Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 17.07.2019
Naslov: Registracija delovnega časa preko mobilne aplikacije
Številka: 0712-1/2019/1690
Vsebina: Delovna razmerja, Moderne tehnologije
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede registracije delovnega časa preko mobilne aplikacije, ki beleži tudi lokacijske podatke.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP ustreznosti določene programske rešitve v okviru mnenja ne more presojati, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov. Presojo o ustreznosti namreč lahko izvede le v okviru konkretnega inšpekcijskega postopka.

 

IP pojasnjuje, da Splošna uredba o varstvu podatkov v 6. členu določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

  • posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  • obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  • obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  • obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  • obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  • obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja alinea ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Področni zakon, ki določa obdelavo osebnih podatkov delavcev, je Zakon o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 - ZPosS). Ta v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, se morajo takoj izbrisati in prenehati uporabljati.

 

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov delavcev, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru.

 

IP pojasnjuje, da mora delodajalec pred uvedbo aplikacije in uporabo lokacijskih podatkov v okviru aplikacije temeljito presoditi dopustnost in utemeljenost namena, zaradi katerega želi uvesti takšno tehnologijo. Poleg tega mora presoditi tudi njegovo primernost in sorazmernost; ali bi isti namen lahko zadovoljivo dosegel tudi z uvedbo ukrepov, ki manj posegajo v zasebnost, svobodo gibanja in dostojanstvo delavcev. Pred uvedbo GPS tehnologije je delodajalec dolžan s sprejetjem notranjega akta delavce seznaniti s tem, da se v okviru aplikacije za določen namen (ki ga opredeli delodajalec) uporablja GPS tehnologija oziroma lokacijski podatki. Delodajalec je dolžan delavca, ki uporablja aplikacijo, seznaniti z aplikacijo, načinom njenega delovanja, namenom njene namestitve s strani delodajalca ter s primeri in nameni, za katere bodo pridobljeni podatki uporabljeni. Ob tem mora poskrbeti tudi za zavarovanje zbirke osebnih podatkov, ki nastane na podlagi uporabe aplikacije. Gre za organizacijske in tehnične ukrepe, ki jih določata Splošna uredba o varstvu podatkov (32. člen) in ZVOP-1 (24. in 25. člen).

 

IP priporoča, da delodajalec v takšnih primerih v skladu s 35. členom Splošne uredbe o varstvu osebnih podatkov izvede tudi oceno učinka v zvezi z varstvom osebnih podatkov. IP je na temo ocene učinkov izdelal Smernice o ocenah učinkov na varstvo podatkov, ki so dostopne na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf

 

Gre za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila uporaba aplikacije (zlasti lokacijskih podatkov) zakonita, sorazmerna, transparentna, varna itd. Zelo pomembno je izhajati iz težav, ki naj bi jih reševali z uvedbo aplikacije, pri čemer je treba realno oceniti, ali se bo na tak način dejansko doseglo zasledovane cilje (v vašem primeru je to, kot navajate, registracija delovnega časa) in ali teh ciljev ni mogoče doseči na drug način, ki bi manj posegal v zasebnost zaposlenih (npr. z registracijo s pomočjo kartice ali z drugačno organizacijo delovnega procesa na način, ki bi omogočal uporabo drugih sredstev za dosego cilja). Ob tem IP pojasnjuje, da smernice o uporabi GPS sledilnih naprav in varstvo osebnih podatkov, ki jih navajate v vašem zaprosilu, kot primer res navajajo prenosne radijske postaje, vendar s stališča sorazmernosti IP ne vidi nobenega razloga za razlikovanje med takšnimi radijskimi postajami in mobilno aplikacijo, ki preko GPS signala beleži lokacijo uporabnika (občinskega redarja). Navajate tudi, da je aplikacija vključena ves čas opravljanja dela. Delodajalec bi torej moral izkazati tudi, zakaj mora biti za namen registracije delovnega časa aplikacija vključena ves čas.

IP nadalje pojasnjuje, da je v skladu s prvim odstavkom 35. člena Splošne uredbe o varstvu podatkov temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti ocena, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so opredeljeni v tretjem odstavku istega člena.

 

Glede na navedbe v vašem zaprosilu je po mnenju IP verjetno tudi, da gre za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe o varstvu podatkov in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf

 

 

S spoštovanjem.

 

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka