-naslov Pooblaščenca, žal ni prejel. Čeprav je verjetno šlo za tehnične težave na strani vašega internetnega ponudnika (pri nas namreč napak nismo zaznali), se vam za zaplet opravičujemo. Dne 29. 10. 2007 smo prejeli vašo pisno vlogo, v kateri sprašujete:
-    Ali lahko s podjetjem, ki naj ne bi imelo registrirane detektivske dejavnosti, sklenete pogodbo o poslovnem sodelovanju - v skladu s katero bi ponudnik za vas opravljal t.i. laične kontrole bolniških staležev?
-    Ali bi lahko takšne kontrole bolniškega staleža vaših delavcev pomenile kakršne koli kršitve določil ZVOP-1?
-    Na kaj je pri ureditvi pogodbenega razmerja posebej paziti, da bi zadostili določilom ZVOP-1?

Ker je Pooblaščenec že obravnaval podobne primere, kot je vaš in o tem izdal več neobveznih mnenj, vam predlagamo, da se z njim seznanite na internetni strani Pooblaščenca www.ip-rs.si, kjer lahko s pomočjo iskalnika po mnenjih in odločbah s področja varstva osebnih podatkov poiščete mnenja št. 0712-613/2007/2, 0712-247/2007/2 in 0712-81/2006/2.

Ne glede na navedeno, pa vam v nadaljevanju posredujemo izvleček in del obrazložitve zgoraj navedenih mnenj ter dodatno pojasnilo glede tretje točke vašega vprašanja:

Na podlagi pogodbe o pogodbeni obdelavi osebnih podatkov iz 11. člena ZVOP-1 kontrolo predpisanega bolniškega reda in s tem povezana opravila obdelave osebnih podatkov opravljajo le detektivi ter detektivske družbe, torej tiste fizične in pravne osebe, ki so za opravljanje takšne dejavnosti registrirane v skladu z določbami zakona, ki ureja detektivsko dejavnost.

Ad 1 in 2:
1. Iz določb 46. ter 111. člena Zakona o delovnih razmerjih (ZDR) izhaja, da je kontrola bolniškega staleža, ki se zaradi zbiranja, posredovanja in uporabe s tem povezanih osebnih podatkov šteje tudi kot obdelava osebnih podatkov, v določenih primerih dejansko potrebna zaradi kontrole uresničevanja pravic in obveznosti, ki izvirajo iz delovnega razmerja. Zaradi tega se takšna kontrola bolniškega staleža oziroma s tem povezana obdelava osebnih podatkov delavcev v primeru, ko se le ta izvaja ob upoštevanju strogega načela sorazmernosti iz 3. člena Zakona o varstvu osebnih podatkov (ZVOP-1), z vidika določb ZVOP-1 šteje za zakonito. Takšno kontrolo oziroma s tem povezano zbiranje in posredovanje osebnih podatkov lahko delodajalec opravlja sam ali pa jo v skladu z določbami 11. člena ZVOP-1 zaupa pogodbenemu obdelovalcu, to je fizični ali pravni osebi (npr. zasebnemu detektivu), ki obdeluje osebne podatke v imenu in za račun upravljavca osebnih podatkov (delodajalca). Delodajalec torej ni upravičen do seznanitve s samo diagnozo delavca, je pa zaradi morebitnega preverjanja upravičenosti odsotnosti (bodisi sam, bodisi po pooblaščenem detektivu po določbah Zakona o detektivski dejavnosti) upravičen do seznanitve z dejstvom o obstoju bolniškega staleža in režimom gibanja (ne pa tudi režimom zdravljenja). Ključno torej je, ali delavec spoštuje navodila zdravnika o morebitnem odrejenem strogem počitku ali dopustnem gibanju. Brez tega podatka namreč delodajalec ob sumu zlorabe bolniškega staleža ne more ustrezno ukrepati.

2. Iz določb 11. člena ZVOP-1 (pogodbena obdelava) izhaja, da lahko delodajalec kot upravljavec osebnih podatkov kontrolo predpisanega bolniškega reda nad svojimi zaposlenimi in s tem povezana opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa drugi fizični ali pravni osebi (pogodbenemu obdelovalcu), ki mora biti obvezno registrirana za opravljanje takšne dejavnosti, kar v konkretnem primeru pomeni, da mora biti registrirana za poizvedovalne dejavnosti in varovanje (dejavnosti pod šifro 74.600 iz Uredbe o uvedbi in uporabi standardne kvalifikacije dejavnosti, poleg tega pa mora imeti seveda tudi zaposlene ljudi, ki imajo ustrezno detektivkso licenco).
3. Kontrolo predpisanega bolniškega reda oz. kontrolo bolniškega staleža in s tem povezana opravila obdelave osebnih podatkov lahko v imenu in za račun delodajalca (upravljavca osebnih podatkov) na podlagi pisne pogodbe iz 11. člena ZVOP-1 opravljajo tiste pravne ali fizične osebe, ki so registrirane za opravljanje poizvedovalne dejavnosti in varovanja. Vendar pa je pri tem potrebno upoštevati, da gre pri kontroli predpisanega bolniškega reda oz. kontroli bolniškega staleža, ki se opravlja v imenu in za račun delodajalca (upravljavca osebnih podatkov zaposlenih), predvsem za opravljanje dejavnosti zbiranja in posredovanja informacij, to je za opravljanje dejavnosti, ki jo posebej ureja Zakon o detektivski dejavnosti (ZDD). V navedenem zakonu so jasno določeni pogoji za opravljanje detektivske dejavnosti, določane so pravice in obveznosti detektivov, poleg tega pa zakon določa tudi ustrezno strokovno usposobljenost detektivov ter inšpekcijski nadzor nad izvajanjem določb zakona, s čemer se med drugim zagotavlja tudi ustrezen standard pri obdelavi osebnih podatkov s strani detektivov.

Kadar je opravljanje določene dejavnosti urejeno v posebnem zakonu, mora pravna ali fizična oseba, ki opravlja takšno dejavnost, poleg registracije dejavnosti po določbah zakona, ki ureja gospodarske družbe, zadostiti tudi zahtevam, ki jo za opravljanje dejavnosti predpisuje poseben zakon. Poizvedovalne dejavnosti in varovanje (dejavnosti pod šifro 74.600) posebej urejata dva zakona in sicer že omenjeni ZDD, ki določa pogoje za opravljanje poizvedovalnih dejavnosti, ter Zakon o zasebnem varovanju, ki določa pogoje za opravljanje dejavnosti zasebnega varovanja.
Glede na to, da je dejavnost zbiranja in posredovanja informacij posebej urejena v ZDD, Pooblaščenec meni, da lahko na podlagi pogodbe iz 11. člena ZVOP-1 kontrolo predpisanega bolniškega reda in s tem povezana opravila obdelave osebnih podatkov opravljajo le detektivi ter detektivske družbe, torej tiste fizične in pravne osebe, ki so za opravljanje takšne dejavnosti registrirane v skladu z določbami ZDD.

Ad 3:
Medsebojne pravice in obveznosti morajo biti urejene v pogodbi, ki mora biti obvezno sklenjena v pisni obliki. V takšni pogodbi morajo biti jasno določena pooblastila pogodbenemu obdelovalcu in obseg danega pooblastila, poleg tega pa mora pogodba obvezno vsebovati tudi dogovor o postopkih in ukrepih za zavarovanje osebnih podatkov (gl. 24. in 25. člen ZVOP-1), upravljavec osebnih podatkov (delodajalec) pa mora izvajanje dogovorjenih postopkov in ukrepov za zavarovanje osebnih podatkov tudi nadzorovati. Nobenega dvoma ni, da mora pogodba natančno opredeliti za kakšno obdelavo gre in njen namen ter opredeliti osebne podatke, ki se bodo obdelovali.
Poleg navedenih pogojev je zelo pomembno tudi zakonsko določilo, po katerem sme pogodbeni obdelovalec opravljati posamezna opravila v zvezi z obdelavo osebnih podatkov le v okviru naročnikovih pooblastil in osebnih podatkov ne sme obdelovati za noben drug namen.

Pogodbe, v katerih je določeno zgolj to, da bo izvajalec vse podatke, pridobljene s strani naročnika, varoval v skladu z Zakonom o varstvu osebnih podatkov ali v skladu s kakšnim drugim zakonom oziroma jih bo varoval kot poslovno skrivnost, ne zadostijo zahtevam določb iz 11., 24. in 25. člena ZVOP-1. V pogodbi mora biti natančno določeno, s kakšnimi postopki in ukrepi mora pogodbeni obdelovalec varovati prostore, kjer se nahajajo nosilci osebnih podatkov, s kakšnimi postopki in ukrepi mora varovati sistemsko programsko in aplikativno programsko opremo, s katero se obdelujejo osebni podatki, s kakšnimi postopki in ukrepi se preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu itd.

V pogodbi mora biti tudi določeno, katere osebe, ki so zaposlene pri upravljavcu oziroma pri pogodbenem obdelovalcu, lahko opravljajo posamezna opravila v zvezi z obdelavo osebnih podatkov, kakšna so njihova pooblastila v zvezi s tem, tel dolžnost varovanja zaupnosti podatkov.
Lepo vas pozdravljamo,
 
Informacijski pooblaščenec:
Nataša Pirc Musar, univ. dipl. prav.,
pooblaščenka