Informacijski pooblaščenec Republika Slovenija
SLO | ENG

Iskalnik po odločbah in mnenjih GDPR

+ -
Datum: 03.05.2019
Naslov: Obdelava OP v delovnem razmerju
Številka: 0712-1/2019/1009
Vsebina: Delovna razmerja, Elektronska pošta
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede pošiljanja vaše službene elektronske komunikacije (elektronske pošte) tretjim osebam, ki niso del delovne organizacije, v kateri ste zaposleni.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da v okviru mnenja ne more presojati ustreznosti določene obdelave osebnih podatkov z vidika skladnosti z obstoječimi predpisi. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega ali drugega upravnega postopka, in sicer le v delu zakonite obdelave osebnih podatkov, za katerega je pristojen.

 

IP splošno pojasnjuje, da Splošna uredba o varstvu podatkov v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

  • posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  • obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  • obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  • obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  • obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  • obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja alinea ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Čeprav ZVOP-1 razlikuje med javnim in zasebnim sektorjem, je področje delovnega prava specialno urejeno za oba sektorja v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US) in Zakonu o  evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06). Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje, zaradi česar na tem področju praviloma niti v zasebnem sektorju ne dopušča avtonomije strank v smislu, da bi delodajalec lahko brez podlage v zakonu od delavca zahteval katerekoli osebne podatke ali jih obdeloval na drugi pravni podlagi (npr. privolitev, pogodba, …). Delavec lahko namreč tudi na delovnem mestu utemeljeno pričakuje določeno stopnjo zasebnosti.

 

Glede obdelave osebnih podatkov delavcev veljajo načeloma enaka pravila za delodajalce v zasebnem in javnem sektorju, pri čemer so za ugotavljanje zakonitosti konkretne obdelave pomembni posamezni področni predpisi. ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. členu določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

 

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

 

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

Iz vašega zaprosila sicer ne izhaja, komu je bilo vaše elektronsko sporočilo posredovano. IP tako podaja splošno mnenje, da bi lahko v opisanem primeru morda šlo za kršitev vaše ustavne pravice do zasebnosti, ki izhaja iz 37. člena Ustave RS (varstvo tajnosti pisem in drugih občil), ki se lahko povezuje tudi s pravico do varstva osebnih podatkov iz 38. člena Ustave RS. Glede na to, da se pristojnost IP razteza le na pravico iz 38. člena Ustave RS, IP v okviru svojih pristojnosti ugotavlja, da bi morala vaša vodja v konkretnem primeru pred posredovanjem vašega elektronskega sporočila tretji osebi imeti za to eno od zgoraj pojasnjenih ustreznih pravnih podlag.

Razkritje prometnih podatkov, ki so del elektronskega sporočila (ob predpostavki, da gre pri tem za osebne podatke, ki so del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov), brez ustrezne pravne podlage bi praviloma namreč predstavljalo kršitev določb predpisov s področja varstva osebnih podatkov. Ravno tako bi lahko šlo za kršitev določb teh predpisov tudi, če bi prejemnik elektronskega sporočila razkril osebne podatke, ki so del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov, skozi vsebino tega elektronskega sporočila, ki bi jo brez ustrezne pravne podlage posredoval tretjim osebam.

IP pojasnjuje še, da širši del vaše pravice do zasebnosti z vidika varstva tajnosti pisem in drugih občil (npr. razkritje oz. prebiranje vsebine elektronskega sporočila, ki ne vsebuje podatkov, ki so del zbirke osebnih podatkov ali so namenjeni vključitvi v zbirko osebnih podatkov) lahko zavarujete preko postopkov pred pristojnimi sodišči bodisi v civilnem ali kazenskem postopku.

IP sklepno ponavlja, da v okviru mnenja ne more dokončno presojati, ali je v konkretnem primeru dejansko šlo za kršitev varstva osebnih podatkov.

V kolikor menite, da so bili vaši osebni podatki obdelani nezakonito, lahko vsekakor podate prijavo IP. To lahko storite tudi preko obrazca, ki je dostopen na spletni strani IP:

https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave

 

 

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka