Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 09.08.2019
Naslov: Objava delovnih rezultatov zaposlenih na oglasni deski
Številka: 0712-1/2019/1866
Vsebina: Delovna razmerja, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje. Zanima vas, ali lahko v vašem podjetju (interno) objavite na oglasno desko (v tiskani verziji) tabelo o dosegih normativov vaših zaposlenih, ki vsebuje kadrovsko številko zaposlenega in njegove delovne rezultate. Dodajate, da s kadrovskimi številkami zaposlenih operira v vašem podjetju relativno veliko zaposlenih, ki lahko preko sistema tako ali drugače identificirajo posameznega zaposlenega.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

IP pojasnjuje, da je za zakonito obdelavo osebnih podatkov treba zagotoviti ustrezno pravno podlago in sorazmernost posega v zasebnost. Tehtanje sorazmernosti posega in izbira pravne podlage bosta odvisna zlasti od namena obdelave osebnih podatkov. Namen mora biti pošteno in jasno opredeljen pred obdelavo osebnih podatkov. V primeru obdelav, kjer obstaja veliko tveganje morajo upravljavci izvesti tudi oceno učinka na varstvo osebnih podatkov. IP je skladno s pristojnostjo iz Splošne uredbe izdal tudi seznam obdelav osebnih podatkov, kjer bo ocena učinkov obvezna – ta v 7. točki opredeljuje obdelave, kjer obstaja občutno nesorazmerje moči med upravljavcem in posameznikom, pri čemer primeroma navaja tudi obdelavo osebnih podatkov zaposlenih.

 

O b r a z l o ž i t e v

 

IP pojasnjuje, da mora biti obdelava osebnih podatkov zakonita, kar pomeni, da mora za obdelavo osebnih podatkov obstajati ustrezna pravna podlaga. Dopustne pravne podlage za obdelavo osebnih podatkov so navedene v členu 6 (1) Splošne uredbe. Po tem odstavku je obdelava dopustna, kadar:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Področni zakon - Zakon o delovnih razmerjih (ZDR-1) - v prvem odstavku 48. člena določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

 

Z vidika varstva osebnih podatkov, kot človekove pravice, morajo biti za zakonito obdelavo osebnih podatkov izpolnjeni tudi pogoji ustavne sorazmernosti posega. Ta terja v prvi vrsti presojo (1) primernosti sredstva, kjer se preverja ali je ukrep primeren za dosego ustavno dopustnega cilja; (2) nujnosti posega, kjer se preverja ali se da isti cilj doseči z blažjim posegom v pravico do varstva osebnih podatkov ali brez njega; in (3) sorazmernosti v ožjem smislu, če zasledovanje cilja pretehta nad posegom v pravico – torej, če je poseg upravičen glede na pričakovano zasebnost posameznika. Načelo sorazmernosti je uzakonjeno tudi v Splošni uredbi prek načela omejitve namena obdelave (osebni podatki so zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; člen 5(1)(b) Splošne uredbe) in načela najmanjšega obsega podatkov (osebni podatki morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo; člen 5(1)(c) Splošne uredbe).

 

Glede na zgoraj opredeljeno mora upravljavec pred obdelavo vselej najprej izbrati ustrezno pravno podlago in pretehtati ali konkretna obdelava izpolnjuje pogoje glede sorazmernosti posega v pravico do varstva osebnih podatkov. V delovnih razmerjih bo pogosto prišla v poštev podlaga iz 48. člena ZDR-1 oziroma zakoniti interes (člen 6(1)(f) Splošne uredbe), če se obdelava ne bo mogla šteti za 'obdelavo potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem' iz 48. člena ZDR-1. Za katero pravno podlago bi lahko šlo v konkretnem primeru bo odvisno od namena obdelave. Glede na namen pa je mogoče v konkretnem primeru tudi opraviti tehtanje sorazmernosti posega.

 

Ker iz vašega vprašanja, ni bilo mogoče razbrati namena, za katerega želite interno objaviti zbirko delovnih rezultatov zaposlenih in posledično ni razbrati razlogov, zakaj bi navedeni namen lahko dosegli zgolj na način objave, IP v nadaljevanju za ponazorilo, kako naj upravljavec pristopi k tehtanju v konkretnem primeru, postavlja hipotetične predpostavke. Zavezujočo presojo pa IP lahko opravi le v okviru konkretnega inšpekcijskega postopka, upoštevaje vse okoliščine primera.

  • Če IP hipotetično predpostavi, da je namen interne objave delovnih rezultatov lastno preverjanje primerljivosti z drugimi zaposlenimi (da lahko zaposleni sam preveri svojo storilnost glede na druge zaposlene), potem je vprašljivo ali je kadrovsko številko, prek katere lahko identificira zaposlenega več oseb v podjetju, nujno uporabiti za dosego tega cilja – oziroma ali ne bi bilo nemara mogoče isti učinek doseči z blažjim sredstvom, npr. določitvijo unikatnih identifikatorjev samo za konkretno zbirko, pri čemer bi vsak zaposleni lahko prejel svojo unikatno kodo ali celo na način objave zgolj rezultatov brez identifikatorjev in zgolj vsakega posameznika individualno seznaniti z njegovim rezultatom. Na ta način bi vsak zaposleni lahko preveril svojo primerljivost glede na delovne rezultate drugih zaposlenih, zmanjšalo pa bi se možnost identifikacije s strani drugih zaposlenih.
  • Če pa IP hipotetično predpostavi drug namen, npr. medsebojno primerjanje delovnih rezultatov med zaposlenimi, potem ni razloga za uporabo kadrovske številke, saj bi se medsebojno primerjanje lažje lahko izvedlo z določitvijo imena in priimka zaposlenih. V tem primeru se seveda postavlja vprašanje, ali takšna obdelava nemara pretirano ne posega v upravičeno pričakovano zasebnost zaposlenega in je zato utemeljenost pravne podlage lahko vprašljiva.

 

Navedene predpostavke so hipotetične in namenjene pojasnilu, kako naj upravljavec presoja utemeljenost pravne podlage in zakaj je bistveno, da upravljavec pred izvedbo tehtanja pošteno določi zakonit namen obdelave in posledično izbere najprimernejši način za dosego namena. IP tudi v inšpekcijski praksi zaznava, da so nejasno opredeljeni nameni pogost vzrok za kršitve varstva osebnih podatkov – tako z vidika zakonite obdelave, kot tudi z vidika obveznosti obveščanja posameznikov, zagotavljanja pravic, ustreznega vodenja evidenc dejavnosti obdelave, itd.

 

Posebej glede uporabe kadrovskih številk IP še opozarja, da (kot navajate) uporaba kadrovskih številk povečuje tveganje za nepooblaščen dostop, saj omogoča identifikacijo določenemu širšemu krogu zaposlenih, kar postavlja pod vprašaj nujnost posega in s tem utemeljenost pravne podlage za obdelavo osebnih podatkov. Tudi pa če bo utemeljeno, da je uporaba kadrovske številke nujno potrebna za izpolnitev zakonitega cilja je treba v interni politiki varnosti preveriti, ali osebe, ki so v podjetju pooblaščene za dostop do zbirke, ki identificira delavca prek kadrovske številke, lahko dostopajo tudi do interno objavljenih delovnih rezultatov. Notranja varnostna politika dostopov mora biti namreč koherentna, kar pomeni, da oseba pooblaščena za identifikacijo zaposlenih zaradi drugih svojih delovnih obveznosti ne bi smela imeti dostopa tudi do zbirke o delovnih rezultatih, če sicer ni pooblaščena za dostop do te zbirke. V nasprotnem primeru se lahko to presoja tudi kot kršitev varnosti osebnih podatkov.

 

Skladnost konkretne obdelave osebnih podatkov je v določenih primerih upravljavec dolžan preveriti predhodno prek izvedbe ocene učinka na varstvo osebnih podatkov. IP je skladno z zahtevo Splošne uredbe izdal tudi seznam obdelav osebnih podatkov za katere je ocena učinkov obvezna. V točki 7 navedenega seznama IP opredeljuje kot obvezno oceno učinka za obdelave osebnih podatkov ranljivih (skupin) posameznikov, kjer obstaja občutno nesorazmerje moči med upravljavcem in posameznikom, kamor sodi tudi obdelava osebnih podatkov zaposlenih. Za pomoč upravljavcem pri izvedbi ocene učinka je IP pripravil tudi Smernice ocene učinkov na varstvo osebnih podatkov, ki so dostopne na spletni strani IP.

 

Upamo, da smo vam s svojim mnenjem uspeli pomagati.

 

Lep pozdrav,

 

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka                         

 

 

Pripravil:                                                                                                        

Anže Novak, univ. dipl. prav.                                       

Svetovalec Pooblaščenca za preventivo