Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 01.10.2019
Naslov: Pošiljanje razporedov zaposlenim
Številka: 0712-1/2019/2211
Vsebina: Delovna razmerja, Pravne podlage, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede načina pošiljanja razporedov dela zaposlenim.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma poudarja, da je za zakonito obdelavo osebnih podatkov treba imeti ustrezno pravno podlago. Splošna uredba o varstvu podatkov določa pravne podlage v prvem odstavku 6. člena, kjer določa, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

 

Čeprav ZVOP-1 razlikuje med javnim in zasebnim sektorjem, je področje delovnega prava specialno urejeno za oba sektorja v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 - ZPosS) in Zakonu o  evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06). V 48. členu ZDR-1 določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. členu določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

 

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

 

ZEPDSV posebej ne določa možnosti zbiranja zasebnih kontaktnih podatkov delavca (zasebna telefonska številka, zasebni elektronski naslov), prav tako ti podatki praviloma niso nujno potrebni za uresničevanje pravic in obveznosti iz delovnega razmerja. Zato jih delodajalec lahko zbira le s privolitvijo delavca izrecno za namen lažjega in hitrejšega komuniciranja, ki pa naj bi bilo v interesu obeh, tako delodajalca kot delavca.

 

IP v okviru mnenja ne more presojati, ali so v konkretnem primeru, za konkreten namen in podatke izpolnjeni pogoji za obdelavo določenega podatka in njegovo posredovanje. IP tako splošno pojasnjuje, da je določitev načinov komuniciranja med delodajalcem in zaposlenimi v rokah delodajalca (v konkretnem primeru torej v vaših rokah), ob tem pa je seveda treba upoštevati relevantno področno zakonodajo. Ob določitvi načina komuniciranja je treba upoštevati tudi vidik varnosti in zasebnosti. Smiselno bi bilo torej oceniti, ali je bolj primerno uporabljati storitve službene elektronske pošte, kjer se podatki nahajajo na strežnikih v naši državi, ali pa uporabiti storitve in strežnike zasebnih (najverjetneje tujih) ponudnikov, ki se nahajajo izven naše države in so izven naše jurisdikcije, ter upoštevati vsa s tem povezana tveganja. Zgolj morebitna večja uporabnost ali praktičnost zasebnih (tujih) ponudnikov po mnenju IP ne more biti prevladujoč razlog za določitev tovrstnega načina komuniciranja z zaposlenimi.

 

Ob tem IP opozarja tako na določbe 32. člena Splošne uredbe o varstvu podatkov, ki primeroma navaja ukrepe, s katerimi se zagotavlja varnost osebnih podatkov, kot tudi na določbe še vedno veljavnega 24. člena ZVOP-1 o zavarovanju osebnih podatkov. Slednje obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava tako, da se med drugim preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, vključno s prenosom po telekomunikacijskih sredstvih in omrežjih. V skladu s prav tako še vedno veljavnim prvim odstavkom 25. člena ZVOP-1 so upravljavci osebnih podatkov in pogodbeni obdelovalci dolžni zagotoviti zavarovanje osebnih podatkov na navedeni način.

 

Iz navedenega izhaja, da morajo biti osebni podatki ves čas prenosa (tudi pošiljanja preko elektronske pošte) ustrezno zavarovani s postopki in ukrepi, ki nepooblaščenim osebam preprečujejo dostop do osebnih podatkov, pri čemer so postopki in ukrepi zavarovanja odvisni od tveganja, ki ga predstavlja prenos, in vrste osebnih podatkov, ki se prenašajo. Omenjenim zahtevam je po mnenju IP lažje zadostiti v okviru sistema službene elektronske pošte kot pa v okviru informacijskih storitev zasebnih (tujih) ponudnikov. IP kot državni organ namreč ne more mimo razkritij E. Snowdena o dostopu obveščevalnih agencij do podatkov na strežnikih ameriških ponudnikov informacijskih storitev, kot so Google, Amazon, Facebook, Microsoft in drugi.

 

S spoštovanjem.

 

 

Pripravil:

Matej Sironič,                                                  

Svetovalec pooblaščenca

za varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka