Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 23.09.2019
Naslov: Fotografiranje potnega naloga s strani delavca
Številka: 0712-1/2019/1920
Vsebina: Pravne podlage, Rok hrambe OP, Zavarovanje osebnih podatkov
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju IP) je prejel vaš dopis, v katerem sprašujete, ali si lahko pri vas zaposlen monter klim, ki izvaja to delo pri stranki, slika službeni delovni nalog (s svojim telefonom), na katerem so podatki o stranki (ime, naslov, telefon). Arhiv/seznam teh podatkov bi mu služil za morebitno kasnejšo uporabo.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju – Splošna uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 - v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 - v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem. Ob tem IP poudarja, da izven postopka inšpekcijskega nadzora konkretnih obdelav osebnih podatkov ne more presojati.

 

IP pojasnjuje, da je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev po členu 6(1) Splošne uredbe:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov za enega ali več določenih namenov,
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca,
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe,
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

 

Iz informacij, ki izhajajo iz vašega dopisa in iz vaših pojasnil v telefonskem pogovoru, je najverjetneje pravna podlaga za obdelavo, ki jo opisujete, v pogodbi (6. člen 6.1(b) Splošne uredbe). V nadaljevanju vam posredujemo nekaj informacij v zvezi s to pravno podlago.

 

Določba 6.1(b) člena Splošne uredbe dopušča zakonito obdelavo tudi v primeru potrebnosti za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe.

 

Razlaga, kdaj je »obdelava potrebna za izvajanje pogodbe«, mora biti stroga ter zožujoča, upoštevaje načelo sorazmernosti iz člena 5 Splošne uredbe. Določba 6.1(b) člena Splošne uredbe namreč ne pokriva primerov, v katerih obdelava ni resnično potrebna za običajno izvedbo pogodbe. Pri tem zgolj dejstvo, da so nekateri podatki predmet določene pogodbe, še ne pomeni, da je obdelava avtomatično potrebna za njeno izvrševanje. Obenem pa to tudi ne pomeni, da je obdelava osebnih podatkov, ki niso potrebni za izvedbo pogodbe, na splošno nedopustna, vendar mora za to obstajati druga pravna podlaga iz 6.1 člena Splošne uredbe.

 

Za presojo, ali je pravna podlaga po členu 6.1(b) Splošne uredbe primerna za obdelavo osebnih podatkov, je treba najprej ugotoviti vsebino pogodbe, predvsem predmet in kavzo, nato pa v zvezi s tem oceniti, kateri podatki so potrebni za izvedbo takšne pogodbe. Obdelava podatkov in namen izvajanja pogodbe morata biti neposredno in objektivno povezana.

 

IP ob tem opozarja, da ne gre spregledati tudi načela najmanjšega obsega podatkov iz točke c) prvega odstavka 5. člena Splošne uredbe, ki pravi da so osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (prej načelo sorazmernosti iz 3. člena ZVOP-1). Po mnenju IP se načeloma zdi sorazmerno na primer, da si delavec v telefon zabeleži ime, telefon in naslov stranke, pri kateri mora opraviti montažo, ne pa tudi osebnih podatkov stranke, ki jih za opravo storitve ne potrebuje.

 

IP še dodaja, da Splošna uredba v zvezi s shranjevanjem osebnih podatkov v členu 5.1(e) določa, da morajo biti osebni podatki hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; za daljše obdobje pa se lahko shranjujejo le, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko-raziskovalne namene ali statistične namene v skladu s členom 89(1) Splošne uredbe, pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki (»omejitev shranjevanja«). Konkreten rok hrambe je torej, v kolikor specialni predpisi ne določajo drugače, odvisen od roka morebitnih postopkov uveljavljanja pravic v zvezi s pogodbami, ki jih imate z vašimi strankami (uporabniki).

 

Ker je upravljavec sam odgovoren za zakonito obdelavo osebnih podatkov, ki jih v njegovem imenu obdeluje delavec, IP priporoča, da obdelovalec ne dopušča obdelav, ki jih ne more kontrolirati (tj. obdelave na telefonu delavca, če obstaja možnost, da jih ta shranjuje za svoje potrebe izven namena obdelave).

 

Za morebitne ostale obdelave osebnih podatkov pa vam za več informacij IP priporoča, da si preberete vsebine na spletni strani https://upravljavec.si/.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

 

 

Pripravila:
mag. Nuša Kavšek, univ. dipl. prav.

svetovalka IP za varstvo osebnih podatkov

 

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka