Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 23.06.2020
Naslov: Notranja organizacija pravne osebe in dostopanje do osebnih podatkov
Številka: 07121-1/2020/1113
Vsebina: Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po pošti prejel vaš dopis, v katerem navajate vprašanja v zvezi s pravno osebo, ki je razdeljena na več poslovnih enot. Akt o organizaciji in sistemizaciji delovnih mest je enoten za celotno podjetje. Zanima vas, kako je z določanjem dostopnih pravic zaposlenih oz. z dodelitvijo pooblastil glede obdelave osebnih podatkov? Zanima vas tudi, ali imajo lahko posamezniki, ki so zaposleni na istem delovnem mestu, četudi v različnih poslovnih enotah, enake dostopne pravice?

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. Poudarjamo, da je odgovornost za zakonito in pošteno obdelavo osebnih podatkov odgovornost upravljavca osebnih podatkov. IP lahko v okviru mnenja poda zgolj splošne usmeritve. 

 

Upravljavec osebnih podatkov mora pri obdelavi osebnih podatkov upoštevati temeljna načela po členu 5 Splošne uredbe o varstvu podatkov. V skladu z načelom najmanjšega obsega podatkov mora biti obdelava osebnih podatkov (npr. dostopanje zaposlenih do osebnih podatkov) omejena na to, kar je potrebno za namene, za katere se ti podatki obdelujejo. To pomeni, da je pri določanju pravic dostopa treba vzeti v obzir naloge, naravo delo in delovne obveznosti posamičnega zaposlenega. Za posamezno vrsto osebnih podatkov je tako treba pretehtati, seznanitev katerih zaposlenih s podatki je sorazmerna glede na namene, za katere se obdelujejo.

 

Obdelava oz. dostop do osebnih podatkov znotraj podjetja in med poslovnimi enotami je načeloma stvar odločitve vodstva ter posledično notranje organizacije pravne osebe in ureditve v internih aktih, ne glede na to pa je pri tem treba upoštevati omenjena temeljna načela iz člena 5. Kakor je bilo že uvodoma pojasnjeno, IP v okviru neobvezujočega mnenja ne more svetovati glede ustreznosti notranje ureditve v podjetju, temveč je naloga vodstva, da opravi presojo, kdo in do katerih osebnih podatkov utemeljeno potrebuje dostop in na podlagi te ocene ustrezno določiti dostopne pravice.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                  

                                                                                               informacijska pooblaščenka

 

 

Pripravila:                                                                                                                              

Neja Domnik, mag. prav.,

asistentka svetovalca pri IP