Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 14.05.2015
Naslov: Uporaba sistema za upravljanje mobilnih naprav
Številka: 0712-1/2015/1328
Vsebina: Moderne tehnologije, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec je prejel vaše elektronsko sporočilo, v katerem navajate, da želite v podjetu uvesti uporabo določnega produkta za upravljanje mobilnih naprav (angl. Mobile Device Management). Kot opisujete, nameravate zaposlene, ki uporabljajo službene mobilne telefone, oziroma tiste, ki imajo na zasebnih telefonih omogočen dostop do službene e-pošte in službenih baz podatkov (predvsem intranet in koledarji), pozvati k uporabi tega produkta. MDM sistem bo zaenkrat skrbel, da bo PIN za odklepanje vključen v vsako napravo z dostopom do korporativne e-pošte. Zaposleni si morajo aplikacijo namestiti do 31. maja 2015. Po tem datumu bo sistem neskladnim napravam samodejno onemogočil dostop do elektronske pošte. Navedeno bo veljalo tudi za privatne naprave, na katerih se uporablja korporativna službena elektronska pošta.

 

S sistemom MDM ne boste spremljali:

-               Lokacijskih storitev, uporabnikovih fizičnih in IP–naslovov, identifikacije SSID ... Čeprav sistem take storitve omogoča, ste jih zavrgli že med implementacijo, saj je zasebnost uporabnika nujna in namen uvedbe ni zbiranje takih informacij.

-               Noben MDM-sistem ne omogoča spremljanja zgodovine telefonskih klicev, SMS-sporočil, fotografij in ostalih podatkov iz telefona. Prav tako ne kakršnega koli sprožanja na daljavo.

-               Ne bo tudi raznih drugih omejitev v obliki blokiranj in podobnega. Po sami namestitvi MDM klient teče v ozadju in uporabnika/naprave ne obremenjuje pri uporabi.

 

S sistemom MDM pa boste spremljali:

-       Inventar strojne in programske opreme (verzije operacijskih sistemov in aplikacij …).

-       Skladnost varnostnih nastavitev, ki jih bo sistem vsilil. Kar se tiče PIN za odklepanje, bo največja sprememba nastopila za uporabnike, ki tega doslej niso uporabljali, sedaj pa ga bodo morali. Prav tako pri androidnih aparatih ne bo več možna uporaba gest (vlečenje črt). Ob večjem številu napačno vnesenih poskusov odklepa se bo naprava izbrisala na daljavo.

-       Sumarno porabo prenosa podatkov.

 

V zvezi z vsem navedenim vas zanima:

1.     Ali bi s pozivom k namestitvi kršili ZVOP-1 ali drug zakon?

2.     Ima zaposleni, ki že ima službeni telefon in mu delodajalec plačuje porabo možnost, da odkloni namestitev brez izgube bonitete? Mora pri odklonitvi namestitve vrniti telefon, čeprav to dejstvo ni zapisano v nobenih pravilih?

3.     Kako je pri predstavljanju transparentnosti novih tehnologij, ljudi, ki s programom upravljajo?

4.     Kaj v primeru, da se določeni parametri spremenijo?

 

Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju ZInfP), posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Informacijski pooblaščenec ima za odgovore na vaša vprašanje omejene pristojnosti in se lahko opredeli le do vprašanj, ki zadevajo varstvo osebnih podatkov, kot ga določa Zakon o varstvu osebnih podatkov.

 

1. S stališča ZVOP-1 in ZDR-1 je, še posebej, kadar gre za napravo, ki je v zasebni lasti, predvsem lahko problematično zbiranje informacij o naloženih aplikacijah ter izbris na daljavo, kadar je prevečkrat vnesen napačen PIN. Imena mnogih aplikacij lahko kažejo na popolnoma zasebno sfero zaposlenega in celo na občutljive osebne podatke (npr. na zdravstvene težave, na zasebne aktivnosti, na spolno usmerjenost, ipd). Zbiranje takih informacij s strani delodajalca ni potrebno in primerno za izvajanje pogodbe o zaposlitvi kot to določa ZDR-1. Izbris naprave na daljavo prav tako pomeni obdelavo osebnih podatkov, ki se nahajajo na napravi (njihov izbris), zadeva pa vse osebne podatke, ki jih uporabnik hrani (npr. fotografije, video posnetke, dokumente, druge osebne podatke) in ne samo tiste, ki so na napravi in so z zvezi z delovnim razmerjem. Pravne podlage za tako obdelavo osebnih podatkov po mnenju Informacijskega pooblaščenca delodajalec nima.

Sama opredelitev zahteve po vnosu PIN in nadzoru tega po mnenju Informacijskega pooblaščenca ni sporna.

 

Posebej vas opozarjamo na določila glede pogodbene obdelave osebnih podatkov, kjer je ključno, kakšna so pogodbena določila, ki vežejo vas kot delodajalca in ponudnika sistema MDM. Predlagamo vam, da skrbno preučite Smernice glede računalništva v oblaku. če boste uporabljali tovrstne rešitve.

 

2. Informacijski pooblaščenec se do navedenega vprašanja ne more opredeliti, saj vprašanje ni vezano na varstvo osebnih podatkov, pač pa na pravila delodajalca glede uporabe službenih sredstev. Delodajalec zaposlenim načeloma ni dolžan zagotoviti službenih telefonov in lahko v okviru zakonskih možnosti določa pogoje, pod katerim bo dodelil takšno opremo oziroma zahteval njeno vračilo.

 

3. S stališča varstva osebnih podatkov je pri obdelavi osebnih podatkov zaposlenih, do katere prihaja pri uporabi novih tehnologij ključno, da lahko delodajalec obdeluje le tiste osebne podatke, za katere ima podlago v zakonu in so torej potrebni in primerni za izvajanje pogodbe o zaposlitvi, pa čeprav neka nova tehnologija ponuja še druge možnosti obdelav. Zaposleni morajo biti skladno z 19. členom ZVOP-1 obveščeni o tem, kateri njihovi osebni podatki se obdelujejo in za kakšen namen ter tudi komu bodo morda posredovani (npr. ponudnik aplikacije).

 

4. Iz vašega vprašanja ni mogoče razbrati, kakšni parametri naj bi se spreminjali, zato velja splošno – za vsako obdelavo osebnih podatkov zaposlenih potrebuje delodajalec pravno podlago. Če spremeba  določenega parametra pomeni obdelavo novega nabora osebnih podatkov ali nove, drugačne namene obdelave osebnih podatkov, se mora delodajalec najprej vprašati, če ima za tako obdelavo pravno podlago.

 

 

Obrazložitev:

 

1.     Ali bi s pozivom k namestitvi kršili ZVOP-1 ali drug zakon?

 

Informacijski pooblaščenec uvodoma pojasnjuje, da gre v primeru, kot ga opisujete, za vprašanje, ki posega na področje delovnih razmerij in kolizije med pravicami in interesi delodajalca ter zaposlenih. Na eni strani imamo interes delodajalca, ki ima pravico do oblasti nad svojimi sredstvi (npr. službenimi telefoni, pa tudi dolžnost varovati integriteto svojih podatkovnih zbirk, do katerih lahko dostopajo zaposleni s svojih lastnih naprav) in delovnim procesom, na drugi strani pa je legitimen interes zaposlenega, ki utemeljeno pričakuje določeno stopnjo zasebnosti tudi na delovnem mestu, kot to tudi izhaja iz sodne prakse Evropskega sodišča za človekove pravice (prim. ESČP Halford v. Združeno kraljestvo).


Pojasnili ste, do katerih osebnih podatkov bo moč dostopati z uporabo nove aplikative opreme, ki jo uvajate z namenom vzpostavljanja večje varnosti naprav, s katerih zaposlenim omogočate dostop do službenih podatkovnih zbirk (predvsem e-pošta, intranet in koledarji) in do katerih podatkov zagotovo z aplikacijo ne boste dostopali. Glede na vaša pojasnila in zagotovila se v nadaljevanju opredeljujemo le do podatkov, za katere ste sami zagotovili, da se bodo z novo aplikativno opremo obdelovali. Hkrati pa poudarjamo, da bi bilo obdelovanje podatkov o lokacijah, zgodovinah klicev, sporočil, vsebini internetnega prometa, datotek shranjenih na napravi izrazito problematično s stališča ZVOP-1.

 

Ob hitro razvijajoči se tehnologiji postaja vprašanje zasebnosti na delovnem mestu vse bolj problematično. Žal meja pristojnosti delodajalca in svobode delavca v tem pogledu izrecno (še) ne ureja noben zakon. Ker na področju varstva osebnih podatkov v primeru dvoma razmerja razlagamo v prid zasebnosti, bi bili primeri, ko bi bil delodajalčev poseg v zasebnost delavca na delovnem mestu dopusten, resnično izjemni in redki (predvsem pa odvisni od dejanskih okoliščin). Splošno velja, da je delodajalec dolžan cilj, ki ga zasleduje (čim bolj racionalno izrabo delovnega časa in delovnih sredstev za doseganje poslovnih rezultatov), podpreti s čim manj invazivnimi in represivnimi ukrepi.

 

Sama opredelitev zahteve po vnosu PIN in nadzoru tega po mnenju Informacijskega pooblaščenca ni sporna, prav tako se nam ne zdi sporen inventar strojne opreme in sumarni podatki o prenosu podatkov. Glede na nabor podatkov, ki ga navajate, in se bodo obdelovali z uvedbo aplikacije MDM sistema, pa vas Informacijski pooblaščenec opozarja predvsem na to, da nekatere aktivnosti, ki jih opisujete, pomenijo obdelavo osebnih podatkov zaposlenih, saj bo sistem beležil parametre (verzije operacijskega sistema, aplikacij, sumarna poraba prenosa podatkov) glede na posameznega uporabnika, ki ga bo mogoče določiti.

 

Zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec delovno pravno področje uredil z Zakonom o evidencah na področju dela in socialne varnosti (Ur. l. RS, št. 42/2002; ZEPDSV), Zakonom o javnih uslužbencih (Uradni list RS, št. 63/07 – UPB3; v nadaljevanju ZJU) in z Zakonom o delovnih razmerjih (Ur. l. RS, št. 21/2013; ZDR-1), v katerih je določno opredelil, katere osebne podatke delavcev lahko delodajalec obdeluje in ne dopušča avtonomije strank v smislu, da bi delodajalec lahko od delavca zahteval ali obdeloval katere koli osebne podatke. Delodajalec mora v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost. V skladu s 48. členom ZDR-1 lahko delodajalec načeloma zbira, obdeluje, uporablja in dostavlja tretjim osebam zgolj tiste osebne podatke delavcev, za katere je to določeno s tem ali drugim zakonom ali za katere je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Osebne podatke delavcev pa lahko zbira, obdeluje, uporablja in dostavlja tretjim osebam samo delodajalec ali delavec, ki ga delodajalec za to posebej pooblasti.

 

S tega stališča je, še posebej, kadar gre za napravo, ki je v zasebni lasti, predvsem lahko problematično zbiranje informacij o naloženih aplikacijah ter izbris na daljavo, kadar je prevečrat vnesen napačen PIN.

 

Imena mnogih aplikacij lahko kažejo na popolnoma zasebno sfero zaposlenega, lahko pomenijo celo obdelavo občutljivih osebnih podatkov (npr. na zdravstvene težave, na spolno usmerjenost, ipd).  Zbiranje takih informacij s strani delodajalca ni potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, kot to določa ZDR-1. Beleženje teh podatkov pa bi v trenutni ureditvi, ki dopušča razumno uporabo službenih sredstev v zasebne namene,  predstavljala nedopusten poseg v zasebnost zaposlenih. Glede na trenutno sodno prakso ESČP namreč zaposleni utemeljeno pričakujejo razumen nivo zasebnosti tudi na delovnem mestu, zato se je potrebno izogniti situacijam, ki – če niso nujno potrebne – lahko pomenijo razkritje osebnih ali občutljivih osebnih podatkov, obenem pa zagotovijo učinkovito izvrševanje pravice delodajalca do nadzora  nad svojo lastnino.

 

Ne glede na navedeno je seveda treba poudariti, da je interes delodajalca, da zagotovi varno uporabo naprav in zavarovanje svojih podatkovnih zbirk popolnoma legitimen in zakonit, zato je po mnenju Informacijskega pooblaščenca v konkretni situaciji potrebno poiskati rešitev, ki bi upoštevala tako lastniško pravico delodajalca kot pravico do pričakovane zasebnosti na delovnem mestu na strani zaposlenih. Beleženje podatkov o naloženih aplikacijah je po mnenju Informacijskega pooblaščenca prekomerno, če je zaposlenemu dovoljeno prosto nalaganje aplikacij. Bolj primeren ukrep je omejitev nalaganja aplikativne opreme na službene naprave – delodajalec lahko postavi pogoje, katere aplikacije je dovoljeno namestiti na mobilne naprave delodajalca in katere ne. Navedeno je tudi v luči dopustnosti vnaprejšnjega tehničnega omejevanja (npr. blokiranja določenih URL naslovov, nameščanja določenih aplikacij ipd,.) in po drugi strani v spornosti naknadnega nadzora oz. pregledovanja uporabe storitev oziroma opreme (npr. koga kličejo zaposleni, katere spletne strani obiskujejo, katere aplikacije so si namestili).

 

Izbris naprave na daljavo prav tako pomeni obdelavo osebnih podatkov, ki se nahajajo na napravi (njihov izbris), zadeva pa vse osebne podatke, ki jih uporabnik hrani in ne le tiste, ki jih so na napravi in so v zvezi z delovnim razmerjem. Tudi pri službenih napravah je nesorazmerno in nerealno pričakovanje, da bodo zaposleni te naprave uporabljali izključno za službene namene, kar pomeni, da se bodo neizogibno na napravah nahajali tudi podatki osebne narave. Še posebej je to problematično pri napravah, ki niso službene, saj bi na tak način delodajalec posegel v zasebno sfero posameznika. Pravne podlage za tako obdelavo osebnih podatkov po mnenju Informacijskega pooblaščenca delodajalec nima, zato bi bil potreben razmislek o alternativnih sankcijah pri napačno vpisanih PIN številkah, ki bi zadevale le dostop do službenih podatkovnih zbirk.

 

Posebej vas opozarjamo na določila glede pogodbene obdelave osebnih podatkov, kjer je ključno, kakšna so pogodbena določila, ki vežejo vas kot delodajalca in ponudnika sistema MDM. Ker konkretna MDM rešitev temelji na uporabi storitev v oblaku, vam priporočamo tudi, da natančno preučite Smernice o računalništvu v oblaku, ki jih je izdal Informacijski pooblaščenec, kjer boste našli kontrolni seznam, na kateterm lahko preverite, ali ponudnik MDM zagotavlja vse informacije, da boste lahko presodili, ali je uporaba skladna z zakonodajo. Smernice so vam na voljo na tej povezavi:

 

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_rac_v_oblaku.pdf

 

 

2.     Ima zaposleni, ki že ima službeni telefon in mu delodajalec plačuje porabo možnost, da odkloni namestitev brez izgube bonitete? Mora pri odklonitvi namestitve vrniti telefon, čeprav to dejstvo ni zapisano v nobenih pravilih?

 

Namestitev aplikacije, kot jo opisujete, je sporna v točkah, ki jih navajamo zgoraj, zato vam svetujemo, da pomanjkljivosti pred zahtevo po namestitivi odpravite.

 

Informacijski pooblaščenec se konkretno do navedenega vprašanja ne more opredeliti, saj vprašanje ni vezano na varstvo osebnih podatkov, pač pa na pravila delodajalca glede uporabe službenih sredstev.

 

3.     Kako je pri predstavljanju transparentnosti novih tehnologij, ljudi, ki s programom upravljajo?

 

S stališča varstva osebnih podatkov je pri obdelavi osebnih podatkov zaposlenih, do katere prihaja pri uporabi novih tehnologij, ključno, da lahko delodajalec obdeluje le tiste osebne podatke, za katere ima podlago v zakonu in so torej potrebni in primerni za izvajanje pogodbe o zaposlitvi, pa čeprav neka nova tehnologija ponuja še druge možnosti obdelav. Zaposleni morajo biti skladno z 19. členom ZVOP-1 obveščeni o tem, kateri njihovi osebni podatki se obdelujejo in za kakšen namen ter tudi komu bodo morda posredovani (npr. ponudnik aplikacije).

 

4.     Kaj v primeru, da se določeni parametri spremenijo?

 

Iz vašega vprašanja ni mogoče razbrati kakšni parametri naj bi se spreminjali, zato velja splošno – za vsako obdelavo osebnih podatkov zaposlenih potrebuje delodajalec pravno podlago. Če spremeba  določenega parametra pomeni obdelavo novega nabora osebnih podatkov ali nove, drugačne namene obdelave osebnih podatkov, se mora delodajalec najprej vprašati, če ima za tako obdelavo pravno podlago in je obdelava potrebna in primerna za uresničevanje pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

 

Prijazen pozdrav,

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ.dipl.prav.

pooblaščenka