Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 12.12.2017
Naslov: Mnenje glede definicije osebnih podatkov
Številka: 0712-1/2017/2425
Vsebina: Definicija OP, Delovna razmerja, Upravljanje gospodarskih družb, Posredovanje OP med upravljavci, Pridobivanje OP iz zbirk
Pravni akt: Mnenje

Spoštovani,

 

prejeli smo vaše zaprosilo za mnenje, ki se dotika definicije osebnih podatkov in pravnih podlag za posredovanje. Kot ste pojasnili, bi želeli tuji družbi (s sedežem v EU), ki je vaš lastnik, posredovati podatke vaših zaposlenih, saj je v teku projekt, katerega namen je zmanjšanje in preprečevanje nezgod pri delu. V ta namen želi vaš lastnik, da bi mu vaša družba posredovala podatke o nezgodah pri delu in nevarnih dogodkih, ki se zgodijo v podjetju. Na podlagi posredovanih podatkov in statističnih analiz s podatki, pridobljenimi tudi iz drugih družb iz skupine, bi se pripravljali novi akcijski načrti in izboljšave za varnejša delovna mesta, saj so delovni procesi in posledično delovna mesta v večinskem delu družb v skupini skladna med seboj (npr. proces izdelave istega izdelka je enak v vseh državah).

 

Posredovali bi se podatki o nezgodi, in sicer na katerem delovnem mestu se je nezgoda zgodila, datum, za kakšno poškodbo je šlo, prav tako želijo tudi podatek o starosti in spolu poškodovanca ter podatek koliko nesreč pri delu je ista oseba že imela. Ne bi se posredovala identiteta zaposlenega (brez imena in priimka in brez matične številke) in po vaši oceni identitete zaposlenega ne bi bilo moč ugotoviti. Podatki bi se posredovali zgolj v namen ugotovitve povečanih rizikov in potrebnih izboljšav. Podatke bi vaša družba posredovala zgolj družbi lastnici znotraj EU.

 

 

Zanima vas, ali gre v vašem primeru za posredovanje osebnih podatkov ali ne, in če da, kako to izvesti na zakonit način.

 

Informacijski pooblaščenec (IP) vam na podlagi informacij, ki ste nam jih posredovali v zaprosilu za mnenje v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posreduje naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

Glede na vaš opis situacije ocenjujemo, da gre nedvomno za osebne podatke. Ključna je namreč določljivost posameznika, ki je v konkretnem primeru možna brez nesorazmernih naporov, sredstev ali časa, saj vsaj vi veste, na katero točno določeno osebo se nanašajo osebni podatki. Na določljivost posameznika je namreč, skladno z mnenji Delovne skupine za varstvo osebnih podatkov iz člena 29, treba gledati široko – ne samo skozi zmožnosti posameznega podjetja (»ali lahko mi/oni določijo, na koga se nanašajo podatki«, temveč »ali se da«). Dejstvo, da se posredujejo podatki o zaposlenih brez navedb konkretnih imen in priimkov je sicer dober in priporočljiv varnostni ukrep, ki oteži določljivost tretjim osebam, ne pomeni pa to »razosebljenja« oz. anonimizacije osebnih podatkov. Več o konceptu osebnih podatkov v mnenju Delovne skupine za varstvo osebnih podatkov iz člena 29:

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2007/wp136_sl.pdf

 

Skladno z določbami Splošne Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba) gre za t.i. psevdonimizirane podatke, ki se štejejo za osebne podatke. Po določbi 5. točke 4. člena uredbe „psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku. Navedeno povsem ustreza vaši situaciji, zato gre za posredovanje osebnih podatkov.

 

Glede na navedeno boste v vaši situaciji tujemu podjetju znotraj EU posredovali osebne podatke vaših zaposlenih, za kar mora obstajati pravna podlaga. Najprej morate ugotoviti, v kakšnem razmerju do vas nastopa tuja družba – če gre za ločenega upravljavca, kar je najbolj verjetno, potem mora za posredovanje obstajati ustrezna pravna podlaga, kjer se kot najustreznejša kaže podlaga po 1. oziroma po 2. odstavku 10. člena ZVOP-1. Utemeljiti in izkazati bi morali, da je konkretna obdelava osebnih podatkov primerna in potrebna v okviru pravic in obveznosti, ki izvirajo iz delovnega razmerja. Priporočamo vam tudi ogled mnenj na temo centralnih kadrovskih evidenc na naši spletni strani ter Smernic o varstvu osebnih podatkov v delovnih razmerjih:

 

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih.pdf

 

 

Zgolj z vidika celovitosti pojasnjujemo še, da kolikor bi tuja družba iz EU nastopala v vašem imenu in za vaš račun kot vaš pogodbeni obdelovalec, potem bi šlo za prenos pogodbenemu obdelovalcu, ki mora biti skladen z 11. členom ZVOP-1. Slednja situacija je sodeč po vašem opisu manj verjetna, saj tuja družba zasleduje svoje (in vaše) namene obdelave osebnih podatkov. V pomoč pri ugotavljanju razmerja med družbami je lahko mnenje zgoraj omenjene delovne skupine:

 

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2010/wp169_sl.pdf

 

Vsa omenjena mnenja te delovne skupine so na voljo tudi v jezikih EU.

 

 

S spoštovanjem,

 

 

Pripravil:

mag. Andrej Tomšič

namestnik informacijske pooblaščenke

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka