Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 05.06.2018
Naslov: Uporaba GDPR
Številka: 0712-3/2018/563
Vsebina: Delovna razmerja
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaše e-sporočilo, v katerem navajate, da s strani prevoznih podjetij dobivate vprašanja glede vodenja evidenc, ki jih morajo voditi na osnovi Zakona o delovnem času in obveznih počitkih mobilnih delavcev ter o zapisovalni opremi (ZDCOPMD), ki v 8. členu določa vodenje evidenc.

 

S podatki o aktivnostih voznika (s prihodom pametnega tahografa naslednje leto tudi podatki o lokacijah voznika), ki so zabeleženi na tahograf in voznikovo kartico, morajo prevozna podjetja na podlagi obvez iz Uredb EU in slovenske zakonodaje v podjetjih izvajati naslednje aktivnosti:

 

  • prenos (prepis) podatkov iz tahografa in voznikove kartice in na podlagi tega vodenje evidence prenosov in evidence, iz katere je za vsakega voznika posebej (ime in priimek ter štev. kartice) razvidno obdobje prenosa (to je zakonsko predpisano);

  • na podlagi teh podatkov se vzpostavi in vodi predpisana evidenca izrabe delovnega  časa (na osnovi ZDCOPMD in ZDR-1);

  • odgovorna oseba v podjetju pregleduje evidenco za posameznega voznika, ker je podjetje dolžno preverjati ali vozniki spoštujejo predpisana določila o časih vožnje, odmorih in počitkih in določila o pravilni uporabi tahografa in voznikove kartice (obveza za redno kontrolo izhaja iz Uredb EU). V primeru ugotovljenih kršitev pravil morajo na osnovi ZDR-1 disciplinsko ukrepati;

  • obdelava podatkov iz prejšnje alineje za potrebe postopkov v inšpekcijskih in prekrškovnih postopkih (izjave v zvezi z sumom storitve prekrška, vlaganje pravnih sredstev …);

  • ti podatki se obdelujejo znotraj prevoznega podjetja s strani določene osebe ali več oseb, katere rabijo podatke za izvajanje ostalih postopkov v prevoznem podjetju (prometniki, kadrovska služba, računovodska služba (obračun plač), odgovorna oseba za prevoze, upravljavec voznega parka ...).

 

V zvezi z navedenim ste pripravili več vprašanj, ki so zaradi preglednosti navedena spodaj v obrazložitvi tega mnenja skupaj s stališči IP.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

O b r a z l o ž i t e v:

 

1. Ali je prevozno podjetje (tudi glede na velikost, ali obstaja razlika v obveznostih) dolžno vzpostaviti seznam osebnih podatkov (popis zbirke os. podatkov), ki se vodijo pri podjetju in pripraviti pravilnik?

 

Več o evidenci dejavnosti obdelave lahko preberete na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/evidenca-dejavnosti-obdelave/

 

Več o nujnosti Pravilnika o zavarovanju osebnih podatkov lahko preberete na spletni strani IP, najpogostejša vprašanja in odgovori:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/najpogostejsa-vprasanja-in-odgovori/

 

 

2. Ali za zgoraj navedene dejavnosti lahko rečete, da se osebni podatki obdelujejo oziroma ali sploh lahko govorimo o zbirki os. podatkov ? Ali gre v tem primeru sploh za obvezo vodenja evidence obdelave podatkov?

 

Splošna uredba o varstvu podatkov v drugi točki člena 4 določa, da obdelava osebnih podatkov pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje. Opisane zbirke osebnih podatkov zaposlenih torej sodijo med zbirke osebnih podatkov po uredbi.

 

3. Ali so podjetja dolžna imenovati posebej osebo zadolženo za varstvo osebnih podatkov?

 

Več o pooblaščeni osebi za obdelavo osebnih podatkov lahko preberete na naslednji spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pooblascena-oseba-za-varstvo-podatkov/

 

ali v smernicah na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp243rev01_sl.pdf

 

4. Ali je potrebno v zvezi s tem sprejet interna pravila, seznanitev delavcev?

Glej zgoraj Pravilnik, sicer pa obveznosti upravljavcev glede zagotavljanja transparentnosti obdelav določata člena 13 n 14 uredbe.

 

5. Ali je potrebno izvajati postopke ocene učinka?

 

Več o postopkih ocene učinka:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/ocena-ucinka-v-zvezi-z-varstvom-podatkov/

 

6. Ali je potrebna pogodba in pravilnik, če te naloge izvaja zunanji pogodbeni partner in ali morajo v tem primeru delavci podati soglasje  (privolitev) ali morajo biti le seznanjeni s tem, da se te naloge izvajajo v recimo IT podjetju, računovodskem servisu…?

 

Glede pogodbene obdelave osebnih podatkov, ki jo ureja člen 28 uredbe, je IP pripravil in objavil naslednja pojasnila, kjer boste našli vse odgovore na vaša vprašanja:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/pogodbena-obdelava/

 

7. Ali so podatki, ki se nanašajo na kršitve in na podlagi katerih se vodijo inšpekcijski, prekrškovni in interni disciplinski postopki, posebej občutljivi podatki - posebna vrsta os. podatkov?

 

Splošna uredba o varstvu podatkov v členu 9 navaja posebne vrste osebnih podatkov ter njihovo obdelavo, mednje sodijo podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo. Prav tako pa je obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi posebej urejena v členu 10 uredbe.

 

8. Ali je v primeru preverjanja podatkov za namene prekrškovih postopkov (drugih pravnih postopkov) potrebno vsakokratno soglasje - privolitev voznika? V teh primerih se opravi vpogled v digitalno zapisane podatke na voznikovi kartici, ki pa so lahko že v evidenci že arhivirani ali pa se še nahajajo na voznikovi kartici;

 

Obdelava osebnih podatkov je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev – člen 6 Splošne uredbe o varstvu podatkov:

 

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov za enega ali več določenih namenov,

  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe,

  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca,

  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe,

  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

V primeru obdelav posebnih vrst osebnih podatkov to ureja člen 9 uredbe.

 

Ustrezna podlaga v smislu člena 6. oz. 9. Splošne uredbe o varstvu podatkov v obravnavanem primeru lahko predstavljata Zakon o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/2006, v nadaljevanju ZEPDSV) in Zakon o delovnih razmerjih (Uradni list RS, št. 21/2013, nadaljevanju: ZDR-1). Medtem ko slednji v prvem odstavku 48. člena določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in dostavljajo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, ZEPDSV izrecno določa vrste in vsebino evidenc na področju dela in socialne varnosti, način zbiranja podatkov, način vodenja in povezovanja evidenc, način posredovanja podatkov za potrebe državnih organov, lokalnih skupnosti in nosilcev javnih pooblastil ter ostalih uporabnikov, ki te podatke potrebujejo za opravljanje zakonsko določenih nalog oziroma za vodenje zbirk podatkov o posameznikih ali posameznicah ter za namene izvajanja statističnih, socialno ekonomskih in drugih raziskovanj, ki imajo zakonsko podlago. Pravila glede obdelav osebnih podatkov v zvezi s posameznimi uradnimi postopki (sodni, inšpekcijski, prekrškovni ipd.) pa urejajo procesni predpisi.

 

IP ob koncu še dodaja in poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati. Prav tako izven posameznega inšpekcijskega postopka ne sme preverjati primernosti izbrane pravne podlage, namenov in obsega obdelave osebnih podatkov v konkretnem primeru.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Pripravila:

Petra Lešnik Kromar, univ. dipl. prav.,

državna nadzornica za varstvo osebnih podatkov

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka