Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 09.08.2019
Naslov: Uporaba DS za delovanje aplikacije
Številka: 0712-1/2019/1865
Vsebina: Delovna razmerja, Pravne podlage, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Obrnili ste se na Informacijskega pooblaščenca RS (v nadaljevanju IP) s svojim zaprosilom za mnenje. Zanima vas ali sme delodajalec oziroma vodja oddelka od zaposlenih zahtevati, da vsi vpišejo svojo davčno številko na seznam (ki je viden vsaj 25 ljudem), z namenom lažje uporabe določene računalniške aplikacije. Pojasnjujete, da se na ta način vsaj 30 ljudi na oddelku seznani z vašo davčno številko. Zanima vas, ali je to dopustno, saj menite da obstaja tveganje za zlorabo, hkrati pa tak ukrep delodajalca občutite kot poseg v svojo osebno integriteto proti vaši volji, ki pa ni nujen, saj je mogoče isti cilj doseči tudi na drug način, ki v manjši meri posega v vašo zasebnost.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

 

IP ugotavlja, da glede na tveganje za zlorabo davčne številke, ni razvidno, kako je obdelava za namen »uporabe aplikacije« na način, da so davčne številke dostopne »vsem na oddelku« skladna z načelom iz člena 5(1)(c) Splošne uredbe, po kateri morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“). Kršitev tega načela predstavlja hujšo kršitev Splošne uredbe.

 

O b r a z l o ž i t e v

 

IP pojasnjuje, da mora biti obdelava osebnih podatkov zakonita, kar pomeni, da mora za obdelavo osebnih podatkov obstajati ustrezna pravna podlaga. Dopustne pravne podlage za obdelavo osebnih podatkov so navedene v členu 6 (1) Splošne uredbe. Po tem odstavku je obdelava dopustna, kadar:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Zakon o delovnih razmerjih (ZDR-1) v prvem odstavku 48. člena določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

 

Z vidika varstva osebnih podatkov, kot človekove pravice, morajo biti za zakonito obdelavo osebnih podatkov izpolnjeni tudi pogoji ustavne sorazmernosti posega. Ta terja v prvi vrsti presojo (1) primernosti sredstva, kjer se preverja ali je ukrep primeren za dosego ustavno dopustnega cilja; (2) nujnosti posega, kjer se preverja ali se da isti cilj doseči z blažjim posegom v pravico do varstva osebnih podatkov ali brez njega; in (3) sorazmernosti v ožjem smislu, če zasledovanje cilja pretehta nad posegom v pravico.

 

Uporaba davčne številke za »lažjo uporabo« aplikacije se IP zdi sporna zlasti z vidika nujnosti posega. Navedeno načelo sorazmernosti je po mnenju IP treba vselej upoštevati, še zlasti pa tudi kadar gre za obdelavo na podlagi 48. člena ZDR-1, ki obsega zelo široko področje obdelav osebnih podatkov. IP meni, da bi bilo s testom sorazmernosti težko utemeljiti (kot ugotavljate že sami), da je uporaba davčne številke nujno potrebna za uporabo aplikacije. Slednje je namreč še zlasti vprašljivo zaradi tveganja zlorab, ki ga prinaša uporaba davčne številke izven namena, za katerega je davčna številka podeljena. Davčna številka sicer resda predstavlja enolični identifikator, ki brez dodatnih informacij ni posebej informativna. Kljub temu pa obstaja visoko tveganje za zlorabe, saj je prek davčne številke mogoče dostopati do drugih storitev (npr. telekomunikacijskih storitev), kjer ponudniki teh storitev za identifikacijo njihovega naročnika pogosto zahtevajo davčno številko, saj jim to omogoča zakon. Poleg tega se davčna številka uporablja kot identifikacijski znak tudi v mnogih drugih (zlasti javno-pravnih) zbirkah podatkov. Glede na tveganje za zlorabo davčne številke je torej zlasti vprašljivo ali je obdelava za namen »uporabe aplikacije« na način, da so davčne številke dostopne »vsem na oddelku« skladna z načelom iz člena 5(1)(c) Splošne uredbe, po kateri morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“). Kršitev tega načela pa predstavlja hujšo kršitev Splošne uredbe.

 

V okviru mnenja IP ne more podati zavezujočega stališča glede skladne obdelave osebnih podatkov, to lahko stori le v okviru konkretnega inšpekcijskega postopka ob upoštevanju vseh konkretnih okoliščin primera. Če pa menite, da je z ravnanjem delodajalca prišlo do nezakonite obdelave ali druge oblike kršitve vaše pravice do varstva osebnih podatkov, lahko vložite tudi inšpekcijsko prijavo pri IP. Prijavo lahko podate na obrazcu, ki je objavljen na spletni strani IP (Prijava kršitve varstva osebnih podatkov (Obrazec ZIN PRIJAVA).   

 

Upamo, da smo vam s svojim mnenjem uspeli pomagati.

 

Lep pozdrav,

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka 

           

 

Pripravil:

Anže Novak, univ. dipl. prav.                                       

Svetovalec Pooblaščenca za preventivo