Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 08.11.2017
Naslov: Rok hrambe OP delavcev po privolitvi
Številka: 0712-1/2017/2158
Vsebina: Delovna razmerja, Svetovni splet, Mediji, fotografije kot OP
Pravni akt: Mnenje

Spoštovani,

 

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše zaprosilo za mnenje glede tega ali morate za obdelavo podatkov osebnih telefonskih številk delavcev, ki jih na podlagi povsem prostovoljne pisne osebne privolitve vsakega posamičnega delavca zberete in obdelujete z namenom obojestranskega lažjega in hitrejšega komuniciranja, prijaviti ločeno zbirko ali pa lahko podatek navedete v obstoječi zbirki »Evidenca o zaposlenih« in zgolj dodate informacijo o pravni podlagi obdelave na podlagi podane osebne pisne privolitve. Zanima vas tudi, ali je rok hrambe osebnih telefonskih številk delavcev do izteka delovnega razmerja, potrebno navesti že na obrazcu, s katerim vam delavec poda osebno privolitev. Pojasnjujete še, da vaše podjetje organizira različne dogodke tako za zaposlene delavce, kot tudi za njihove družinske člane, pri čemer za ustrezno izvedbo dogodkov potrebujete določene osebne podatke (o številu otrok, starosti, …, fotografije za objavo na oglasnih deskah znotraj podjetja, v internem časopisu, na socialnih omrežjih ipd.), ki jih prav tako zberete in obdelujete na podlagi predhodno pridobljenih pisnih osebnih privolitev delavcev. Zanima vas, kako je z rokom hrambe tako zbranih fotografij v primeru, da delavcu poteče delovno razmerje, saj gre v večini primerov za skupinske fotografije in je zaradi tega težko določiti rok hrambe in ali morate prijaviti ločeno zbirko oziroma je dovolj, če ta podatek navedete v že obstoječi zbirki »Evidenca o zaposlenih« z dodano informacijo pravne podlage podane osebne pisne privolitve.

 

V nadaljevanju vam na podlagi informacij, ki ste nam jih posredovali, na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 86/2004 s spremembami in dopolnitvami; v nadaljevanju: ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju: ZInfP), posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

 

Glede na pojasnila iz vašega zaprosila za mnenje, IP domneva, da se vaša vprašanja glede »prijave določenih osebnih podatkov v ločeni ali obstoječi zbirki osebnih podatkov« nanašajo na dolžnost upravljavcev osebnih podatkov glede vpisa zbirk osebnih podatkov oziroma novih vrst osebnih podatkov v register Informacijskega pooblaščenca, ki vam ga nalaga 27. člen ZVOP-1. Prvi odstavek 27. člena ZVOP-1 določa, da upravljavec osebnih podatkov posreduje podatke iz 1., 2., 4., 5., 6., 9., 10., 11., 12. in 13. točke prvega odstavka 26. člena ZVOP-1 IP najmanj 15 dni pred vzpostavitvijo zbirke osebnih podatkov ali pred vnosom nove vrste osebnih podatkov. Upravljavec osebnih podatkov posreduje IP spremembe podatkov najkasneje v osmih dneh od dneva spremembe (drugi odstavek).

 

Kriteriji za to, kateri zbir podatkov predstavlja »novo« ali »obstoječo« zbirko osebnih podatkov, zaradi raznovrstnosti različnih zbirk osebnih podatkov in vrst osebnih podatkov, niso opredeljeni izključno, temveč je odločitev o tem prepuščena upravljavcem. Oblika ali format določene zbirke osebnih podatkov (npr. ali gre za tabelo s podatki, bazo podatkov ali drugo obliko zbirke osebnih podatkov) oziroma določene vrste osebnih podatkov, pri tem ne igra vloge. Pri odločitvi glede obdelave osebnih podatkov v »novi« ali »obstoječi« zbirki osebnih podatkov ima ključno vlogo namen obdelave osebnih podatkov. Če namen obdelave nove vrste osebnih podatkov ni vsebovan oz. zajet v osnovnih namenih obdelave »obstoječe« zbirke osebnih podatkov, bi lahko govorili o »novi« zbirki osebnih podatkov.

 

V vašem primeru osebnih telefonskih številk delavcev, ki jih zbirate in obdelujete na podlagi povsem prostovoljne pisne osebne privolitve posamičnega delavca menimo, da bi namen obdelave osebnih podatkov v obstoječi zbirki »Evidenca o zaposlenih« lahko vseboval tudi namen obojestranskega lažjega in hitrejšega komuniciranja v zvezi z delovnim razmerjem, zato bi v tem primeru lahko šlo zgolj za vnos nove vrste osebnih podatkov (ob ustrezni dopolnitvi ostalih informacij, ki se razlikujejo od že vpisanih v obstoječi zbirki kot npr. pravna podlaga, rok hrambe ipd.), v skladu s prvim odstavkom 27. člena ZVOP-1 in vam v register ne bi bilo treba prijaviti »nove« zbirke osebnih podatkov. Smiselno enako ugotovitev pa bi verjetno težko izpeljati za obdelavo osebnih podatkov, ki jih za namen dokumentiranja neformalnega druženja zaposlenih izven formalnega delovnega okolja zbirate in obdelujete o družinskih članih delavcev, zato bi v tem primeru bilo bolje vzpostaviti »novo« zbirko osebnih podatkov, pred tem pa bi veljalo razmisliti ali in kdaj sploh gre za zbirko osebnih podatkov. IP vam predlaga, da se seznanite z vsebino neobveznih mnenj, ki jih poiščete s pomočjo iskalnika na spletni strani https://www.ip-rs.si/vop/, in sicer tako, da za iskanje izberete vsebinsko področje »Zbirke osebnih podatkov«.

 

Vsi osebni podatki sami po sebi namreč ne uživajo zaščite po ZVOP-1, temveč so te zaščite deležni šele, če so del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov. Zbirka osebnih podatkov je v skladu z 5. tč. 6. člena ZVOP-1 vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika.

 

Če npr. neposredna dostopnost oziroma iskanje osebnih podatkov družinskih članov delavcev, ki se nahajajo v vašem sistemu shranjevanja, ni mogoča in se njihovi osebni podatki zgolj slučajno, nesistematizirano pojavljajo v posameznih dokumentih, to še ne predstavlja zbirke osebnih podatkov v smislu ZVOP-1. Odločitev o tem ali gre za zbirko ali ne, je torej odvisna od tega, ali osebni podatki, ki jih zbirate in obdelujete za namen ustrezne izvedbe dogodkov, sploh predstavljajo strukturiran niz osebnih podatkov, ki je dostopen na podlagi posebnih meril oz. ali sistem shranjevanja tovrstnih osebnih podatkov sploh omogoča dostopanje do osebnih podatkov posameznika na podlagi njegovega imena in priimka ali drugih njegovih identifikacijskih znakov. Glede fotografij je IP izdal že več mnenj, katerim je skupno to, da se določbe ZVOP-1 uporabljajo samo v primeru, ko fotografija sama ali skupaj z drugimi ob njej objavljenimi podatki daje dovolj podatkov za določitev posameznika oziroma posameznikov, katerih podoba se na taki fotografiji nahaja in so del zbirke osebnih podatkov ali so namenjene vključitvi v zbirko osebnih podatkov. Iz previdnosti pa IP opozarja, da lahko objavljate zgolj fotografije tistih posameznikov (delavcev in njihovih družinskih članov), če imate za tako objavo osebno privolitev posameznika (za otroke pa privolitev nosilca starševske odgovornosti), katerega posnetek predstavlja objavljena fotografija.

 

Končno presojo pa boste morali opraviti v okviru podjetja, kot upravljavca. IP bi lahko dokončno o tem presojal zgolj v okviru inšpekcijskega postopka.V zvezi z opredelitvijo roka hrambe po ZVOP-1 in tudi po Splošni Uredbi (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (v nadaljevanju Uredba), ki bo s 25. majem prihodnje leto »nasledila« ZVOP-1, vam predlagamo, da se seznanite z neobveznim IP mnenjem, ki je objavljeno na spletni strani https://www.ip-rs.si/vop/gdpr-hramba-2978/.

 

Izrecne določbe, ki bi upravljavcem nalagala, da morajo posamezniki v primeru obdelave osebnih podatkov na podlagi pisne privolitve biti predhodno pisno seznanjeni tudi s časom shranjevanja v ZVOP-1 sicer ni, posredno pa to dolžnost upravljavca že sedaj lahko izpeljemo iz pojma privolitve, v kombinaciji določb, ki dovoljujejo obdelavo (shranjevanje) osebnih podatkov le toliko časa, dokler namen, zaradi katerega so se ti zbrali, ni dosežen. Drugače pa bo to z Uredbo, ko bodo veljavne le še t.i. »informirane privolitve«, kar pomeni, da boste morali delavcu vnaprej, pred pridobitvijo njegovega podpisa, jasno in razumljivo povedati, katere osebne podatke zbirate o njem, za kakšen namen, koliko časa jih hranite, komu jih posredujete ipd., zato vam predlagamo, da že sedaj temu prilagodite tudi obrazce, s katerimi pridobivate pisne privolitve delavcev v obdelavo katerihkoli njihovih osebnih podatkov, ki jih obdelujete na podlagi privolite. V zvezi z vašimi dilemami, kako ustrezno določiti roke hrambe, vam predlagamo, da najprej jasno in dovolj ozko opredelite namene za katere zbirate osebne podatke, zatem določite vrste osebnih podatkov, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za dosego tako določenih namenov in šele nato določite obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja. Če boste namen dovolj ozko in jasno opredelili, bo ta v nekaterih primerih že sam po sebi predstavljal tudi merilo obdobja hrambe.

 

Lep pozdrav,

 

Pripravila:

mag. Petra Ratajec

državna nadzornica za varstvo osebnih podatkov

 

Informacijski pooblaščenec:

Mojca Prelesnik

informacijska pooblaščenka

 

Lep pozdrav,