Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih GDPR

+ -
Datum: 26.04.2019
Naslov: Razkritje podatka o finančnih obveznostih nadrejenemu
Številka: 0712-1/2019/985
Vsebina: Delovna razmerja
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da ste iz finančne službe ministrstva, kjer ste zaposleni, prejeli podatek o dolgu, ki ga morate poplačati. Moti vas, da je ta podatek iz finančne službe potoval vse do vaših nadrejenih. Zanima vas, ali je takšno obveščanje vaših nadrejenih zakonito.

 

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da konkretne presoje zakonitosti obdelave osebnih podatkov v okviru neobvezujočega mnenja ne more opraviti, temveč to lahko stori šele v postopku inšpekcijskega nadzora. V nadaljevanju vam v zvezi z vašim vprašanjem podajamo informacije splošne narave.

 

Da je obdelava osebnih podatkov lahko zakonita, je potrebno zagotoviti ustrezno pravno podlago. Pravne podlage za obdelavo osebnih podatkov so določene v členu 6 Splošne uredbe, ob tem pa je za obdelave podatkov v javnem sektorju potrebno upoštevati tudi določbe 9. člena ZVOP-1, ki v tem delu še vedno ostaja v veljavi. Ta v prvem odstavku določa, da se osebni podatki v javnem sektorju lahko obdelujejo, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon. Z zakonom se lahko določi, da se določeni osebni podatki obdelujejo le na podlagi osebne privolitve posameznika. Nosilci javnih pooblastil lahko obdelujejo osebne podatke tudi na podlagi osebne privolitve posameznika brez podlage v zakonu, kadar ne gre za izvrševanje njihovih nalog kot nosilcev javnih pooblastil (drugi odstavek istega člena).

 

Področni zakon v smislu navedene določbe je Zakon o delovnih razmerjih (Uradni list RS, št. 21/13, s spremembami in dopolnitvami; v nadaljevanju: ZDR-1). Na podlagi prvega odstavka 48. člena ZDR-1 se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in dostavljajo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Navedena določba naj bi omejevala delodajalca pri zbiranju, omejitvi namenov in nadaljnji obdelavi delavčevih osebnih podatkov, ki niso potrebni za izvajanje pogodbe o zaposlitvi.

 

Na podlagi podatkov, ki ste te nam jih posredovali, IP lahko pojasni le, da delodajalcu v konkretnem primeru zakon eksplicitno ne predpisuje, katere podatke o dolgovih delavcev do delodajalca lahko posreduje vodjem različnih oddelkov oz. enot znotraj delodajalca, zato mora obseg teh podatkov določiti glede na to, kateri podatki so potrebni zaradi uresničevanja pravic in obveznosti iz delovnega razmerja v konkretnem primeru. Pri teh presojah mora upravljavec vedno izhajati tudi iz načela najmanjšega obsega podatkov, na podlagi katerega morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo.

 

Ob tem je potrebno upoštevati tudi pravila v zvezi z notranjo organizacijo konkretnega delodajalca. IP notranje organizacije vašega delodajalca ne pozna in prav tako se v zvezi s tem ne more konkretno opredeliti v okviru predmetnega neobvezujočega mnenja. Ob tem tudi izpostavljamo, da imajo upravljavci osebnih podatkov v skladu s členoma 24 in 25 ZVOP-1 ob upoštevanju določb člena 32 Splošne uredbe dolžnost, da bodisi v svojih aktih bodisi na drug ustrezen način predpišejo oz. določijo postopke in ukrepe za zavarovanje osebnih podatkov ter v zvezi s tem tudi določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.

 

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka

 

Pripravila:                                                                                                                              

Neja Domnik, mag. prav.,

raziskovalka pri IP