Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 07.02.2020
Naslov: Seznanitev z rezultati nadzora nad javnim uslužbencem
Številka: 07120-1/2020/49
Vsebina: Delovna razmerja, Pravica do seznanitve z lastnimi osebnimi podatki, Pridobivanje OP iz zbirk, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da vas je delodajalec (iz javnega sektorja) skladno s Pravilnikom o delovnem času, evidentiranju delovnega časa in prijavi odsotnosti zaposlenih nadziral na način, da je vodja sektorja telefonsko poizvedovala o vaši prisotnosti in obnašanju na terenu (opravljate namreč delo inšpektorja). Zanima vas, ali imate pravico do seznanitve z ugotovitvami nadzora in ali je primerno, da se je nadzor nad vašo prisotnostjo na terenu vršil kar po telefonu

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

Pravica do seznanitve z ugotovitvami nadzora

 

V zvezi s pravico do seznanitve z ugotovitvami nadzora vam pojasnjujemo, da ima vsak posameznik pravico do seznanitve z lastnimi osebnimi podatki pod pogoji, ki jih opredeljuje člen 15 Splošne uredbe, ter po postopku, ki je določen v členu 12 Splošne uredbe.

 

Člen 15(1) Splošne uredbe tako določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

(a)    namene obdelave;
(b)    vrste zadevnih osebnih podatkov;
(c)    uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
(d)    kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
(e)    obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
(f)    pravico do vložitve pritožbe pri nadzornem organu;
(g)    kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
(h)    obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

 

Skladno s členom 15(3) vam mora upravljavec zagotoviti kopijo osebnih podatkov. Če zahtevo za dostop do svojih osebnih podatkov predložite z elektronskimi sredstvi in ne zahtevate drugače, mora upravljavec informacije zagotoviti v elektronski obliki, ki je splošno uporabljana.

 

Rok za posredovanje informacij oziroma zavrnilni odgovor je določen v členu 12(3) Splošne uredbe, in sicer se mora upravljavec odzvati brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev.

 

Primernost izvajanja nadzora po telefonu

 

V zvezi z izvajanjem nadzora nad prisotnostjo in obnašanjem delavca pri izvajanju njegovih delovnih nalog na terenu, vam lahko le splošno odgovorimo, da podlago za obdelavo osebnih podatkov v delovnih razmerjih predstavlja predvsem 48. člen Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, s sprem. in dop.; ZDR-1). Slednji določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno z zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Konkretne upravičenosti obdelave osebnih podatkov pa IP v neobvezujočem mnenju, torej izven konkretnega inšpekcijskega postopka, kjer bi imel na voljo vse dokaze in bi udeleženim nudil vse procesne varovalke, ne more presojati.

 

Za več informacij v zvezi z obdelavo osebnih podatkov v delovnih razmerjih vam svetujemo, da si ogledate Smernice Informacijskega pooblaščenca o varstvu osebnih podatkih v delovnih razmerjih, ki so dostopne na naslovu: https://www.ip-rs.si/publikacije/prirocniki-in-smernice/varstvo-osebnih-podatkov-v-delovnih-razmerjih/.

 

Glede samega načina izvajanja nadzora nad delavcem, pa IP opozarja na problematiko posredovanja osebnih podatkov po telefonu, če niso zagotovljene ustrezne varovalke, s katerimi se preprečuje nepooblaščen dostop do osebnih podatkov. IP je že večkrat opozoril, da je treba pri posredovanju osebnih podatkov po telefonu zagotoviti ustrezno varovanje osebnih podatkov s primerno identifikacijo klicatelja, ki želi prejeti osebne podatke (bodisi drugega posameznika ali svoje lastne). Način preverjanja identitete klicateljev po telefonu, kjer se zahteva en sam identifikator posameznika  za dostop do osebnih podatkov, praviloma ni ustrezen, saj omogoča krajo identitete in zlorabe osebnih podatkov ter lahko predstavlja kršitev določb Splošne uredbe o varnosti podatkov (člen 32 Splošne uredbe) ter drugih zaupnih podatkov. Tako IP meni, da mora oseba oziroma organizacija, ki naj bi posredovala osebne podatke posameznika, klicatelja ustrezno identificirati, preveriti pravno podlago za posredovanje osebnih podatkov, z več identifikatorji preveriti identiteto posameznika, čigar osebni podatki naj bi se posredovali ter vsekakor zagotoviti tudi sledljivost obdelave osebnih podatkov. Če takšnih varovalk ni mogoče zagotoviti pri komunikaciji po telefonu, IP meni, da je treba zahtevo za posredovanje osebnih podatkov podati pisno.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                               informacijska pooblaščenka

 

Pripravila:                                                                                                                              

mag. Polona Merc

Svetovalka pooblaščenca

za varstvo osebnih podatkov