Pregled računalnika nekdanjega zunanjega sodelavca in predaja odvetniku

Datum

07.06.2024

Številka

07121-1/2024/655

Kategorije

Delovna razmerja, Sodni postopki, Varnost osebnih podatkov

Prejeli smo vaše vprašanje glede dopustnosti pregleda računalnika nekdanjega poslovnega sodelavca in predaje podatkov odvetniku za namen ukrepanja zaradi kršitev konkurenčne klavzule. Kot navajate, ste po zaključku poslovnega sodelovanja ugotovili, da je zunanji sodelavec na službenem računalniku, ki ga je imel v uporabi za namen opravljanja storitev za vaše podjetje, opravljal storitve v nasprotju s konkurenčno klavzulo. Menite, da pri tem ne gre za osebne podatke, ampak podatke podjetja.

Pravica do zasebnosti zaposlenih v zvezi z delom na računalnikih v lasti podjetja velja tako za vse zaposlene na podlagi pogodbe o zaposlitvi kot tudi za druge sodelavce ne glede na pravno podlago za delo oziroma poslovno sodelovanje. V konkretnem primeru je torej bistveno vprašanje ali gre zgolj za pregled in posredovanje poslovne dokumentacije, ali bi šlo lahko za pregled morebitnih elektronskih komunikacij ali drugih vsebin, kjer ima vsak sodelavec tudi določeno mero upravičenega pričakovanja zasebnosti ali celo zasebne korespondence ipd. zunanjega sodelavca ali morda za obdelavo drugih osebnih podatkov (npr. zbirk osebnih podatkov drugega poslovnega subjekta). Pomembno je tudi, kakšen je bil postopek predaje računalnika oz. pogoji dogovorjene uporabe. Zato morate sami presoditi, ali in na kakšen način boste zagotovili varstvo osebnih podatkov. Vsekakor svetujemo, da posamezna dejanja ustrezno dokumentirate.

IP v mnenju namreč ne more in ne sme podajati konkretnih nasvetov glede dopustnosti opisanih ukrepov, saj je vse odvisno od okoliščin konkretnega primera, zlasti od tega ali dokumentacija, ki naj bi jo uporabili kot dokaz predstavlja osebne podatke ali ne in ali ter v kakšnem obsegu imate za njihovo obdelavo pravno podlago. Če gre za podatke določenih ali določljivih fizičnih oseb, gre za osebne podatke, za obdelavo katerih potrebujete pravno podlago.

Zelo pomembno je tudi, da dokumentacijo oziroma računalnik, ki naj bi predstavljal dokazno gradivo v morebitnem sodnem postopku ustrezno zavarujete.

Informacijski pooblaščenec (IP) na podlagi 5. točke prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (ZVOP-2), 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. člena Zakona o informacijskem pooblaščencu (ZInfP) uvodoma poudarja, da ne more v mnenju presojati konkretnega ravnanja podjetja glede dokumentacije in morebitnih osebnih podatkov na računalniku podjetja z vidika njihove uporabe v civilnopravnih sporih oz. sodnem postopku in presojati o tem ali gre za varovane osebne podatke ali resnično zgolj za poslovno dokumentacijo.

Uvodoma izpostavljamo, da je ključno, da elektronske naprave ustrezno zavarujete, naredite verodostojne kopije in po potrebi v postopek, če gre za sum kaznivega dejanja vključite tudi policijo.

Glede presoje ali gre pri tem tudi za obdelavo osebnih podatkov, IP pojasnjuje, da so osebni podatki v skladu s 4. členom Splošne uredbe, katerekoli informacije v zvezi z določenim in določljivim posameznikom – t.j. fizično osebo, ne pa tudi informacije, ki se nanašajo zgolj na poslovne subjekte (npr. kadrovski podatki, podatki o strankah, ki so fizične osebe, elektronski naslovi fizičnih oseb, četudi so zaposleni v podjetju; so osebni podatki). Če gre torej v opisanem primeru tudi za pregledovanje, kopiranje ipd. dokumentacije, ki vsebuje osebne podatke (ti so lahko tudi del poslovne dokumentacije), je treba v zvezi s takšno obdelavo osebnih podatkov upoštevati določbe Splošne uredbe in ZVOP-2 (konkretno torej mora za obdelavo, vpogled, kopiranje ipd. osebnih podatkov obstajati ustrezna pravna podlaga). Ta bi lahko eventualno izhajala iz točke f prvega odstavka 6. člena Splošne uredbe, vendar je na vas, da naredite test tehtanja ter presodite, v kakšnem obsegu.

Sodelavec, ki odhaja (ne glede na pravno podlago za sodelovanje), bi moral imeti možnost, da iz službenega predala elektronske pošte in z računalnika bodisi izbriše sporočila in dokumente zasebne narave bodisi jih shrani na drug podatkovni medij (zgoščenko, USB ključ, idr.), ter tudi da obvesti svoje zasebne kontakte, da na ta elektronski naslov ne bo več dostopen (če je imel služben elektronski naslov v podjetju). Ta možnost mora biti sodelavcu dana, rok za odziv pa mora biti razumen. Če delodajalec utemeljeno sumi, da bi zaposleni s tem lahko izbrisal tudi pomembne podatke službene narave (zlasti npr. podatke, ki predstavljajo intelektualno lastnino podjetja, poslovne skrivnosti) ali jih protipravno posredoval tretjim osebam, se takšen postopek izvede komisijsko in zapisniško. Priporočljivo je, da delavec o izbrisu zasebnih vsebin podpiše izjavo, da na službenem računalniku ni več nobenih podatkov, katerih uporaba bi pomenila poseg v njegovo zasebnost. Izjava je lahko sestavni del primopredajnega zapisnika, s katerim zaposleni vrača službeno opremo podjetju. Predlagamo, da ste posebej pozorni na morebitno poseganje v elektronske komunikacije, če bi do tega lahko prišlo. Če gre pri tem za poseganje v komunikacijsko zasebnost, je namreč načeloma ključna za pridobitev in uporabo tovrstnih podatkov podlaga v odredbi sodišča glede na določbe 37. člena Ustave RS. IP je na to temo objavil že številna mnenja, ki so dostopna na naši spletni strani (https://www.ip-rs.si/mnenja-zvop-2/).

Če bi podjetje sumilo, da je zaposleni ali zunanji sodelavec storil katero od kaznivih dejanj (npr. goljufija, izdaja poslovne skrivnosti podjetja ipd.), je pravilen postopek, da računalnik, ki ga ima oz. ga je imel v uporabi (najustrezneje komisijsko) zaseže in zapečati oziroma ustrezno zavaruje pred neupravičenimi posegi, s čimer zavaruje morebitne dokaze in sodelavcu onemogoči dostop do podatkov na računalniku. Potem računalnik po potrebi preda policiji, ki pri ravnanju z računalnikom in podatki upošteva postopkovna in tehnična pravila računalniške forenzike.

Pri vsem navedenem je v vsakem primeru z vidika dokazne vrednosti v sodnih postopkih ne glede na to, ali gre za osebne podatke ali druge informacije, zelo pomembno ustrezno ravnanje s podatki in ustrezno zavarovanje podatkov ter upoštevanje pravil glede preiskave elektronskih naprav ter nosilcev elektronskih podatkov. V primeru uporabe podatkov v sodnem postopku je namreč ključna verodostojnost podatkov. Pri ravnanju s podatki in elektronskimi naravami, ki naj bi služili kot dokaz v postopkih, naj bi se namreč ravnalo skladno s pravili forenzične stroke (preiskave se opravljajo izključno na kopijah podatkov, zagotavlja se integriteta podatkov, revizijska sled opravljenih postopkov in t.i. veriga skrbništva, angl. »chain of custody).

Lepo vas pozdravljamo.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Alenka Jerše, univ. dipl. prav., namestnica informacijske pooblaščenke