Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 17.07.2019
Naslov: Objava podatkov o odsotnostih v podjetju
Številka: 0712-1/2019/1696
Vsebina: Delovna razmerja, Elektronska pošta
Pravni akt: Mnenje

prejeli smo vaš dopis, v katerem nas prosite za mnenje in sicer glede interne komunikacije v zasebnem podjetju. V podjetju uporabljate določen program ter elektronsko pošto za interno komunikacijo zaposlenih. Vaše vprašanje pa se nanaša na primernost splošnega objavljanja nekaterih osebnih podatkov. Vsaka odsotnost se poimensko objavlja na splošnem kanalu ter tedensko po elektronski pošti, ki jo prejmejo vsi zaposleni po obeh poslovalnicah. Objavljajo se dopusti, trajanje dopusta, bolniška odsotnost, prav tako vsak izhod med delovnikom, poznejši prihod ali predčasen odhod v delovnem dnevu.

Zanima vas, ali je primerno objavljanje tako osebnih podatkov in ali lahko to spada pod uredbo GDPR. Osebno se vam zdijo takšni podatki zelo osebne narave in tudi najbrž zaupni dogovor med delodajalcem in zaposlenim.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP je na temo varstva osebnih podatkov v delovnih razmerjih izdal obširne smernice, ki so dostopne na povezavi in vam jih priporočamo:

 

 

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih.pdf

Že uvodoma lahko potrdimo vaše razmišljanje, da gre za osebne podatke, saj se nanašajo na določene oziroma določljive posameznike, zato za obdelavo teh osebnih podatkov velja Splošna uredba (GDPR) ter področna zakonodaja, v tem smislu predvsem Zakon o delovnih razmerjih (ZDR) in Zakon o evidencah na področju dela in socialne varnosti (ZEPDSV). Zakonodaja ni tako podrobna, da bi natančno opredeljevala, ali, komu in pod kakšnimi pogoji se lahko posreduje določen osebni podatek o zaposlenem, zato je treba najprej upoštevati temeljna načela varstva osebnih podatkov, kot so načelo zakonitosti, namenskosti in sorazmernosti.

Glede na določbe omenjene zakonodaje ni sporno, da sme oziroma celo mora omenjene podatke voditi in obdelovati delodajalec kot upravljavec osebnih podatkov, kdo pa sme imeti dostop do katerih osebnih podatkov pa je predvsem stvar načela sorazmernosti in najmanjšega obsega podatkov (glej člen 5 Splošne uredbe). Po načelu najmanjšega obsega podatkov morajo biti podatki, ki bodo obdelani (med obdelavo pa sodi tudi razkritje, objava in posredovanje) ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. To posledično pomeni, da bi morali za posamezno vrsto osebnih podatkov pretehtati, ali je seznanitev drugih oseb s podatki sorazmerna glede na namene. Dostop do osebnih podatkov v podjetju je načeloma stvar odločitve vodstva, tudi to pa mora upoštevati omenjena temeljna načela – pretehtati torej mora, kakšen je namen splošnega razkritja osebnih podatkov v interni komunikaciji predvsem z vidika organizacije dela ter uresničevanja obveznosti in pravic, ki izvirajo iz delovnega razmerja.

Glede na navedeno menimo, da zaradi omenjenih ciljev, dostopnost podatkov o odsotnostih, v smislu kdo in do kdaj, ni sporna, splošna dostopnost podatkov o razlogu odsotnosti (predvsem, ko gre za bolniško), pa je po našem mnenju prekomerna. Podobno ne vidimo potrebe, da bi vsi zaposleni morali imeti dostop do podatkov o vseh izhodih med delavnikom, prihodih in odhodih, če to ni nujno zaradi organizacije dela, česar pa ne moremo z gotovostjo trditi, saj ne poznamo podrobnosti o nalogah, ki jih opravljajo zaposlenih, t.j. ali morajo te podatke res videti vsi. V nekaterih organizacijah bi bilo zaradi narave dela in nalog mogoče najti razloge, da morajo te podatke videti tudi (nekateri) drugi zaposleni, precej težko pa, da jih morajo (prav) vsi. Če za to ni utemeljenih argumentov, potem bi moral biti dostop omejen na tiste osebe, ki te podatke morajo videti (npr. vodstvo, vodje posameznih služb, kadrovska ipd.). Težko bi našli argument, zakaj bi npr. IT-jevec moral vedeti, kdaj v službo vsak dan pride in iz nje odide npr. računovodja.

Glede na navedeno menimo, da bi moralo vodstvo opraviti presojo, kdo in do katerih osebnih podatkov utemeljeno potrebuje dostopa in na podlagi te ocene ustrezno določiti dostopne pravice.

V upanju, da smo podali dovolj razumljiv odgovor vas prijazno pozdravljamo,

 

 

Mojca Prelesnik, univ.dipl.prav.,                                                                                                  

informacijska pooblaščenka

 

 

Pripravil:                                                                                                                              

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke