Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 26.09.2017
Naslov: Posredovanje osebnih podatkov iz spletnih omrežij za namene kadrovanja
Številka: 0712-1/2017/1850
Vsebina: Delovna razmerja, Neposredno trženje, nagradne igre, Elektronska pošta, Posredovanje OP med upravljavci, Svetovni splet
Pravni akt: Mnenje

Spoštovani,

 

v dopisu pojasnjujete, da delate za podjetje, katerega temeljna dejavnost je storitev iskanja in izbire vodstvenih kadrov. Vaše stranke – zunanja podjetja – naj bi vas najela, da zanje najdete primerne kandidate za zasedbo določenih delovnih mest. To med drugim storite tako, da stranki posredujete seznam potencialnih kandidatov, ki vsebuje njihovo delovno zgodovino, ne pa drugih osebnih podatkov, npr. imena in priimka, elektronske pošte, kraja bivanja.

 

Te sezname ustvarite na dva načina. Ali iz podatkov o kandidatih, ki so v vaši bazi, kamor jih vpišete na podlagi njihove osebne privolitve, ali pa iz podatkov o kandidatih, ki jih najdete na javno dostopnih družabnih omrežjih (npr. LinkedIn).

 

Iz seznama, ki ga posredujte strankam, te nato izločijo profile kandidatov, ki ne ustrezajo njihovim zahtevam, vi pa nato nadaljujete s postopkom kontaktiranja in preverjanja ustreznosti ostalih kandidatov.

 

Zanima vas, ali je tak način zbiranja in posredovanja osebnih podatkov dopusten z vidika trenutne in prihajajoče zakonodaje, ki ureja varstva osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter  2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Podatki, ki jih posamezniki objavljajo na družbenih omrežjih (npr. na Facebooku, LinkedInu, idr.) se štejejo med osebne podatke, kakršnakoli dejavnost v zvezi s temi podatki v smislu njihove hrambe, vnašanja ali drugih oblik obdelav v zbirkah osebnih podatkov pa že predstavlja obdelavo osebnih podatkov.

 

Obdelava osebnih podatkov v zasebnem sektorju je skladno z 10. členom ZVOP-1 dopustna, če obstaja za obdelavo ustrezna pravna podlaga, kar je praviloma zakon ali osebna privolitev posameznika. Osebni podatki se lahko obdelujejo le za vnaprej določene namene, o tem pa mora biti posameznik predhodno seznanjen

 

Kolikor posamezniki niso seznanjeni, da bodo podatki lahko posredovani naročnikom za namene kadrovanja, in za to niso dali soglasja, teh podatkov ne smete posredovati naročnikom.

 

Kolikor vaše podjetje nastopa v vlogi delodajalca, npr. išče kandidate zase – za zasedbo lastnih delovnih mest, je omejena obdelava osebnih podatkov iz tistih javno odprtih družabnih omrežjih, katerih namen je iskanje novih zaposlitev oz. samopromocija posameznikov za namene zaposlovanja, lahko dopustna za namen prvega kontaktiranja posameznikov, ki so svoje kontaktne podatke javno objavili. Ne pa tudi za namen profiliranja ali drugih oblik segmentiranja, če posamezniki za to niso konkretnemu upravljavcu dali veljavne privolitve.

 

Če nastopate kot ponudnik svojih storitev iskalcem zaposlitve, veljajo za 'prvi kontakt' torej ponujanje vaše storitve posameznikom, pravila neposrednega trženja.

 

Uvodoma je treba opredeliti osnovne koncepte v zvezi z obdelavo osebnih podatkov kot izhajajo iz ZVOP-1 in nove evropske Splošne uredbe o varstvu podatkov (Uredba (EU) 2016/679, v nadaljevanju Uredba).

 

V skladu z opredelitvijo 6. člena ZVOP-1 je osebni podatek katerikoli podatek, ki se nanaša na posameznika, obdelava osebnih podatkov pa je kakršnokoli delovanje v zvezi z osebnimi podatki, npr. prenašanje, shranjevanje, vpogled, deljenje, brisanje. Podobna opredelitev osebnih podatkov in obdelave teh podatkov izhaja tudi iz 4. člena Uredbe.

 

Podatki, ki jih posamezniki objavljajo na družbenih omrežjih (npr. na Facebooku, LinkedIn, Badoo, idr.) se štejejo med osebne podatke, kakršnakoli dejavnost v zvezi s temi podatki v smislu njihove hrambe, vnašanja ali drugih oblik obdelav v zbirkah osebnih podatkov pa že predstavlja obdelavo osebnih podatkov. V primeru fiktivnih uporabniških profilov je sicer lahko vprašljivo, ali še gre oz. v kolikšni meri gre za obdelavo osebnih podatkov, vendar pa v okoliščinah, ki izhajajo iz dopisa, t.j. za namen prepoznave  realnih oseb, ki iščejo zaposlitev in izdelave zbirk z njihovimi osebnimi podatki (npr. ime in priimek ter kontakt), vsekakor gre za obdelavo osebnih podatkov in zanjo, če nastopate v vlogi delodajalca ali v vlogi podjetja, ki zbira podatke, izdeluje profile kandidatov, in te profile posreduje naročnikom, za obdelavo potrebujete ustrezno pravno podlago.

 

Obdelava osebnih podatkov v zasebnem sektorju je skladno z 10. členom ZVOP-1 dopustna, če obstaja za obdelavo ustrezna pravna podlaga, kar je praviloma zakon ali osebna privolitev. Isti člen v 2. odstavku še določa, da je obdelava osebnih podatkov v zasebnem sektorju dopustna, če so posamezniki z zasebnim sektorjem sklenili pogodbo ali pa so na podlagi pobude posameznika v fazi pogajanj za sklenitev pogodbe, in je takšna obdelava podatkov potrebna za sklenitev oziroma izpolnjevanje pogodbe. 3. odstavek še določa, da se lahko v izjemnih primerih kot pravna podlaga za obdelavo osebnih podatkov šteje tudi interes zasebnega sektorja, če ta očitno prevlada nad interesom posameznika in hkrati takšna obdelava ne predstavlja kršitve drugih temeljnih pravic posameznika. Tudi Uredba v 6. členu določa, da je obdelava osebnih podatkov dopustna, če obstaja zanjo ustrezna pravna podlaga.

 

Poleg tega ZVOP-1 v 2. odstavku 8. člena določa, da mora biti v primeru obdelave osebnih podatkov na podlagi privolitve posameznika, ta predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov. Osebni podatki se torej lahko obdelujejo le za vnaprej določene namene, o tem pa mora biti posameznik predhodno seznanjen. Podobne zahteve izhajajo tudi iz 5. člena Uredbe.

 

V primeru, ki ga predstavljate v dopisu, je po mnenju IP osebna privolitev posameznika načeloma tista ustrezna pravna podlaga, ki dopušča zbiranje osebnih podatkov prek družabnih omrežjih, vključevanje teh podatkov v profile posameznikov, ki iščejo zaposlitev, in posredovanje teh podatkov naročnikom, t.j. iskalcem kandidatov za konkretna delovna mesta. Te aktivnosti so torej dopustne le, če so posamezniki vnaprej seznanjeni s tem, za kaj se bodo njihovi osebni podatki obdelovali in če privolijo v takšno obdelavo osebnih podatkov. Zgolj na podlagi javne objave osebnih podatkov za namen iskanja zaposlitve, je torej dopustno načeloma zgolj vzpostaviti kontakt z osebo, ki je za ta namen svoje podatke javno objavila, ne pa tudi naprej profilirati in drugače obdelovati osebnih podatkov posameznikov.

 

Ker pa gre za kompleksno situacijo, ki vključuje različne vidike obdelave osebnih podatkov, bo v nadaljevanju razčlenjeno predstavljeno, kakšne so (nekatere) zahteve, ki morajo biti izpolnjene za zakonito obdelavo osebnih podatkov.

 

  1. Posredovanje osebnih podatkov posameznikov, ki so vpisani v vašo bazo, drugim podjetjem - naročnikom

 

V bazo iskalcev zaposlitve, ki jo vodite, lahko vpišete tiste posameznike in tiste njihove osebne podatke ter jih uporabit za tiste namene, za katere so ti dali izrecno privolitev. Če so se že na začetku sodelovanja z vami izrecno strinjali, da boste zbirali tudi nekatere osebne podatke (opredeliti morate katere) iz njihovih družabnih omrežjih (tudi te morate opredeliti) za namen izdelave bolj poglobljenih profilov in njihovega posredovanja vašim naročnikom, in boste torej te podatke oz. končne profile posredovali vašim naročnikom z namenom, zaradi katerega ste podatke zbrali (iskanja zaposlitve), potem takšno zbiranje in posredovanje osebnih podatkov ni sporno. Če pa so se posamezniki strinjali s tem, da lahko obdelujete le tiste njihove osebne podatke, ki so jih sami posredovali vam, bi bilo iskanje dodatnih informacij prek družabnih omrežjih in vključevanje teh informacij oz. podatkov v profile, ki jih nato posredujete naročnikom, načeloma sporno oz. celo nezakonito. Zelo verjetno bi šlo vsaj za kršitev načela sorazmernosti obdelave osebnih podatkov kakor izhaja iz 3. člena ZVOP-1, prav tako bi najverjetneje težko izkazali obstoj ustrezne pravne podlage za obdelavo osebnih podatkov.

 

Kolikor posamezniki niso seznanjeni, da bodo podatki lahko posredovani naročnikom za namene kadrovanja, in za to niso podali ustrezno informirane privolitve, teh podatkov ne smete posredovati naročnikom.

 

Z naročniki, ki dostopajo do osebnih podatkov posameznih iskalcev zaposlitve, ki jih posredujete – kolikor izpolnjujete opisane pogoje – morate imeti sklenjeno tudi ustrezno pogodbo o pogodbeni obdelavi osebnih podatkov kakor izhaja iz 11. člena ZVOP-1 (Uredba to ureja predvsem v 28. členu).

 

  1. Ali lahko obdelujete osebne podatke, ki jih pridobite iz javno dostopnih družabnih omrežjih, če nastopate v vlogi delodajalca?

 

Kolikor vaše podjetje nastopa v vlogi delodajalca, npr. išče kandidate zase – za zasedbo lastnih delovnih mest, je omejena obdelava osebnih podatkov iz javno odprtih družabnih omrežjih lahko dopustna. Vendar IP opozarja na koncept »omejene obdelave« osebnih podatkov oziroma upoštevanja načela »sorazmernosti« pri obdelavi osebnih podatkov. To pomeni, da bi npr. lahko bilo dopustno preveriti niz pretekih zaposlitev oseb, ki pri vas aktivno iščejo zaposlitev, pod pogojem, da je tak niz preteklih zaposlitev viden iz javno dostopnega profila specializiranih družabnih omrežjih, ki so namenjena iskanju zaposlitev oziroma poslovnemu mreženju, kot npr. omrežje LinkedIn. Iskanje tovrstnih informacij po družabnih omrežjih drugačnega tipa, npr. namenjenih za običajno druženje, kot Facebook, pa bi že lahko predstavljalo kršitev načela sorazmernosti in pretiran poseg v zasebnost posameznikov, še posebej to nedvomno velja v primeru, če ne bi šlo za javno dostopne profile, ampak bi se moral iskalec informacij za namen pridobivanja informacij o posamezniku aktivno registrirati v družabno omrežje.

 

IP poudarja, da meja (ne)dopustne obdelave osebnih podatkov v tem primeru ni povsem jasno zakonsko opredeljena, zato je šele v konkretnem inšpekcijskem postopku mogoče (in še to le za obseg konkretnega postopka) ugotoviti, kdaj je bila takšna obdelava osebnih podatkov nesorazmerna oziroma nezakonita, ker npr. ni bilo pravne podlage za takšno obdelavo. Vsekakor pa je najbolj jasno in varno spoštovanje pravila, da je za takšne vrste obdelav načeloma potrebna osebna privolitev posameznika. Ta mora v skladu z Uredbo zadostiti vsem pogojem za veljavnost osebne privolitve, kot to določa 7. člen Uredbe.

 

Kolikor se posameznik izrecno strinja, da lahko delodajalec pridobi podatke o njem tudi iz socialnih omrežjih za namen kadrovanja, je torej takšna obdelava praviloma zakonita. Seveda mora tudi v primeru predhodne privolitve delodajalec paziti, da obdeluje (npr. zbira) čim manjši obseg podatkov, ki je še potreben za dosego cilja, t.j. iskanja primernega kandidata za zaposlitev.

 

Enako velja za kontaktiranje posameznikov, ki jim želite kot ponudnik storitev iskanja zaposlitve ponuditi svoje storitve. V tem primeru veljajo določbe glede uporabe javno objavljenih osebnih podatkov za namene neposrednega trženja (uporabite lahko osebno ime in naslov stalnega ali začasnega prebivališča – to določa 72. člen ZVOP-1). Načeloma pa je za uporabo elektronskih naslovov fizičnih oseb zahtevana osebna privolitev, kot to določa Zakon o elektronskih komunikacijah (ZEKom-1), ki trženje dovoljuje na podlagi predhodne privolitve naslovnika oz. na podlagi predhodnega nakupa storitve/produkta. Nadzor nad izvajanjem določb ZEKom-1 je v pristojnosti Agencije za komunikacijska omrežja in storitve (AKOS) in ne IP. Izjema bi lahko posledično bila uporaba javno objavljenih kontaktnih podatkov (tudi e-naslova) za namen kontaktiranja – torej ponujanja storitev – na posebej za namen iskanja zaposlitve namenjenih omrežjih npr. LinkedIn, nikakor pa ne na drugih javnih mestih. Več o tem v številnih že objavljenih mnenjih na to temo, ki so dostopna preko iskalnika na naši spletni strani: www.ip-rs.si/vop/

 

 

Lep pozdrav,

 

Pripravil:

mag. Matjaž Drev,

državni nadzornik za varstvo osebnih podatkov

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka