Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 29.03.2020
Naslov: Kršitev s področja varstva osebnih podatkov
Številka: 07121-1/2020/448
Vsebina: Delovna razmerja, Inšpekcijski postopki, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede morebitne kršitve s področja varstva osebnih podatkov s strani vašega delodajalca.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage, namenov in obsega obdelave osebnih podatkov v konkretnem primeru. Dokončno presojo zakonitosti obdelave osebnih podatkov lahko IP poda le v konkretnem inšpekcijskem ali drugem upravnem postopku, zato na vaše vprašanje v okviru tega mnenja ne more dokončno odgovoriti.

 

IP splošno pojasnjuje, da je za zakonito obdelavo osebnih podatkov treba imeti ustrezno pravno podlago. Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku 6. člena, kjer določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

 

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

 

Za vsako obdelavo osebnih podatkov mora torej obstajati pravna podlaga. IP ob tem opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego posamičnega zakonitega namena obdelave (v konkretnem primeru dostavo plačne liste zaposlenemu po pošti).

 

IP podaja mnenje, da je vsekakor priporočljivo, da se na poštne pošiljke po nepotrebnem ne zapisuje ali drugače razkriva tistih osebnih podatkov naslovnika, ki niso obvezni v skladu s področnimi predpisi ali sicer nujno potrebni. Ne more pa IP v okviru mnenja presojati, ali gre v konkretnem primeru za kakršnokoli kršitev, saj presojo o ustreznosti obdelave osebnih podatkov v konkretnem primeru lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka.

 

Ob tem IP sklepno pojasnjuje še, da Splošna uredba o varstvu podatkov v 77. členu določa, da ima brez poseganja v katero koli drugo upravno ali pravno sredstvo vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo. Nadzorni organ v RS je Informacijski pooblaščenec, ki je v skladu z 2. členom ZInfP samostojen in neodvisen državni organ, pristojen za inšpekcijski nadzor nad izvajanjem zakona in drugih predpisov, ki urejajo varstvo ali obdelavo osebnih podatkov oziroma iznos osebnih podatkov iz Republike Slovenije, ter opravljanje drugih nalog, ki jih določajo ti predpisi.

 

V kolikor menite, da so vam bile kršene vaše pravice v zvezi z varstvom osebnih podatkov, lahko pri IP vložite prijavo po elektronski pošti na naslov gp.ip@ip-rs.si, oz. po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana. To lahko storite tudi preko obrazca, ki je dostopen na spletni strani IP:

 

https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka