Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 03.06.2019
Naslov: Beleženje internetnega prometa v podjetju
Številka: 0712-1/2019/1366
Vsebina: Zakoniti interesi, Telekomunikacije in pošta
Pravni akt: Mnenje

Prejeli smo vaš dopis, v katerem nas prosite za mnenje glede beleženja internetnega prometa v podjetju. Kot pojasnjujete je vaše podjetje v postopku pridobivanju ISO certifikata 27001. V dokumentih, ki opisujejo nova pravila, se nahaja sledeči tekst: »Dostopi do spletnih strani uporabnikov se beležijo. Vpogled, obdelava in pregledovanje dnevniških datotek dostopa do spletnih strani je izjemoma dovoljena v primeru, ko je ogrožena informacijska varnost, oziroma je prišlo do varnostnega incidenta, ki za reševanje potrebuje pregled teh zapisov.« Podjetje beleženje zagovarja, da v primeru incidenta (odtekanja internih in zaupnih informacij), lahko razišče kako je do tega prišlo. Kot pojasnjujete se beleženje dogaja na dveh nivojih, lokalno in pri vašem matičnem podjetju v Nemčiji, saj gre ves internetni promet preko njih. Zaposleni nimate informacij, kdo ima dostope do zapisov, kako dolgo se hranijo in kako se obdelujejo.

 

Prosite nas za mnenje, ali je beleženje vsega prometa zaposlenih dovoljeno.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da predstavlja beleženje internetnega prometa, v smislu beleženja do katerih spletnih strani so zaposleni dostopali, obdelavo osebnih podatkov zaposlenih, zato mora potekati skladno z določbami Splošne uredbe. Navedeno pa še ne pomeni, da je beleženje dostopov do spletnih strani kot tako prepovedano. Poteka lahko le ob upoštevanju vseh temeljnih načel varstva osebnih podatkov, začenši z načeli zakonitosti, minimizacije obdelave, transparentnosti, omejitev shranjevanja in namenskosti.

 

Podjetja iz zasebnega sektorja in organizacije iz javnega sektorja imajo zakonit in legitimen interes po varovanju svojega omrežja, kar lahko vključuje tudi beleženje internetnega prometa. Navedeno pojasnjuje tudi uvodna določba Splošne uredbe št. 49, ki določa: »Obdelava osebnih podatkov v obsegu, nujno potrebnem in sorazmernem za zagotovitev varnosti omrežja in informacij, tj. zmožnosti omrežja ali informacijskega sistema, da na določeni ravni zaupanja prepreči slučajne dogodke ali nezakonita ali zlonamerna dejanja, ki ogrožajo dostopnost, avtentičnost, celovitost in zaupnost shranjenih ali prenesenih osebnih podatkov ter varnost s tem povezanih storitev, ki jih ponujajo ali so dostopne prek teh omrežij in sistemov, s strani javnih organov, skupin za odzivanje na računalniške grožnje, skupin za odzivanje na računalniške varnostne incidente, ponudnikov elektronskih komunikacijskih omrežij in storitev ter ponudnikov varnostnih tehnologij in storitev pomeni zakoniti interes zadevnega upravljavca podatkov. To bi lahko vključevalo na primer preprečevanje nepooblaščenega dostopa do elektronskih komunikacijskih omrežij, širjenja zlonamernih kod, napadov, ki povzročajo zavrnitev storitve, ter škode na računalniških in elektronskih komunikacijskih sistemih.«.

 

Navedeno pomeni, da lahko podjetje beleži internetni promet svojih zaposlenih na pravni podlagi zakonitih interesov (točka f člena 6(1) Splošne uredbe), vendar pa mora pri tem spoštovati vsa načela glede varstva osebnih podatkov in dolžnosti, ki jih ima po uredbi. Med upoštevanjem splošnih načel bi predvsem izpostavili načelo minimizacije obdelave osebnih podatkov, omejitev shranjevanja in načelo namenskosti. Navedeno velja predvsem pri določanju roka hrambe podatkov, ki mora biti sorazmeren glede na zasledovane cilje, torej za zagotovitev varnosti omrežja in informacij. Rok hrambe je torej odvisen od več faktorjev (npr. od sektorja, zaupnosti in občutljivosti informacij, ki se obdelujejo v podjetju oz. organizaciji, drugih varnostnih tveganj) in se zato lahko tudi razlikuje med podjetji oz. organizacijami. Podjetje oz. organizacija bi morala izvesti oceno, kakšen je ustrezen rok hrambe, pri tem pa izhajati iz namenov varovanja svojega omrežja in informacij. Pri tem velja opozoriti, da je uporaba teh podatkov za druge namene, ki ne sodijo v varovanje omrežja in informacij, npr. za nadzor zaposlenih (npr. koliko časa je nekdo preživel na določeni spletni strani) v nasprotju z načelom namenskosti in je lahko nezakonita, saj se zadevni podatki ne hranijo in ne obdelujejo za te namene, temveč za namen varovanja omrežja in informacij.

 

Podjetje oz. organizacija bi moralo izpolniti tudi druge obveznosti po Splošni uredbi, kjer bi predvsem izpostavili dolžnost informiranja posameznikov – v korektnem primeru bi torej podjetje na ustrezen način (npr. z okrožnico, z določbami internih aktov ali na drug primeren način) moralo obvestiti zaposlene o obdelavi osebnih podatkov pri beleženju internetnega prometa v skladu z določbami 13. člena (načelo transparentnosti). Ta določa, da mora upravljavec zagotoviti naslednje informacije posamezniku:

 

1.   Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:

(a) identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

(b) kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c) namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d) kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

(e) uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;

(f) kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

 

2.   Poleg informacij iz odstavka 1 upravljavec takrat, ko pridobi osebne podatke posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:

(a) obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b) obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;

(c) kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(d) | pravico do vložitve pritožbe pri nadzornem organu;

(e) | ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in

(f) | obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

 

Upravljavec lahko za obveščanje posameznika uporabi tudi ustrezno izpolnjen obrazec, ki je na voljo na spletni strani IP:

 

https://www.ip-rs.si/fileadmin/user_upload/doc/vzorci/VZOREC_OBVESTILA_POSAMEZNIKOM_GLEDE_OBDELAVE_OSEBNIH_PODATKOV.docx

 

Lep pozdrav,

 

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                                                                  

                                                                                               informacijska pooblaščenka

 

Pripravil:                                                                                                                              

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke