Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 19.04.2018
Naslov: Geslo na službenem računalniku in objava skupinske fotografije na spletu
Številka: 0712-1/2018/951
Vsebina: Delovna razmerja, Mediji, fotografije kot OP, Razno
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vašo elektronsko pošto, v kateri prosite za odgovor na dve vprašanji.

 

1) Pojasnjujete, da vas je direktor v času vaše odsotnosti zaradi bolniškega staleža zaprosil za geslo vašega službenega računalnika. Pojasnil je, da ga potrebuje zaradi izvedbe prijave novo zaposlene osebe v ZZZS. Namreč sicer vi izvajate te prijave. A pojasnjujete, da ste pred odsotnostjo napisali podrobna navodila, kako osebo prijaviti v ZSSS brez vašega računalnika, zato menite, da vam je bilo s tem dejanjem poseženo v vaše zavarovane pravice.

 

2) Delodajalec je na spletni strani podjetja objavil skupinske fotografije zaposlenih. Z objavo fotografij se niste strinjali in niti niste podpisali nobenega soglasja. Zanima vas, ali ima delodajalec pravico do objave teh fotografij brez vaše privolitve.

 

 

Obrazložitev:

 

V nadaljevanju vam na podlagi predstavljenega dejanskega stanja ter na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/2007 – uradno prečiščeno besedilo; v nadaljevanju ZVOP-1) ter 2. člena Zakona o Informacijskem pooblaščencu (Uradni list RS št. 113/2005 in 51/2007-ZUstS) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

1) Vprašanje delodajalčevega dostopa do službenega računalnika delavca presega zgolj vidike varovanja osebnih podatkov (v smislu ZVOP-1). Gre namreč za širše vprašanje posegov v (komunikacijsko) zasebnost posameznikov oz. zaposlenih (35. in 37. člen Ustave RS), varstvo katere je zagotovljeno s pravili iz področja kazenskega in civilnega prava. Pri presoji zakonitosti ravnanja delodajalca je v prvem koraku potrebno ugotoviti, ali gre v konkretnem primeru za vsebine na službenem računalniku zaposlenega, ki so bistvene in nujne za nemoten delovni proces pri delodajalcu. V drugem koraku pa je potrebno presoditi, ali obstajajo tudi drugi načini prek katerih bi lahko delodajalec prišel do želenih vsebin brez nepotrebnega poseganja v pravico zaposlenega do varstva osebnih podatkov in zasebnosti. Delodajalec pa nikakor ne sme samovoljno pridobiti gesla računalnika in samovoljno pregledovati vsebine na računalniku oz. delovni postaji zaposlenega, ampak se to, če že, stori po določenem vnaprej predvidenem postopku oziroma s sodno odredbo.

 

2) V kolikor gre za serijo fotografij zaposlenih, na katerih so ti posamezniki določljivi (npr. ob fotografiji so navedena imena oseb), lahko te objavljene fotografije predstavljajo zbirko osebnih podatkov, za katero obstaja obveznost varstva skladno z ZVOP-1. Za zakonito objavo fotografij v sklopu zbirke osebnih podatkov je potrebno pridobiti soglasja posameznikov na fotografiji, ne glede na njihovo število. V kolikor ne gre za zbirko osebnih podatkov, vam preostane morebitna sodna pot zaradi posega v osebnostne pravice.

 

 

Obrazložitev:

 

Točka 1:

IP uvodoma poudarja, da ZVOP-1 in tudi pristojnost IP ne pokrivata celotnega spektra zasebnosti, pač pa zgolj tisti del, ki se nanaša na zbirke osebnih podatkov. ZVOP-1 je torej konkretizacija ustavne pravice do varstva osebnih podatkov, ki je določena v 38. členu Ustave Republike Slovenije v nadaljevanju: Ustava RS). Seveda pa to ne pomeni, da posameznik ne uživa drugih pravic – razlika je zgolj v načinu varstva pravic in uveljavljanja škode v primeru njihove kršitve. Poleg tega IP tudi opozarja, da lahko v konkretnem primeru poda le neobvezujoče mnenje, kar pomeni, da ne more konkretno presoditi, ali gre za nezakonito ravnanje delodajalca ali ne.

 

Gre za kolizijo dveh pravic, in sicer lastninsko pravico delodajalca in delavčevo pravico do zasebnosti, nobena od teh ni absolutna in treba je v vsakem konkretnem primeru iskati primerno in čim manj invazivno rešitev glede na dane okoliščine. Pri presoji zakonitosti ravnanja delodajalca v konkretnem primeru je v prvem koraku potrebno premisliti, katere vsebine na službenem računalniku zaposlenega so bistvene za nemoten delovni proces pri delodajalcu. Torej, ali gre za vsebine (v konkretnem primeru je to program, ki ga omenjate, in podatki v programu), do katerih je mogoče dostopati izključno iz službenega računalnika določenega delavca ali se lahko do teh vsebin dostopa tudi prek drugih računalnikov. Namreč to lahko vpliva na različnost stopnje utemeljenosti pričakovanja zasebnosti ter na samo dostopnost podatkov, dokumentov. Delodajalec bi moral vnaprej opredeliti, katere so tiste vsebine, ki so nujne za nemoten delovni proces pri delodajalcu, v smislu, da bi zaradi njihove nedostopnosti delodajalcu lahko nastala večja (premoženjska ali druga) škoda, npr. podatki o prijavah na določen javni razpis, zlasti kjer tečejo določeni roki, katerih zamuda bi negativno vplivala na delodajalca. Najbrž niso vsi podatki na računalniku zaposlenega enako pomembni in enako nujni za delovni proces. Prav tako mora delodajalec delovni proces organizirati na način, da je možno nadomeščanje v primeru odsotnosti brez nedopustnih posegov v zasebnost.

 

V drugem koraku je potrebno premisliti, ali obstajajo druge možnosti, da delodajalec pride do želenih vsebin brez nepotrebnega poseganja v pravico zaposlenega do varstva osebnih podatkov in zasebnosti. Torej potrebno se je vprašati, ali bi lahko do programa dostopal prek drugega računalnika, ali za konkretno dejanje sploh potrebuje točno določen program, ali bi lahko odložil dejanje do vrnitve delavca, itd. Namreč, v kolikor obstajajo drugi načini, s katerimi lahko delodajalec pride do želenih vsebin, in ti v bistvenem ne otežujejo delovnega procesa delodajalca, bi poseg v zasebnost delavca lahko predstavljal nesorazmeren in s tem tudi eventualno nezakonit ukrep.

 

Delodajalec pa nikakor ne sme samovoljno zahtevati gesla računalnika in pregledovati vsebine na računalniku oz. delovne postaje zaposlenega, ampak se to, če že, stori po določenem vnaprej opredeljenem postopku oziroma na podlagi sodne odredbe. Običajno mora biti možnost vpogleda vnaprej predpisana v pravilnikih, vpogled pa izveden, ko zaposleni poda privolitev oz. izrazi strinjanje, ob samem vpogledu pa, v kolikor je to možno, naj bi bila prisotna tudi zaposlena oseba.

 

Kakor je že pojasnjeno, vprašanje dostopa do gesla uslužbenca in dostopa do službenega računalnika v marsičem presega zgolj vidike varovanja osebnih podatkov (v smislu ZVOP-1). Gre namreč za širše vprašanje posegov v (komunikacijsko) zasebnost posameznikov oz. zaposlenih (35. in 37. člen Ustave RS), katerih varstvo je v Sloveniji zagotovljeno v kazenskem pravu v okviru določb o kršitvi tajnosti občil 139. člena Kazenskega zakonika (Ur. l. RS, št. 55/08, 66/08 in 39/09, v nadaljevanju KZ-1) in v civilnem pravu v okviru določb o zahtevi za prenehanje kršitev osebnostnih pravic 134. člena Obligacijskega zakonika (Ur. l. RS, št. 97/07 uradno prečiščeno besedilo, v nadaljevanju OZ) in k temu pripadajočih določb o odškodninski odgovornosti za takšen poseg. Prekomerni poseg v upravičeno pričakovano zasebnost zaposlenih (do katerega lahko pride tudi z dostopom do računalnika zaposlenega) zatorej ne ogroža zgolj zakonitosti delodajalčevega konkretnega dejanja, ampak delodajalca potencialno izpostavlja tudi odškodninski oz. celo kazenski odgovornosti. Zavedati se je namreč treba, da je komunikacijska zasebnost v našem pravnem redu strožje varovana kot informacijska zasebnost (varstvo osebnih podatkov), in da določbe 37. člena Ustave RS določajo stroge pogoje za poseg v komunikacijsko zasebnost, zato mora biti delodajalec posebej pozoren pri morebitnem poseganju v komunikacije zaposlenega.

 

IP vas glede vprašanja napotuje na neobvezujoča mnenja, v katerih je odgovoril na podobna vprašanja:

 

 

Točka 2:

V drugem delu elektronskega sporočila vas zanima, ali sme delodajalec na svoji spletni strani objaviti skupinske fotografije zaposlenih brez njihovega dovoljenja. V primeru javne objave fotografije, na kateri je upodobljen posameznik, gre vnovič za poseg v pravico do zasebnosti iz 35. člena Ustave RS, ki sodi v pristojnost sodišč, a se ta lahko povezuje tudi s pravico do varstva osebnih podatkov iz 38. člena Ustave RS, ki je konkretizirana v ZVOP-1, nadzor nad izvajanjem katerega izvaja IP.

 

IP sprva pojasnjuje nekaj splošnih pojmov, ki so relevantni v konkretnem primeru. Po 6. členu ZVOP-1 je zbirka osebnih podatkov vsak strukturiran niz podatkov, ki vsebuje vsaj en osebni podatek, ki je dostopen na podlagi meril, ki omogočajo uporabo ali združevanje podatkov, ne glede na to, ali je niz centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi; strukturiran niz podatkov je niz podatkov, ki je organiziran na takšen način, da določi ali omogoči določljivost posameznika. Osebni podatek je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen. Posameznik je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek; fizična oseba je določljiva, če se jo lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa.

 

IP pojasnjuje, da v kolikor gre za serijo fotografij zaposlenih, na katerih so ti posamezniki določljivi, lahko te objavljene fotografije predstavljajo zbirko osebnih podatkov, za katero obstaja obveznost varstva skladno z ZVOP-1. Za zakonito obdelavo osebnih podatkov mora obstajati ustrezna pravna podlaga. Za zasebni sektor velja, da je obdelava osebnih podatkov dopustna na podlagi zakona ali na podlagi osebne privolitve (prvi odstavek 10. člena ZVOP-1). Zakonsko podlago za obdelavo osebnih podatkov delavcev predstavlja določba prvega odstavka 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/2013, nadaljevanju: ZDR-1), ki določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in dostavljajo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri objavi skupinske fotografije zaposlenih najverjetneje ne gre za uresničevanje pravic in obveznosti iz delovnega razmerja (tak primer bi lahko bila npr. objava fotografij fotomodelov). To pomeni, da zakonska podlaga za objavo navedenih fotografij najverjetneje ne obstaja, posledično je za zakonito objavo fotografij v sklopu zbirke osebnih podatkov potrebno pridobiti soglasja posameznikov na fotografiji za takšno obdelavo njihovih osebnih podatkov. Privolitev posameznika v javno objavo njegovih osebnih podatkov je praviloma potrebno pridobiti ne glede na število oseb na sliki.

 

Navedene določbe ZVOP-1 se ne uporabljajo, če fotografija sploh ne predstavlja zbirke osebnih podatkov, ker fotografija sama ali skupaj z ob njej objavljenimi podatki ne vsebuje dovolj podatkov, na podlagi katerih bi bilo mogoče določiti posameznike na njej.

 

IP ugotavlja, da v konkretnem primeru nima dovolj informacij, da bi lahko ugotovil, ali gre za zbirko osebnih podatkov ali ne in s tem, ali gre za področje varstva osebnih podatkov ali ne. Poleg tega IP konkretno odloča zgolj v inšpekcijskem postopku. V kolikor menite, da je prišlo do kršitev določb ZVOP-1, lahko podate prijavo. IP še pojasnjuje, da v kolikor ne gre za področje varstva osebnih podatkov, lahko kljub temu uveljavljate svoje pravice na civilnem sodišču in v skrajnem primeru, če bi bilo moč prepoznati kaznivo dejanje, tudi na kazenskem sodišču.

 

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

 

                                                                                           Mojca Prelesnik, univ. dipl. prav.,           

                                                                                            informacijska pooblaščenka

 

Pripravila:

Neja Domnik, dipl. prav. (UN), 

raziskovalka pri IP