Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 18.03.2019
Naslov: Zavarovanje OP pri pošiljanju preko elektronske pošte in obveščanje novozaposlenega
Številka: 0712-1/2019/632
Vsebina: Delovna razmerja, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem sprašujete, ali morajo biti osebni podatki pri pošiljanju inšpektoratu po elektronski pošti (v prijavi poškodbe pri delu) zaščiteni. Zanima vas še, ali je treba dati novo zaposlenemu v podpis izjavo o zbiranju osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 - v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 - v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora ali upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

 

V zvezi z načinom pošiljanja prijave poškodbe pri delu inšpektoratu po elektronski pošti IP pojasnjuje, da niti Splošna uredba niti ZVOP-1 ne določata konkretne izvedbe pošiljanja takšnih prijav, zato je odločitev o tem – ob upoštevanju načel dobre varnostne prakse – prepuščena delodajalcu. V zvezi z dobro varnostno prakso vam svetujemo, da si preberete smernice o zavarovanju osebnih podatkov, ki jih ima IP objavljene na svoji spletni strani: www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdfje Delodajalec kot upravljavec pa mora zagotoviti ustrezno varnost pri prenosu osebnih podatkov, ki so del prijave. Ker se verjetno v prijavi nahajajo (tudi) posebne vrste osebnih podatkov (npr. zdravstveni podatki posameznika), mora biti datoteka, ki vsebuje prijavo, šifrirana. Tudi če v prijavi ne bi bilo osebnih podatkov posebne vrste, je priporočljivo, da se datoteka šifrira, ker to ne zahteva posebnega znanja, stroškov in časa, nedvomno pa vpliva na višji nivo varnosti (npr. ena možnost je, da se datoteko stisne, označi možnost šifriranja, nato pa zaklene z geslom).

 

Glede vašega vprašanja v zvezi s seznanitvijo (novo)zaposlenih o tem, kateri njihovi podatki se obdelujejo, vas IP napotuje na 13. in 14. člen Splošne uredbe. Ta dva člena določata obveznost upravljavca, da posamezniku zagotovi točno določene informacije povezane z obdelavo njegovih osebnih podatkov. V 13. členu so določene informacije, ki jih mora upravljavec zagotoviti, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo, v 14. členu pa so določene informacije, ki jih mora upravljavec podati, kadar osebni podatki niso pridobljeni od posameznika, na katerega se nanašajo. Več o transparentnosti si lahko preberete v smernicah, ki smo jih sprejeli evropski nadzorni organi in so dostopne v angleškem jeziku na povezavi ec.europa.eu/newsroom/article29/item-detail.cfm

 

V upanju, da vam bo naš odgovor v pomoč, vas lepo pozdravljamo.

 

 

Pripravila:
mag. Nuša Kavšek, univ. dipl. prav.

svetovalka IP za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.
informacijska pooblaščenka