Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 22.05.2019
Naslov: OP delavca, uporaba spleta
Številka: 0712-1/2019/1250
Vsebina:
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje z vprašanjem, ali delodajalec sme posredovati EMŠO zaposlenih, in sicer z namenom, da se omogoči zaposlenim uporabo različnih spletnih aplikacij v službene namene (npr. oblačne storitve Microsoft Office).

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Za zakonito obdelavo osebnih podatkov delavcev je potrebno imeti pravno podlago (vse pravne podlage določa 6. člen Splošne uredbe o varstvu podatkov). Zakonodajalec je obdelavo osebnih podatkov v zvezi z delovnimi razmerji zaradi občutljivosti področja uredil s področnim Zakonom o delovnih razmerjih strožje.

 

Pri oblačnih storitvah, kjer obdelavo osebnih podatkov za upravljavca izvaja obdelovalec, je potrebno upoštevati določbe Uredbe o pogodbeni obdelavi. Če ima sedež v tujini, je potrebno upoštevati tudi določbe o prenosu osebnih podatkov v tretje države.

 

IP ni pristojen za razlago določb delovnopravnih predpisov, v nadaljevanju vam podajamo naše neobvezno mnenje le z vidika varstva osebnih podatkov. IP uvodoma izpostavlja, da v sklopu neobvezujočega mnenja ne more presojati konkretnih dejanj obdelav, temveč lahko to stori šele v okviru inšpekcijskega postopka, zato v nadaljevanju podaja le splošna pojasnila.

 

Pravna podlaga za obdelavo

 

Obdelava osebnih podatkov je dopustna le, če imajo delodajalci zanjo ustrezno pravno podlago. Za zakonito obdelavo osebnih podatkov mora imeti upravljavec ustrezno pravno podlago. Te so določene v členu 6(1) Uredbe, ki predpisuje, da je obdelava zakonita le in v kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Obdelava in varstvo osebnih podatkov delavcev sta (tudi za zasebni sektor) posebej urejena v področnih zakonih, v Zakonu o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06; v nadaljevanju: ZEPDSV) in Zakonu o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16 in 15/17 – odl. US; v nadaljevanju: ZDR). Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje, zaradi česar na tem področju praviloma niti v zasebnem sektorju (kjer sta zakonsko dovoljenje in posameznikova osebna privolitev načeloma izenačena) ne dopušča avtonomije strank v smislu, da bi delodajalec lahko brez podlage v zakonu od delavca zahteval katerekoli osebne podatke ali jih obdeloval na drugi pravni podlagi (npr. privolitev, pogodba). Delodajalec mora za vsak podatek, ki ga zahteva od delavca, izkazati, da njegovo obdelavo določa zakon ali da ga potrebuje za izvrševanje pravic in obveznosti iz delovnega razmerja.

 

ZDR v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. členu določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

 

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

 

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave. Pri tem mora upoštevati načelo sorazmernosti in nabor osebnih podatkov prilagoditi delovnemu mestu.

 

Delodajalec lahko obdeluje tiste delavčeve osebne podatke, ki jih določa ZEPDSV in v skladu z 48. členom ZDR-1 tiste osebne podatke, za katere izkaže, da jih potrebuje zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravice in obveznosti obeh, torej delavca in delodajalca.

 

Osebna privolitev delavca (priporočena je pisna privolitev, ker je v primeru spora enostavno dokazljiva) je dopustna le izjemoma pod pogojem, da zavrnitev soglasja nima posledic na delovno razmerje oziroma na delavčev pravni položaj. Privolitev namreč ne sme biti pogojevana ali izsiljena, temveč mora biti povsem prostovoljna. Zbiranje osebnih podatkov na podlagi privolitve je dopustno le, če ni res nobenega dvoma o prostovoljnosti privolitve.

 

Privolitev je lahko veljavna le, če ima posameznik, na katerega se osebni podatki nanašajo, resnično izbiro in če ne obstaja nevarnost zavajanja, ustrahovanja, prisiljevanja ali negativnih posledic, če privolitve ne da. Če posledice privolitve ogrožajo svobodno izbiro posameznikov, potem privolitev ni prostovoljna.

 

Delodajalec lahko torej od delavca zbira le tiste osebne podatke, ki jih določa zakon (ZEPDSV, ZDR-1 ali drug področni zakon) in tiste osebne podatke, za katere ima veljavno osebno privolitev delavca. Ob tem je treba poudariti, da je obdelava osebnih podatkov delavca na podlagi njegove osebne privolitve dopustna le, če lahko delavec privolitev brez posledic za delovno razmerje odkloni.

 

Pogodbena obdelava

 

Iz vašega vprašanja je razbrati, da predstavlja podjetje, katerega spletne aplikacije uporabljate pogodbenega obdelovalca, preko katerega želi vaše podjetje omogočiti zaposlenim uporabo različnih spletnih aplikacij v službene namene (npr. oblačne storitve Microsoft Office). Če je temu tako gre v tem primeru za pogodbeno obdelavo, pogoje zanjo pa ureja Uredba v 28. členu. Ponudnik oblačnih storitev je torej za vas kot upravljavca podatkov pogodbeni obdelovalec osebnih podatkov.

 

Obdelavo s strani obdelovalca mora urejati pogodba ali drug pravni akt v skladu z Uredbo, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca.

 

IP še opozarja, da mora v primeru, da ima pogodbeni obdelovalec sedež v tujini, upravljavec upoštevati tudi določbe Uredbe o prenosu osebnih podatkov v tretje države (npr. iz EU v ZDA). Uredba v primeru iznosa osebnih podatkov v tretje države zahteva dodatne obveznosti, v kolikor obdelovalec ni vključen v sporazum »Privacy Shield«. Seznam podjetij si lahko ogledate na spletni strani (https://www.privacyshield.gov/list). Podjetje Microsoft je vključeno v sporazum, zato najverjetneje v tem delu dodatne zahteve niso predvidene.

 

IP vas napotuje tudi na svoje smernice o prenosu podatkov v tretje države in mednarodne organizacije, kjer lahko najdete podrobnejša pojasnila glede prenosov:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_glede_prenosa_OP_v_tretje_drzave_in_mednarodne_organizacije_po_Splosni_uredbi.pdf

 

Glede na vse navedeno bi bilo mogoče, da gre pri zbiranju osebnih podatkov delavcev za namen omogočanja oblačne storitve, ki je potrebna za namen opravljanja delovnih obveznosti, za obdelavo na podlagi 48. člena ZDR-1 v zvezi z ustrezno pogodbo sklenjeno med delodajalcem in ponudnikom takšne storitve. Izpolnjeni morajo biti torej tudi pogoji za pogodbeno obdelavo osebnih podatkov ter pravila prenosa le teh v tretje države. Vprašanje pa je, ali je podatek o EMŠO delavca res podatek, ki je potreben za izvedbo namena omogočiti delavcem oblačno storitev, oziroma ali je to možno storiti z manjšim naborom delavčevih osebnih podatkov. Ob tem IP še poudarja, da bi morali delavca seznaniti z njegovimi pravicami po 13 in 15 členu Uredbe (npr. o pogodbenem obdelovalcu in o naboru osebnih podatkov, ki jih ta obdeluje). Delavce je treba ustrezno informirati ter izvesti morebitne ocene učinka (če bi določena vrsta obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov).

 

IP dokončnega mnenja namesto upravljavca (torej delodajalca) ne more podati, na vsakem posameznem obdelovalcu in upravljavcu je, da preuči, katere osebne podatke potrebuje za izvedbo posameznega namena obdelave in to tudi izkazati. IP torej v okviru tega mnenja ne more presojati zakonitosti obdelave, saj lahko to ugotovi le v okviru uvedenega inšpekcijskega postopka. Odločitev o načinu in vrsti obdelave osebnih podatkov je na upravljavcu.

 

V zvezi z osebnimi podatki delavcev so na spletu dostopne smernice o varstvu osebnih podatkov v delovnih razmerjih, ki jih je pripravil IP (na straneh 6, 7 in 14):

 www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih.pdf

 

V upanju, da ste dobili odgovor na vaše vprašanje, vas lepo pozdravljamo.

 

 

Pripravila:

Urška Črnič, univ. dipl. prav.,

Svetovalka informacijske pooblaščenke

 

 

                                                                                   Mojca Prelesnik, univ. dipl. prav.,

                                                                                   Informacijska pooblaščenka