Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Iskalnik po mnenjih GDPR

+ -
Datum: 15.04.2020
Naslov: Prenos podatkov iz imenika
Številka: 07121-1/2020/623
Vsebina: Delovna razmerja, Informiranje posameznika, Pravne podlage, Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Pridobivanje OP iz zbirk, Telekomunikacije in pošta
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede prenosa osebnih podatkov iz imenika mobilnega telefona v mobilne aplikacije, namenjene komunikaciji.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da lahko podaja nezavezujoča mnenja in pojasnila, ne more pa izven konkretnih inšpekcijskih postopkov vnaprej potrjevati posameznih rešitev ali konkretnih dejanj obdelave osebnih podatkov z vidika skladnosti s Splošno uredbo o varstvu podatkov. IP tako ne nudi storitve pregleda ali vnaprejšnje odobritve različnih storitev, aplikacij ali drugih sistemov z vidika njihove skladnosti z veljavnimi predpisi s področja varstva osebnih podatkov.

 

IP tako splošno pojasnjuje, da Splošna uredba o varstvu podatkov v prvem odstavku 6. člena določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

​​​​​​​a)    posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
b)    obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
d)    obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
e)    obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
f)    obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. 

 

V kolikor torej obstaja ena izmed zgoraj naštetih podlag za obdelavo osebnih podatkov, je takšna obdelava skladna z zakonodajo. V vašem zaprosilu za mnenje navajate različne skupine posameznikov, katerih osebne podatke obdelujete (zaposleni, poslovni partnerji, drugi posamezniki, s katerimi sodelujete).

Glede obdelave osebnih podatkov zaposlenih IP pojasnjuje, da je področje delovnega prava tako za javni kot za zasebni sektor specialno urejeno v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19) in Zakonu o evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06). ZDR-1 v 48. členu tako določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. členu določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati. Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, za kaj takšne osebne podatke potrebuje. Če okoliščine delovnega razmerja tega ne terjajo oziroma če delodajalec ne izkaže, da so osebni podatki potrebni zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih od delavca ne sme zahtevati ali pridobiti na drug način. Pri presoji mora delodajalec vedno izhajati iz načela najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

 

Ob tem IP dodaja, da vsekakor močno priporoča ločevanje poslovnega (službenega) in zasebnega načina delovanja ob uporabi mobilnih telefonov in drugih informacijskih sredstev zaposlenih, da se zagotovi nadzor nad obdelavo in dostopi do poslovnih podatkov ter uporabo samo preverjenih in vnaprej odobrenih aplikacij in programske opreme. Priporočljivo je, da so takšni in podobni varnostni postopki in ukrepi vnaprej opredeljeni v internih aktih delodajalca. V kolikor vaši zaposleni za obdelave osebnih podatkov, ki jih navajate v vašem zaprosilu, uporabljajo zasebne mobilne telefone, vas IP napotuje na smernice o uporabi zasebnih naprav v službene namene, ki jih najdete na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_BYODweb.pdf

 

Glede obdelave osebnih podatkov vaših poslovnih partnerjev, ki so del vaših zbirk osebnih podatkov, IP pojasnjuje, da pravno podlago za obdelavo takšnih podatkov navadno predstavljajo zakoniti interesi upravljavca iz točke (f) člena 6(1) Splošne uredbe o varstvu podatkov. Obdelava je torej dopustna tudi, kadar upravljavec z obdelavo uresničuje svoj zakoniti interes in s tem pretirano ne poseže v pričakovano zasebnost posameznika. IP pa poudarja, da se je pri presoji, ali je v konkretnem primeru podlaga po točki (f) ustrezna, vedno treba vprašati, ali je uporaba skladna z namenom zbiranja in ali lahko posameznik razumno pričakuje uporabo njegovih podatkov za tak namen. V konkretnem primeru je torej treba oceniti, ali je sinhronizacija podatkov iz imenika in njihov prenos v oblak združljiva s prvotnim namenom obdelave osebnih podatkov oziroma ali lahko vaši poslovni partnerji oziroma posamezniki, zaposleni pri njih, razumno pričakujejo obdelavo njihovih osebnih podatkov za ta namen. Treba je torej biti pozoren, da se z obdelavo pretirano ne poseže v razumno pričakovano zasebnost posameznika (zaposlenega pri poslovnem partnerju). 

 

Glede obdelave osebnih podatkov posameznikov, katerih podatke ste, kot navajate, pridobili na podlagi privolitve, IP pojasnjuje, da je treba upoštevati podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v 7. členu Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk, vnaprej označena okenca ali kakršnakoli nedejavnost tako ne pomenijo privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. IP poudarja, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej. Upravljavec mora torej pridobiti več ločenih privolitev za vsako obdelavo posebej (granularnost oziroma razčlenjenost privolitev). Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve.

 

Več informacij o privolitvi lahko najdete lahko najdete tudi na naši spletni strani:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/

 

IP nadalje pojasnjuje, da je treba razlikovati med pravno podlago za samo obdelavo osebnih podatkov (v vašem primeru torej privolitev iz (a) točke člena 6(1) Splošne uredbe o varstvu podatkov) in pa pravno podlago za prenos podatkov v tretje države ali mednarodne organizacije (v vašem primeru lastnikom mobilnih aplikacij), ki so urejene v poglavju V. Splošne uredbe o varstvu podatkov. Privolitev posameznika lahko predstavlja pravno podlago za prenos le pod strogimi pogoji, določenimi v točki (a) člena 49(1) Splošne uredbe o varstvu podatkov. IP meni, da je zelo verjetno, da v konkretnem primeru privolitev posameznikov ne more biti ustrezna podlaga za prenos osebnih podatkov. IP prav tako meni, da za prenos osebnih podatkov verjetno obstajajo druge pravne podlage in torej pridobivanje privolitve posameznikov ni potrebno.

 

Več informacij o prenosu osebnih podatkov v tretje države lahko najdete v smernicah IP, ki so objavljene na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_glede_prenosa_OP_v_tretje_drzave_in_mednarodne_organizacije_po_Splosni_uredbi.pdf.

Napotujemo vas tudi na spletno stran IP, kjer je ureditev v zvezi s prenosi predstavljena na krajši način:

 

Ob tem pa IP pojasnjuje, da člena 13 in 14 Splošne uredbe o varstvu podatkov nalagata upravljavcem osebnih podatkov, da posameznikom, katerih osebne podatke obdelujejo, podajo določene informacije v zvezi z obdelavo osebnih podatkov. Več o obveznosti si lahko preberete na naši spletni strani: https://upravljavec.si/obvescanje-posameznikov/. V skladu s točko (e) člena 13(1) Splošne uredbe o varstvu podatkov je upravljavec dolžan navesti tudi uporabnike ali kategorije uporabnikov osebnih podatkov (med uporabnike sodijo tudi (pod)obdelovalci osebnih podatkov), v skladu s točko (f) pa (kadar je ustrezno) dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

 

IP sklepno ponavlja, da v okviru mnenja ne more dokončno presojati konkretnega ravnanja posameznega upravljavca. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo in odgovornost zanjo je vedno na upravljavcu osebnih podatkov.

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka