Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 24.01.2020
Naslov: Evidenca dejavnosti obdelav
Številka: 07121-1/2020/84
Vsebina: Delovna razmerja, Evidence dejavnosti obdelave , Pravne podlage, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede vodenja evidence dejavnosti obdelav.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma ugotavlja, da v vašem zaprosilu za mnenje navajate primere obdelav osebnih podatkov, ki nastajajo in se obdelujejo ob uporabi službenih sredstev s strani zaposlenih (internet, elektronska pošta, telefon, vozila, registrator delovnega časa). IP potrjuje, da je tudi tovrstne obdelave treba ustrezno evidentirati v skladu z zahtevami, ki izhajajo iz 30. člena Splošne uredbe o varstvu podatkov. Ob tem IP meni, da se lahko tovrstne obdelave opišejo enotno, npr. kot zbirka osebnih podatkov zaposlenih, ki se obdelujejo ob uporabi službenih sredstev.

IP nadalje pojasnjuje, da ste v skladu s 30. členom Splošne uredbe o varstvu podatkov kot upravljavci v evidenci dejavnosti obdelave zavezani voditi vse obdelave osebnih podatkov, ki jih izvajate v vašem podjetju oziroma organizaciji, ne zgolj zgoraj navedene zbirke v zvezi z uporabo službenih sredstev. Pripraviti je torej treba opis vsake zbirke osebnih podatkov, ki jo vodite. Evidenca dejavnosti obdelave se vodi v pisni, vključno v elektronski obliki. Evidenca dejavnosti obdelave se vodi na ravni podjetja, ne za vsakega zaposlenega delavca posebej, vsebuje pa elemente iz  prvega odstavka 30. člena Splošne uredbe o varstvu podatkov:

  • naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;
  • namene obdelave;
  • opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
  • kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
  • kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
  • kadar je mogoče. predvidene roke za izbris različnih vrst podatkov;
  • kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).

 

Ob tem IP opozarja tudi na upravljavčevo dolžnost ustreznega informiranja posameznikov (v konkretnem primeru zaposlenih) glede obdelave njihovih osebnih podatkov v skladu s členoma 13 in 14 Splošne uredbe o varstvu podatkov.

Obveznosti upravljavcev in obdelovalcev v zvezi z vodenjem evidenc dejavnosti obdelav, ki izhajajo iz Splošne uredbe o varstvu podatkov, je IP podrobno opisal na svoji spletni strani:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/evidenca-dejavnosti-obdelave/.

Na zgornji povezavi lahko med drugim najdete tudi vzorec evidence dejavnosti obdelave, ki vam je lahko v pomoč pri vodenju vaše evidence dejavnosti obdelave.

Glede pravne podlage za obdelavo osebnih podatkov delavcev IP splošno pojasnjuje, da Splošna uredba o varstvu podatkov v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

  • posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  • obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  • obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  • obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  • obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  • obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

IP nadalje pojasnjuje, da je področje delovnega prava specialno urejeno v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZposS, 81/19) in Zakonu o evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06).

 

ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

 

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

 

Več informacij o obdelavi osebnih podatkov v delovnih razmerjih vsebujejo smernice IP, ki so dostopne na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Informacijski pooblaščenec:

Mojca Prelesnik, univ. dipl. prav.,

pooblaščenka