Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 01.08.2019
Naslov: Razpošiljanje datuma rojstva vsem zaposlenim
Številka: 0712-1/2019/1774
Vsebina: Delovna razmerja
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je dne 24. 7. 2019 prejel vaše elektronsko sporočilo, v katerem navajate, da ste zaposleni v državni upravi in menjate službo. Kadrovska služba je vsem zaposlenim posredovala obvestilo o prenehanju vašega delovnega razmerja, kjer je poleg vašega imena, priimka, naziva delovnega mesta, službe in oddelka, navedla tudi vaše rojstne podatke. Zanima vas, ali lahko vaš delodajalec razpošilja vaš datum rojstva vsem zaposlenim znotraj državnega organa, tudi osebam, ki jih ne poznate in niste imeli nobenega službenega stika z njimi, hkrati pa ne gre za podatek, ki bi bil po vašem mnenju relevanten za obvestilo o prenehanju delovnega razmerja. Zanima vas, ali gre za kršitev varstva osebnih podatkov.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 - v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 - v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da je na temo varstva osebnih podatkov v delovnih razmerjih izdal obširne smernice, ki so dostopne na povezavi in vam jih priporočamo:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih.pdf

 

Posredovanje osebnih podatkov (rojstnega datuma) posameznika po elektronski pošti predstavlja obdelavo osebnih podatkov; obdelava osebnih podatkov pa je zakonita le, kadar je izpolnjen en od naslednjih pogojev, določenih v členu 6 (1) Splošne uredbe:

 

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Poleg Splošne uredbe je treba upoštevati tudi področno zakonodajo, v tem smislu predvsem Zakon o delovnih razmerjih (Ur. l. RS, št, 21/13, s spremembami in dopolnitvami, v nadaljevanju ZDR-1) in Zakon o evidencah na področju dela in socialne varnosti (Ur. l. RS, št. 40/06, v nadaljevanju ZEPDSV). Zakonodaja ni tako podrobna, da bi opredeljevala ali, komu in pod kakšnimi pogoji se lahko posreduje določen osebni podatek o zaposlenemu, zato je treba predvsem upoštevati temeljna načela varstva osebnih podatkov, kot so načelo zakonitosti, namenskosti in sorazmernosti.

 

Glede na določbe omenjene zakonodaje ni sporno, da sme oziroma celo mora omenjene podatke voditi in obdelovati delodajalec kot upravljavec osebnih podatkov, kdo pa sme imeti dostop do katerih osebnih podatkov zaposlenih, pa je predvsem stvar načela sorazmernosti in najmanjšega obsega podatkov (glej člen 5 Splošne uredbe). Po načelu najmanjšega obsega podatkov morajo biti podatki, ki bodo obdelani (med obdelavo pa sodi tudi razkritje, objava in posredovanje) ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. To posledično pomeni, da bi morali za posamezno vrsto osebnih podatkov pretehtati, ali je seznanitev drugih oseb s podatki sorazmerna glede na namene. Dostop do osebnih podatkov pri delodajalcu je načeloma stvar odločitve vodstva, tudi to pa mora upoštevati omenjena temeljna načela – pretehtati torej mora, kakšen je namen splošnega razkritja osebnih podatkov v interni komunikaciji predvsem z vidika organizacije dela ter uresničevanja obveznosti in pravic, ki izvirajo iz delovnega razmerja.

 

Glede na to, da je IP med drugim pristojen za inšpekcijski nadzor nad izvajanjem zakona in drugih predpisov, ki urejajo varstvo ali obdelavo osebnih podatkov, lahko konkretno zakonitost obdelave osebnih podatkov preverja le v inšpekcijskem postopku. Izven postopka inšpekcijskega nadzora ali upravnega postopka IP konkretnih obdelav osebnih podatkov ne more presojati.

 

V primeru da menite, da je v vašem primeru prišlo do kršitve ali zlorabe varstva osebnih podatkov, lahko IP podate prijavo. Prijavo lahko vložite osebno, pisno ali preko spletnega obrazca (Obrazec ZIN PRIJAVA), ki je na voljo na spletni strani: http://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/. IP lahko učinkovito obravnava le tiste prijave, iz katerih je mogoče ugotoviti s katerim dejanjem naj bi bile kršene pravice posameznika do varstva osebnih podatkov, kdo je domnevni kršitelj in kdaj je do kršitve prišlo.

 

V upanju, da vam bo naš odgovor v pomoč, vas lepo pozdravljamo.

 

 

Pripravila:                                                                   

mag. Vanja Zrimšek, univ. dipl. prav. 

svetovalka Informacijskega pooblaščenca

 

 

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenka