Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 14.05.2020
Naslov: Sledenje zaposlenim
Številka: 07121-1/2020/849
Vsebina: Delovna razmerja, Moderne tehnologije, Pravne podlage, Sindikati
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navedli ste, da se v zdravstvenem domu vzpostavlja elektronsko pisanje potnih nalogov. Sistem je v testnem obdobju, uporabljajo pa ga že reševalci. Moti vas, da vas o tem ukrepu nihče ni obvestil,  vam pojasnil v čem je pravna podlaga, pridobil vaše soglasje in vam pojasnil, kaj ta sistem dejansko pomeni, razen tega, da bi naj bil za vas lažji. Pojasnjujete, da imate ta program naložen na zasebnih telefonih in da je razvidno: kdo vozi, s katerim avtomobilom, časi postankov, čas prihodov in odhodov, hitrost vožnje, kje se nahajajo ter kdaj avto stoji. Menite, da ta ukrep preveč posega v vaše zasebno življenje, saj omogoča nadzor nad delavci tudi v njihovem prostem času. Skrbijo vas tudi možne zlorabe, saj delodajalec ni sprejel nobenega pravilnika, ki bi urejal nadzor nad dostopom do teh podatkov.

 

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Pri tem IP poudarja, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

 

Delodajalec ima na delovnem mestu pravice, ki izvirajo iz njegove lastnine na delovnimi sredstvi. Nedvomno pa mora delodajalec na delovnem mestu upoštevati delavčevo zasebnost in osebne podatke delavca obdelovati zgolj v obsegu, ki je potreben zaradi uresničevanja pravic in obveznosti na delovnem mestu. Lokacijski podatki posameznika štejejo med osebne podatke, zato mora pri uporabi sledilnih naprav vsak upravljavec osebnih podatkov spoštovati določila Splošne uredbe. Za obdelavo osebnih podatkov mora obstajati pravna podlaga. Teoretično so mogoče vse pravne podlage, ki jih določa 6. člen Splošne uredbe, upravljavec pa je odgovoren za izbiro primerne pravne podlage glede na konkretne okoliščine. Glede na opisan primer izpostavljamo dve pravni podlagi, npr. obdelava zaradi izvajanja pogodbe (točka (b) prvega odstavka 6. člena Splošne uredbe) ali pa uveljavljanje zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba (točka (f) prvega odstavka 6. člena Splošne uredbe).

 

Glede uporabe GPS navigacijskih sistemov za sledenje oseb, predmetov oz. vozil, je IP izdal Smernice »Uporaba GPS sledilnih naprav in varstvo osebnih podatkov«, ki so dosegljive na https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/GPS_smernice_net_.pdf.

Sledenje zaposlenim je natančneje razdelano v točki 3.1 smernic. Vsak upravljavec osebnih podatkov bi moral pred uvedbo GPS sledilnih naprav skrbno premisliti, kakšen namen zasleduje z ukrepom ter ali je ta ukrep sploh primeren za dosego želenega cilja. Premisliti mora torej o tem, ali je obdelava utemeljena, upravičena in sorazmerna. IP priporoča, da se pred uvedbo sistema opravi t.i. ocena učinkov, v okviru katere se presodi, ali je uvedba sistema zakonita, sorazmerna, varna ter se ocenijo tveganja, ki bi lahko nastala zaradi kršitve pravic in svoboščin posameznikov ter se oblikujejo ukrepi za obvladovanje teh tveganj. Ocena učinka je določena v 35. členu Splošne uredbe, IP pa je izdal priporočila glede njene izvedbe v Smernicah »Ocene učinkov na varstvo podatkov«, ki so dostopne na:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf.

Opominjamo tudi, da je konkretna obdelava osebnih podatkov verjetno takšne narave, da je oprava ocene učinka skladno s 35. členom Splošne uredbe obvezna. Seznam obdelav, kjer je predhodna oprava ocene učinkov obvezna, lahko najdete na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf.

 

Kot ste navedli tudi sami, je pri tem pomembna seznanitev zaposlenih. Namreč, delodajalec bi vam moral skladno z 13. oz. 14. členom Splošne uredbe podati informacije o obdelavi osebnih podatkov, npr. glede identitete upravljavca, namenih obdelave osebnih podatkov, rokih hrambe, uporabnikih oz. kategorijah uporabnikov osebnih podatkov, vam podati informacije o pravicah, ki vam pripadajo skladno z zakonodajo itd. Vsekakor bi moral vaš delodajalec pred uvedbo sistema sprejeti interni akt (npr. pravilnik) ter opredeliti način delovanja, postopke, opredeliti zbrane podatke, namene, upravljavca ter roke hrambe in urediti način izvajanja sistema sledenja, tudi s sprejemom primernih tehnično-organizacijskih ukrepov, kot je možnost dostopa do podatkov, ki jih sistem beleži. 

 

Kadar gre za sledenje zaposlenim, mora biti uporaba te opreme nujno potrebna za dosego legitimnih ciljev. Kot smo navedli v smernicah Uporaba GPS sledilnih naprav in varstvo osebnih podatkov na str. 11, so sprejemljivi nameni za uporabo GPS naprave za sledenje uporabe službenih vozil npr. naslednji:

 

- varnost in zaščita opreme ter dokumentov delodajalca, ki se nahajajo v navedenih vozilih,

- preprečevanje protipravnega odvzema vozila,

- varnost zaposlenih oz.

- določitev lokacije v primeru prometne nesreče.

 

Pri uporabi GPS naprave za sledenje uporabe službenih vozil je treba upoštevati tudi načelo sorazmernosti. Delodajalec bi v vašem primeru (uporaba GPS zaradi izpisovanja potnih nalogov) moral presoditi, ali je tak ukrep nujen, potreben ter ali je teža posledic posega v človekovo pravico proporcionalna vrednosti zasledovanega cilja. Med drugim mora tako oceniti, ali lahko kontrolo nad izvajanjem potnih nalogov oz. njihovo izpisovanje doseže z drugimi cilji. IP načeloma meni, da načelu sorazmernosti verjetno ni zadoščeno, v kolikor je sledenje urejeno tako, da se ne sledi samim službenim avtomobilom, temveč je naložena aplikacija na mobilnih telefonih zaposlenih, ki jo zaposleni izven delovnega časa celo ne morejo izključiti. Pri oceni sorazmernost velja opozoriti tudi na to, da so za izpolnitev potnega naloga potrebni podatki o razdalji oz. številu opravljenih kilometrov, ne pa tudi o sami lokaciji. V delu, kjer omenjate sledilne naprave pri voznikih reševalcih (upoštevajoč namen sledenja, ki je v tem primeru predviden s strani delodajalca in v kolikor je to utemeljeno), pa bi bilo treba verjetno premisliti, ali zadostuje prikaz lokacijskih podatkov v realnem času, ne pa tudi njihova dolgoročna hramba.

 

Prav tako se zastavlja vprašanje zakonitosti zahteve delodajalca, da zaposleni na zasebne telefone ali druge pametne naprave namesti aplikacijo, ki posega v njegovo zasebnost. Glede na to, da naj bi se osebni podatki zaposlenih obdelovali preko posebne aplikacije, nameščene na zasebnem telefonu posameznega od njih, bi moral delodajalec pri uvajanju in izvajanju obravnavanega sistema spoštovati tudi določbo prvega odstavka 157. člena Zakona o elektronskih komunikacijah (Uradni list RS, št. 109/12, 110/13, 40/14 – ZIN-B, 54/14 – odl. US, 81/15 in 40/17, v nadaljevanju ZEKom-1) ki določa, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov. Delodajalec bi moral torej najprej zagotoviti in izkazati, da za obdelavo osebnih podatkov na opisan način obstaja ustrezna pravna podlaga iz Splošne uredbe in ZVOP-1, kot pojasnjujemo zgoraj, dodatno pa tudi, da so vsi zaposleni, ki bi uporabljali telefone, na katere bi bila nameščena aplikacija podali privolitev za samo namestitev aplikacije na njihove telefone in za pridobivanje podatkov iz teh njihovih naprav s strani delodajalca. To pomeni, da morajo imeti zaposleni možnost zavrniti uporabo aplikacije brez posledic za delovno razmerje. Taka privolitev zaposlenih bi namreč morala ustrezati opredelitvi in vsebovati vse elemente privolitve iz Splošne uredbe, kar pa je v delovnem razmerju (zaradi narave tega razmerja, v katerem je delodajalec močnejša stranka in ne obstaja ravnovesje moči) zelo težko zagotoviti in izkazati.

 

V kolikor na podlagi napotil menite, da gre za kršitev varstva osebnih podatkov, lahko podate prijavo na IP. Pomagate si lahko z obrazcem »Prijava kršitve varstva osebnih podatkov«, ki je objavljen na spletni strani IP, na https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

 

 

V upanju, da so vam bila naša napotila v pomoč, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Barbara Pirš, univ.dipl.prav.,

Svetovalka Pooblaščenca za preventivo