Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 26.11.2019
Naslov: Vprašanje glede varstva osebnih podatkov in vpeljave aplikacije za spremljanje delovnega časa preko mobilne aplikacije
Številka: 0712-1/2019/2395
Vsebina: Delovna razmerja, Moderne tehnologije, Pravne podlage, Telekomunikacije in pošta, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem navajate, da v vašem podjetju poskusno uvajate program za spremljaje delovnega časa, ki za registracijo uporablja mobilni telefon. Aplikacija zahteva tudi dostop do lokacije telefona. V skladu z navedenim vas zanima ali je to področje v Sloveniji zakonsko urejeno oziroma kako se v takem primer zaščiti zasebnost zaposlenega, saj ta telefon uporablja tudi izven službenega časa.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov oz. Uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP ustreznosti določene programske rešitve v okviru mnenja ne more presojati,. Niti ne more vnaprej potrjevati posameznih rešitve z vidika skladnosti s Splošno uredbo o varstvu podatkov. Presojo o ustreznost namreč lahko izvede le v okviru konkretnega inšpekcijskega postopka.

 

IP pojasnjuje, da uredba v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od pogojev navedenih v 6. členu Uredbe.

 

Področni zakon, ki določa obdelavo osebnih podatkov delavcev je Zakon o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US in 22/19 – ZPosS, v nadaljevanju ZDR-1). Ta v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlag, se morajo takoj izbrisati in prenehati uporabljati.

 

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načeloma pomeni, da je potrebno obdelovati samo toliko osebnih podatkov delavcev, koliko je nujno potrebno za izpolnitev namena v konkretnem primeru.

 

IP pojasnjuje, da mora delodajalec pred uvedbo take aplikacije in uporabo lokacijskih podatkov v okviru aplikacije temeljito presoditi dopustnost in utemeljenost namena, zaradi katerega želi uvesti takšno tehnologijo. Poleg tega mora presoditi tudi njegovo primernost in sorazmernost. Pred uvedbo GPS tehnologij je delodajalec dolžan s sprejetjem notranjega akta delavce seznaniti s tem, da se v okviru aplikacije za določen namen (ki ga opredeli delodajalec) uporablja GPS tehnologijo oziroma lokacijski podatki. Delodajalec je dolžan delavca, ki uporablja aplikacijo seznaniti z aplikacijo, načinom njenega delovanja, namenom njene namestitve ter s primeri in nameni za katere bodo pridobljeni podatki uporabljeni. Ob tem mora poskrbeti tudi za zavarovanje zbirke osebnih podatkov, ki nastane na podlagi uporabe aplikacije.

 

IP nadaljnje pojasnjuje, da ima uporabnik aplikacije tudi možnost izbire ali dovoli aplikaciji dostop do lokacijskih  podatkov naprave. V nadaljevanju prikazujemo to možnost v sistemih Android in iOS:

 

  • iOS:

V sistemu iOS odpremo nastavitve, ter nadaljujemo na podmeni »Privacy« in nato »Location Services«

Znotraj nastavitev »Location Services« nam iOS omogoča, da posamezni aplikaciji določimo dovoljenja glede dostopa do lokacijskih podatkov. V kolikor ne želite da aplikacija MojeUre pridobiva lokacijske podatke lahko kliknete nanjo in nato izberete možnost »Never« ali možnost »While Using«, ki aplikaciji omogoča dostop do lokacijskih podatkov zgolj takrat ko je ta v uporabi. Zaslonske slike v konkretnem primer so narejene na mobilnem sistemu iOS 13.

  • Android:

V sistemu Android odpremo nastavitve, ter nadaljujemo na podmeni »Apps & notifications« in nato kliknemo na aplikacijo, katere nastavitve želimo spreminjati.

 

Znotraj nastavitev določene aplikacije izberemo »Permissions« kjer lahko nato določamo ali ima aplikacija dovoljenje za uporaba lokacijskih podatkov ali ne.  V kolikor ne želite da aplikacija MojeUre pridobiva lokacijske podatke ji znotraj tega menija lahko odvzamete dovoljenje za dostop do lokacijskih podatkov. Zaslonske slike v konkretnem primer so narejene na mobilnem sistemu Android 9.

 

IP za konec poudarja še, da glede na navedbe v vašem zaprosilu je verjetno tudi, da gre za obliko obdelave iz Seznama dejanj obdelave osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Uredbe in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf

 

IP je na temo ocene učinkov izdal tudi Smernice o oceni učinkov na varstvo podatkov, ki so dostopne na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf

 

Lep pozdrav,

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

 

Pripravil:                                                                                                                                

Tomaž Brodgesell,
informatik