Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 01.06.2020
Naslov: Aplikacija za nadzor nad delom na službenem računalniku
Številka: 07121-1/2020/851
Vsebina: Delovna razmerja, Moderne tehnologije, Pravne podlage
Pravni akt: Mnenje

na e-naslov Informacijskega pooblaščenca (v nadaljevanju IP) ste posredovali sporočilo z vsebino o tem, da vaša sestra sumi delodajalca, da sledi njenemu delu na službenem računalniku. Navedli ste, da njen sum izhaja iz tega, da so ji v času epidemije začeli na računalnik nalagati neke posodobitve. Zanima vas ali je takšen elektronski nadzor brez vednosti zaposlenega, zakonit in ali je to kaznivo.


Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP v okviru neobvezujočega mnenja ne more podati dokončnega odgovora na vaše vprašanje o dopustnosti uporabe aplikacije za nadzor nad delom zaposlenega, temveč to lahko stori zgolj v okviru postopka inšpekcijskega nadzora, ko se v konkretnih okoliščinah ugotovi dejansko stanje obdelave osebnih podatkov.

 

Pri uporabi aplikacij za spremljanje dela na domu zaposlenih je potrebno v prvi vrsti poudariti, da njeno delovanje, glede na namen in naravo, nedvomno zahteva tudi obdelavo osebnih podatkov zaposlenih. Podatki, ki jih na ta način zbira in nadalje obdeluje delodajalec se nanašajo na določene posameznike in tako ustrezajo definiciji osebnega podatka iz prve točke 4. člena Splošne uredbe, prav tako pa ravnanje delodajalca s temi podatki ustreza definiciji obdelave osebnih podatkov iz druge točke istega člena.  

 

Za vsako obdelavo osebnih podatkov mora obstajati zakonita pravna podlaga. Te so določene v členu 6 Splošne uredbe. Glede na to, da gre v obravnavanem primeru za obdelavo osebnih podatkov znotraj delovnega razmerja (za obdelavo osebnih podatkov zaposlenih s strani delodajalca) je relevantna tudi določba 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16 in 15/17 – odl. US, v nadaljevanju ZDR-1), ki določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

 

Vsaka obdelava osebnih podatkov mora biti hkrati tudi v skladu s temeljnimi načeli obdelave, kot so določeni v členu 5 Splošne uredbe. Osebni podatki morajo biti tako: 

  1. obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, pravičnost in preglednost“);
  2. zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni („omejitev namena“);
  3. ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);
  4. točni in, kadar je to potrebno, posodobljeni („točnost“);
  5. hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; („omejitev shranjevanja“);
  6. obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

IP, kot rečeno, zakonitosti konkretne obdelave osebnih podatkov, ki jo navajate, ne more presojati izven inšpekcijskih postopkov, v katerih predhodno ugotovi vse relevantne okoliščine primera, poleg tega pa ste nam v svojem vprašanju posredovali zelo splošne in skope informacije.  

 

Glede na navedeno IP poudarja, da je delodajalec, ki zaposlene napoti na delo na domu, opravljanje takega dela s strani zaposlenih vsekakor upravičen v določeni meri spremljati in nadzirati in v ta namen, v skladu z določbo 48. člena ZDR-1 tudi obdelovati njihove osebne podatke. Pri odločanju o tem, katere osebne podatke zaposlenih bo v ta namen obdeloval in na kakšen način pa mora dosledno spoštovati zlasti zgoraj omenjeno načelo najmanjšega obsega podatkov. Če se delodajalec odloči za uporabo aplikacije, kot jo navajate v vašem vprašanju to pomeni, da lahko s pomočjo take aplikacije zbira samo tiste osebne podatke zaposlenih, za katere izkaže, da so potrebni, primerni in sorazmerni za spremljanja dela na domu in s tem povezan nadzor delodajalca nad delom zaposlenih. Dokončnega odgovora, katere podatke delodajalec s pomočjo take aplikacije lahko zbira ni mogoče podati na splošno, saj je odvisen od vrste in narave dela, ki ga posamezni zaposleni opravlja. Vsekakor je delodajalec vedno upravičen do podatkov o delovnih nalogah, ki jih je zaposleni opravil tekom dela na domu in ki jih zaposleni vpiše v tako aplikacijo v obliki dnevnih ali tedenskih poročil. Če narava dela zahteva, da se delo na domu opravlja v točno določenih časovnih intervalih, bi bil delodajalec lahko upravičen tudi do podatka, ali je zaposleni delo res opravljal v zahtevanem intervalu, vendar mora tudi v takem primeru izbrati rešitev, ki v najmanjši meri posega v informacijsko zasebnost zaposlenega in strogo upoštevati načelo najmanjšega obsega podatkov. V skladu z navedenim mora torej delodajalec pri določitvi vrste in obsega osebnih podatkov zaposlenih, ki jih v namen spremljanja dela na domu obdeluje in izbiri sredstev, s katerimi to izvaja paziti, da v preveliki meri ne poseže v informacijsko zasebnost zaposlenih. S tega vidika bi kakršnokoli avtomatizirano in sistematično zbiranje in nadaljnja obdelava npr. posnetkov (slik) zaslonov službenih računalnikov zaposlenih, iz katerih je razvidna vsebina takega zaslona v določenem trenutku in s tem tudi več njegovih (lahko tudi občutljivih) osebnih podatkov in avtomatično in sistematično zbiranje in nadaljnja obdelava podatkov o obisku spletnih strani, ki jih je posamezni zaposleni izvedel v delovnem času in podobne rešitve, ki jih omogočajo različne aplikacije za nadzor zaposlenih, predstavljali resen in nesorazmeren poseg v informacijsko zasebnost zaposlenih s strani zavezanca in obdelavo njegovih osebnih podatkov, za katero zavezanec nima nobene pravne podlage iz Splošne uredbe ali ZDR-1. Takšna obdelava osebnih podatkov zaposlenih s strani delodajalca ne bi bila niti primerna, še manj pa potrebna za sicer legitimen namen, ki ga ta zasleduje (spremljanje izvajanja dela na domu), saj ima delodajalec na voljo dovolj drugih sredstev za učinkovit nadzor zaposlenih, s katerimi bi v manjši meri ali pa sploh ne posegel v varstvo osebnih podatkov zaposlenih. 

 

Karakteristike in delovanje konkretne aplikacije, ki jo navajate v vašem dopisu IP niso znane, vendar pa je v splošnem take aplikacije mogoče uporabljati na zelo različne načine, tudi glede obdelave osebnih podatkov, odvisno od nastavitev, ki jih administrator in/ali uporabnik izbere. Tako je npr. isto aplikacijo mogoče pogosto uporabiti na način, ki je glede obdelave osebnih podatkov skladen s Splošno uredbo in ZVOP-1 in na način, ki grobo krši določila teh aktov, zato je primerneje kot o sami aplikaciji govoriti o načinu njenega delovanja v konkretnem primeru.

 

Glede na navedbe v vašem sporočilu pa je nujno opozoriti tudi na pomembnost spoštovanja načela preglednosti s strani upravljavcev. Načelo se nanaša predvsem na odnos med upravljavcem osebnih podatkov in posameznikom, katerega podatki se obdelujejo in je izpeljano v določbah člena 13 in 14 Splošne uredbe. V skladu s slednjim členom bi moral delodajalec zaposlenim ob vpeljavi in pričetku uporabe aplikacije za spremljanje dela od doma zagotoviti vsaj informacije o namenih obdelave njihovih osebnih podatkov, pravni podlagi za njihovo obdelavo, vrstah osebnih podatkov, ki jih obdeluje (tj. katere podatke bo aplikacija zbirala in bodo na voljo delodajalcu) in uporabnikih teh podatkov.

 

Svetujemo, da si več o pravicah posameznika glede varstva podatkov preberete na naši spletni strani www.tiodločaš.si.

 

Vsa mnenja IP so objavljena in dostopna na naši spletni strani: www.ip-rs.si/vop/.

 

Prav tako pa so vsa ključna področja, kot jih ureja Splošna uredba o varstvu podatkov predstavljena na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/, kjer lahko najdete veliko koristnih nasvetov glede bistvenih obveznosti podjetij in drugih organizacij za pravilno izvajanje ukrepov varstva osebnih podatkov.

 

Lep pozdrav,

 

                                                                                   Mojca Prelesnik

                                                                                   informacijska pooblaščenka

 

 

 

Pripravila:

mag. Tanja SLAK

država nadzornica za varstvo osebnih podatkov

 

To mnenje je nastalo v okviru projekta »Programa pravice, enakost in državljanstvo 2014-2020«, ki ga financira Evropska unija.

Vsebina tega mnenja predstavlja neobvezno mnenje Informacijskega pooblaščenca in je izključno njegova odgovornost. Evropska komisija ne sprejema odgovornosti glede uporabe informacij, ki jih mnenje zajema.