Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 03.04.2018
Naslov: Obveznosti, ki jih določa Splošna uredba o varstvu podatkov
Številka: 0712-3/2018/129
Vsebina: Zavarovanje osebnih podatkov, Pogodbena obdelava OP, Razno, Delovna razmerja
Pravni akt: Mnenje

prejeli smo vaš dopis, v katerem nas zaprošate za mnenje glede določenih zahtev uredbe.

Pojasnili ste, da ste veliko proizvodno podjetje s cca 1.400 zaposlenimi, glavnino podatkov obdelujete zaradi dela oz. zaposlovanja. Končnih kupcev (podjetij) in dobaviteljev (podjetij) je omejeno število, o njih vodite izključno poslovne kontakte. Zanima vas,

 

  1. ali potrebujete pooblaščeno osebo?
  2. Ali morate izdelovati ocene učinka?
  3. Ali potrebujete zapisano politiko o ravnanju z osebnimi podatki?
  4. Sprejet imate Pravilnik o ravnanju z osebnimi podatki ter katalog zbirk osebnih podatkov, urejene imate izjave. Je potrebna še politika in če je, zadostuje njena objava na vaši spletni strani?
  5. Za namen prijave na izobraževanje in izdaje potrdil izvajalcu sporočite ime in priimek udeleženca, bi za to potrebovali (kot zaposleni v kadrovski službi) še sporazum o pogodbeni obdelavi osebnih podatkov z izvajalcem?
  6. Ali smete za interne potrebe voditi bazo kandidatov, s katerimi ste opravili razgovore brez soglasij kandidatov? Baza vključuje le ime in priimek osebe, ter datum razgovora in področje, za katerega se je oseba prijavila.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

Informacijski pooblaščenec (IP) podaja naslednja stališča glede vaših vprašanj:

 

Ad a)

 

Glede na smernice o pooblaščenih osebah, ki so bile sprejete na evropski ravni in so dostopne na naslovu https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf, velika podjetja, čeprav imajo veliko zaposlenih[1], ne rabijo imenovati pooblaščene osebe, če njihove temeljne dejavnosti upravljavca ali obdelovalca ne zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati. Glede na vaše področje dejavnosti (po javno dostopnih podatkih proizvodnja svetilnih teles za avtomobile) menimo, da obdelava osebnih podatkov pri vas ni »temeljna dejavnost«.

 

Ad b)

 

Glede ocene učnika ni mogoče vnaprej podati enoznačnega odgovora brez opredeljenega konteksta – zamenjava npr. informacijskega sistema podjetja, v katerem se obdelujejo osebni podatki zaposlenih bi mogoče terjala izdelavo ocene učinka, vsekakor pa je ta zelo priporočljiva v takšnem primeru. Tudi tu si lahko pomagate s smernicami:

 

https://www.ip-rs.si/fileadmin/user_upload/Smernice_o_ocenah_ucinka__DPIA__nov2017.pdf

 

Ad c-d)

 

Interne akte o varstvu osebnih podatkov posredno zahteva 24. člen uredbe, zelo verjetno pa bo to tudi zahteva novega ZVOP-2. Pravilnik o varnosti je zelo priporočljiv tudi zaradi zahtev iz 32. do 34. člena uredbe, pri čemer lahko obstoječe pravilnike le pregledate in posodobite po potrebi. Ne uredba ne ZVOP-1 ne določata oblike, hierarhije, števila ali poimenovanja internih aktov – lahko gre za en pravilnik ali pa v primeru kompleksnih okolij za hierarhično urejeno dokumentacijo - krovno varnostno politiko, parcialne varnostne politike in njim pripadajoča operativna navodila – to odločitev se prepušča upravljavcu, ki mora ustrezno obravnavati svoja tveganja. Interne akte morate sprejeti, ni jih pa potrebno objavljati na spletnih straneh.

 

Ad e)

 

Po mnenju IP zaposleni v kadrovski službi, ki posreduje izvajalcu izobraževanja osebne podatke sodelavcev, ki se bodo udeležili določenega izobraževanja, to lahko zakonito stori primarno na podlagi oziroma potrebnosti izvajanja pogodbe o delu z zaposlenim (če je seveda konkretno izobraževanje potrebno glede na naloge, ki jih zaposleni opravlja), in ne na podlagi njegove privolitve. Izvajalec izobraževanja se formalno šteje za pogodbenega obdelovalca delodajalca, zato bi z njim morali skleniti pogodbo o pogodbeni obdelavi (po 28. členu uredbe). Tovrstna pogodba bi bila pretirana, če pošiljate samo posameznega sodelavca na določeno izobraževanje, če pa bo zunanji izvajalec izobraževanje opravil za večje število vaših zaposlenih, pa bi težko rekli, da ne gre za pogodbenega obdelovalca.

 

Ad f)

 

Podatke o tem, s katerimi zaposlenimi ste opravili razgovore, lahko vodite na pravni podlagi pogodbe o delovnem razmerju (2. odstavek 10 člena ZVOP-1 oziroma v prihodnje 1b odstavek 6. člena uredbe) v povezavi z 48. členom Zakona o delovnih razmerjih (ZDR-1) in za to ni potrebno soglasje zaposlenega.

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                  

informacijska pooblaščenka

 

 

 

 

Pripravil:

                                                                                                                                   

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke  

 

 

           

 


[1] Str.8: «Na drugi strani vse organizacije izvajajo neke dejavnosti, na primer plačevanje zaposlenih ali standardne dejavnosti informacijske podpore. To so primeri potrebnih podpornih funkcij za temeljno ali glavno dejavnost organizacije. Čeprav so te dejavnosti potrebne ali nujne, se navadno štejejo za pomožne funkcije in ne temeljne dejavnosti.«