Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 15.01.2020
Naslov: Evidenca o izrabi delovnega časa
Številka: 07120-1/2020/16
Vsebina: Delovna razmerja, Pravne podlage, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem nam postavljate vprašanje glede vzpostavitve evidence prisotnosti zaposlenih na osnovni šoli. Želite, da bi zaposleni vpisovali svoje prihode in odhode v posebno mapo, ki bi bila shranjena v regalu v tajništvu in bi bila pod stalnim nadzorom tam zaposlene osebe. Zaposleni bi se v mapo vpisovali kronološko glede na čas prihoda in odhoda. Poleg tega bi se dnevno vodile tudi opravljene ure in vsota vseh ur za posamezni mesec. Če bi bilo takšno poimensko vpisovanje sporno vas zanima, če bi bilo možno vpisovanje z EMŠO, ali z naključno kodo, ki bi jo prejel vsak zaposleni.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

Zakonsko podlago za obdelavo osebnih podatkov v primeru vzpostavitve evidence delovnega časa, upoštevajoč točko c člena 6(1) Splošne uredbe, predstavljata Zakon o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06 s spremembami in dopolnitvami; v nadaljevanju ZEPDSV) in Zakon o delovnih razmerjih (Uradni list RS, št. 21/13 s spremembami in dopolnitvami; v nadaljevanju ZDR-1), ki glede na določbo člena 6 (2 in 3) Splošne uredbe ostajata v veljavi tudi po njeni uveljavitvi.

 

ZEPDSV določa vrste in vsebino evidenc na področju dela in socialne varnosti, način zbiranja podatkov, način vodenja in povezovanja evidenc, način posredovanja podatkov za potrebe državnih organov, lokalnih skupnosti in nosilcev javnih pooblastil ter ostalih uporabnikov, ki te podatke potrebujejo za opravljanje zakonsko določenih nalog oziroma za vodenje zbirk podatkov o posameznikih ali posameznicah ter za namene izvajanja statističnih, socialno ekonomskih in drugih raziskovanj, ki imajo zakonsko podlago. Tako so evidence, ki jih morajo delodajalci voditi v skladu ZEPDSV, izrecno določene v 12. členu tega zakona, in med njimi je tudi evidenca o izrabi delovnega časa.

 

Vsebino evidence o izrabi delovnega časa določa 18. člen ZEPDSV, ki taksativno našteva podatke, ki jih, za posameznega delavca, delodajalec dnevno vpisuje vanjo, in sicer:

  • podatke o številu ur,
  • skupno število opravljenih delovnih ur s polnim delovnim časom in s krajšim delovnim časom od polnega z oznako vrste opravljenega delovnega časa,
  • opravljene ure v času nadurnega dela,
  • neopravljene ure, za katere se prejema nadomestilo plače iz sredstev delodajalca, z oznako vrste nadomestila,
  • neopravljene ure, za katere se prejema nadomestilo plače v breme drugih organizacij ali delodajalcev in organov z oznako vrste nadomestila,
  • neopravljene ure, za katere se ne prejema nadomestilo plače,
  • število ur pri delih na delovnem mestu, za katera se šteje zavarovalna doba s povečanjem, oziroma na katerih je obvezno dodatno pokojninsko zavarovanje, z oznako vrste statusa.

 

V 19. členu ZEPDSV je urejeno vodenje te evidence z vidika časovnega okvira začetka in konca vodenja evidence o izrabi delovnega časa, ki sta vezana na sklenitev oziroma prenehanje pogodbe o zaposlitvi.

 

Glede na navedeno IP opozarja, da ne samo, da lahko vzpostavite evidenco o izrabi delovnega časa, skladno z ZEPDSV jo celo morate. Vsebina evidence za vsakega zaposlenega je opredeljena v zgoraj opisanem 18. členu ZEPDSV, pri čemer v zvezi s podatkom o številu ur (prva alineja 18. člena ZEPDSV) lahko vodite čas prihoda in odhoda z dela in skupno število ur prisotnosti na delovnem mestu ter druge podatke, ki so navedeni v omenjenem členu.

 

Podatke v evidenci o izrabi delovnega časa lahko vodite poimensko za zaposlene, torej z navedbo njihovega imena in priimka, zato uporaba psevdonimov (omenjate denimo naključno dodeljeno kodo) načeloma ne bi bila potrebna. Ker pa omenjate kronološki način zapisa, zaradi katerega bi imeli vsi zaposleni ob vpisovanju v evidenco vpogled v podatke drugih zaposlenih, lahko kot dodaten ukrep varovanja osebnih podatkov uvedete tovrstno naključno dodeljene kode. Uporaba podatka EMŠO pa vsekakor ne bi bila primerna, saj gre za enolični identifikator, ki razkriva več podatkov (namreč datum in državo rojstva ter spol) in v primeru zlorabe oziroma nepooblaščene uporabe tega podatka lahko pride do resne škode oziroma negativnih posledic za pravice posameznika. Pri obdelavi osebnih podatkov je treba upoštevati tudi načelo sorazmernosti, kot ga določa točka c) prvega odstavka člena 5 Splošne pogodbe o varstvu podatkov, ki določa, da so osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (»najmanjši obseg podatkov«). Uporaba imena in priimka ali, celo bolje, psevdonimov, je v konkretnem primeru dovolj za dosego namenov, ki jih zasledujete glede beleženja izrabe delovnega časa.

 

Za konec IP še pripominja, da mora biti mapa, v katero se vpisujejo prihodi in odhodi zaposlenih, shranjena tako, da se prepreči nepooblaščena obdelava osebnih podatkov. Opisujete, da je mapa pod stalnim nadzorom tam zaposlene osebe, vendar glede tega pripominjamo, da morate kot upravljavec osebnih podatkov sprejeti tudi druge tehnične in organizacijske ukrepe za zavarovanje osebnih podatkov. Zavarovanje osebnih podatkov v skladu s še veljavnim prvim odstavkom 24. člena ZVOP-1 obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:

  1. varujejo prostori, oprema in sistemsko programska oprema, vključno z vhodno-izhodnimi enotami;
  2. varuje aplikativna programska oprema, s katero se obdelujejo osebni podatki;
  3. preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih;
  4. zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov;
  5. omogoča poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                               informacijska pooblaščenka

 

Pripravila:                                                                                                                              

mag. Polona Merc

Svetovalka pooblaščenca

za varstvo osebnih podatkov