Informacijski pooblaščenec Republika Slovenija
    SLO | ENG
dekorativna slika

Iskalnik po mnenjih GDPR

+ -
Datum: 13.04.2020
Naslov: Uporaba spletnega orodja za snemanje sestankov
Številka: 07121-1/2020/570
Vsebina: Delovna razmerja, Informiranje posameznika, Pravne podlage, Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem nam pojasnjujete, da je vaše podjetje začelo uporabljati spletno orodje, ki omogoča sestanke na daljavo in tudi snemanje sestankov. Sodelujoči ima možnosti sprejeti ali zavrniti snemanje ter po sestanku prostovoljno upravljati s posnetkom (lahko ga denimo deli, objavi itd.). Prosite nas za nasvet, kako pravilno postopati.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Uvodoma IP pojasnjuje, da mora biti za vsako obdelavo osebnih podatkov, ki zapade pod Splošno uredbo o varstvu podatkov, podana ustrezna pravna podlaga, ki jih Splošna uredba opredeljuje v členu 6(1). Slednji določa vrste pravnih podlag, in sicer:

(a)    posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b)    obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na kate-rega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c)    obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d)    obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e)    obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f)    obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine po-sameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zla-sti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Zaradi izrazitega nesorazmerja moči med delavcem in delodajalcem privolitev posameznika v delovnih razmerjih praviloma ne bo ustrezna pravna podlaga za obdelavo osebnih podatkov, ki so potrebni za izvrševanje oz. uresničevanje pravic delavca in njegovih delovnih obveznosti. Privolitev mora biti namreč prostovoljna in posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče (člen 7(3) Splošne uredbe).

 

V vašem dopisu sicer omenjate prostovoljnost zaposlenih in možnost nadzora nad nadaljnjo uporabo posnetka sestanka, vendar se tu postavljajo najmanj naslednja vprašanja: ali je zagotovljena privolitev vseh udeleženih; kaj se zgodi, če ni; kako se dokazujejo privolitve (dokazno breme je na upravljavcu); kaj se zgodi s posnetkom, če le eden od sodelujočih kasneje umakne svojo privolitev in tako naprej.

 

Če torej ni mogoče zagotoviti resnične prostovoljnosti (upoštevaje že omenjeno razmerje moči v delovnih razmerjih ter v prejšnjem odstavku navedena izhodišča za presojo), bi bila obdelava osebnih podatkov, kot jo omenjate, potencialno možna le na podlagi prvega odstavka 48. člena ZDR-1.

 

V delovnopravnih razmerjih obdelavo osebnih podatkov namreč primarno ureja zakon, torej je pravna podlaga v smislu člena 6(1) Splošne uredbe zapisana v točki (c) - izpolnitev zakonske obveznosti, ki velja za upravljavca. Prvi odstavek 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, s sprem. in dop.; v nadaljevanju ZDR-1) tako določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Drugi odstavek istega člena pa določa, da lahko osebne podatke delavcev zbira, obdeluje, uporablja in posreduje tretjim osebam samo delodajalec ali delavec, ki ga delodajalec za to posebej pooblasti.

 

Naloga upravljavca je, da presodi ustreznost izbrane pravne podlage, izkaže zakonitost obdelave in tudi nosi posledice morebitne nezakonite obdelave. Informacijski pooblaščenec konkretnih tehnologij in orodij ne more in ne sme komentirati z vidika zakonitosti obdelave, podamo vam lahko le zgornje usmeritve, ki jih uporabite pri presoji. Pri tem vam še svetujemo, da presojo uporabite ločeno za obdelavo osebnih podatkov za samo izvedbo sestanka na daljavo s konkretnim orodjem, nato pa še za snemanje in nadaljnjo obdelavo posnetkov.

 

V vašem primeru pa bi vas želeli opozoriti še na vidik varnosti obdelave osebnih podatkov in iznosa osebnih podatkov v tretje države.

 

Glede varnosti osebni podatkov IP posebej poudarja, da mora upravljavec osebnih podatkov le-te ustrezno varovati v vseh fazah obdelave. Prvi odstavek člena 32 Splošne uredbe določa, da morata upravljavec in obdelovalec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotoviti ustrezno raven varnosti glede na tveganje.

 

Večina najbolj uveljavljenih orodij za spletno komuniciranje, omogoča t.i. šifriranje od vira do ponora komunikacije (angl. »end-to-end encryption«), ne pa nujno v vseh primerih (to najverjetneje npr. ne bo zagotovljeno, če je klic (deloma) opravljen preko navadne telefonske linije in ne preko podatkovnega prenosa) in ne nujno kot privzeto nastavitev, razlike med aplikacijami pa obstajajo tudi glede drugih vidikov varnosti in zasebnosti. Zato IP priporoča, da se glede teh vidikov pred uporabo upravljavec osebnih podatkov posvetuje s svojimi sodelavci s področja informacijskih tehnologij.

 

Pregled različnih vidikov varnosti in zasebnosti pri aplikacijah za spletno komuniciranje je med drugim dostopen tu: https://www.securemessagingapps.com/.

 

Pozornost je treba nameniti tudi morebitnemu prenosu osebnih podatkov v tretje države, saj številni ponudniki tovrstnih rešitev prihajajo iz ZDA. Priporočamo, da preverite, ali je ponudnik rešitve na seznamu certificiranih organizacij po dogovoru Privacy Shield med EU in ZDA: www.privacyshield.gov/welcome. Več  o iznosu podatkov v tretje države si lahko preberete na naši spletni strani https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-drzave-in-mednarodne-organizacije/iznos-osebnih-podatkov-v-zda/ ter na splošno v infografiki Informacijskega pooblaščenca: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Prenos_osebnih_podatkov_po_Uredbi_v_dveh_korakih.pdf.

 

Svetujemo, da si več o pravicah posameznika glede varstva podatkov preberete na naši spletni strani www.tiodločaš.si.

 

Vsa mnenja IP so objavljena in dostopna na naši spletni strani: www.ip-rs.si/vop/.

 

Prav tako pa so vsa ključna področja, kot jih ureja Splošna uredba o varstvu podatkov predstavljena na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/, kjer lahko najdete veliko koristnih nasvetov glede bistvenih obveznosti podjetij in drugih organizacij za pravilno izvajanje ukrepov varstva osebnih podatkov.

 

Lep pozdrav,

 

                                                                                   Mojca Prelesnik, univ.dipl.prav.,

                                                                                   informacijska pooblaščenka

 

 

mag. Polona Merc, univ.dipl.prav.,

svetovalka IP za varstvo osebnih podatkov

 

Logotip projekta iDecide

To mnenje je nastalo v okviru projekta »Programa pravice, enakost in državljanstvo 2014-2020«, ki ga financira Evropska unija.

 

Vsebina tega mnenja predstavlja neobvezno mnenje Informacijskega pooblaščenca in je izključno njegova odgovornost. Evropska komisija ne sprejema odgovornosti glede uporabe informacij, ki jih mnenje zajema.