Pridobivanje in prenos osebnih podatkov o nekaznovanosti delavcev

Datum

23.06.2023

Številka

07121-1/2023/854

Kategorije

Delovna razmerja, Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje. Navajate, da se vaša sestrska družba v ZDA dogovarja za sklenitev pogodbe o opravljanju storitev z drugo ameriško družbo, na tem projektu pa bodo na podlagi podizvajalske pogodbe med vami in sestrsko družbo delali tudi zaposleni v vaši družbi iz Slovenije. V okviru dogovarjanj je bila postavljena zahteva, da na projektu delajo samo zaposleni, ki niso kaznovani, zato želijo imeti za vsako osebo sledeče podatke: ime, priimek ter referenčno številko potrdila o nekaznovanosti. Pojavili sta se vam dve vprašanji, in sicer glede:

1)pravne podlage za zbiranje izpiskov iz kazenske evidence za zaposlene – ker pogoj nekaznovanosti za ta delovna mesta ne izhaja iz predpisov, menite, da bi jih lahko pridobili samo s soglasjem zaposlenega;

2)ureditve odnosa zaradi iznosa osebnih podatkov (nekaznovanost vaših zaposlenih) v države zunaj EU – v določenih pogledih se vam zdi, da gre za model 1, v drugih model 2 standardnih pogodbenih klavzul. Sprašujete se še, ali mora vaša sestrska družba prav tako podpisati te standardne pogodbene klavzule, saj se vam zdi, da modelne klavzule z določbo (ii) b odstavka 1. člena pokrivajo tudi indirektne prenose, zaradi česar vključitev vaše sestrske družbe v tak dokument sploh ni potrebna.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20; v nadaljevanju ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji.

Za obdelavo potrdila o nekaznovanosti s strani delodajalca velja 10. člen ZVOP-2 in 48. člen ZDR-1. Upravljavec pa mora v konkretnem primeru presoditi, ali, za katera kazniva dejanja in na kakšen način lahko zbira podatke o nekaznovanosti delavcev. Delodajalec lahko zahteva predložitev potrdila o nekaznovanosti od že zaposlenih delavcev le v izjemno utemeljenih okoliščinah, saj so v času zaposlitve izpolnjevali vse pogoje za delovno mesto.

Pomembno je, da subjekti, ki sodelujejo pri obdelavi osebnih podatkov, opredelijo, kdo nastopa kot (samostojni ali skupni) upravljavec in kdo kot morebitni obdelovalec osebnih podatkov posameznikov. Od tega je odvisno tudi, kateri modul standardnih pogodbenih določil je v konkretnem primeru ustrezen. V primeru posrednih prenosov osebnih podatkov je tudi ta vmesni subjekt pogodbena stranka standardnih določil, zato ga je treba vključiti v tak dokument.

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da izven nadzornega postopka ne more presojati zakonitosti konkretnih obdelav osebnih podatkov. Zato vam v nadaljevanju podaja splošna pojasnila ter pravna izhodišča in pogoje za zakonito obdelavo.

Potrdilo o nekaznovanosti

IP je glede obdelave osebnih podatkov delavcev, tudi v zvezi s potrdilom o nekaznovanosti, izdal že več mnenj, ki so dostopna na: https://www.ip-rs.si/mnenja-zvop-2/ in to vprašanje obravnaval tudi v posebnih smernicah, ki so dostopne na: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/varstvo-osebnih-podatkov-v-delovnih-razmerjih (odgovor na vprašanje 1.2).

Potrdilo o nekaznovanosti načeloma vsebuje podatke iz kazenske evidence, kar pomeni, da zanj velja 10. člen ZVOP-2 (varstvo in obdelava osebnih podatkov o odločitvah o kazenskih obsodbah ter o kaznovanjih za prekrške). Ta določa:

(1) Podatki o vpisu ali izbrisu v ali iz kazenskih evidenc in prekrškovnih evidenc ter prenosi teh podatkov se obravnavajo kot posebne vrste osebnih podatkov v skladu s prvim in drugim odstavkom 9. člena Splošne uredbe.

(2) Zakon določi namen obdelave, vključno s povezovanjem, ki mora biti v javnem interesu, vrste podatkov, ki se obdelujejo, posameznike, na katere se nanašajo osebni podatki, subjekte, katerim se osebni podatki lahko razkrijejo, namene, za katere se lahko razkrijejo, omejitve namena ter rok hrambe, vključno z ukrepi za zagotovitev zakonite in poštene obdelave.

(3) Za izvedbo povezovanja iz prejšnjega odstavka se za državljana Republike Slovenije ali osebo s prebivališčem v Republiki Sloveniji kot identifikacijski znak uporabi enotna matična številka občana iz kazenske ali prekrškovne evidence.

Za obdelavo osebnih podatkov v delovnih razmerjih pa je relevanten tudi 48. člen Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmIS-A, 202/21 – odl. US, 15/22 in 54/22 – ZUPŠ-1; v nadaljevanju ZDR-1), skladno s katerim se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Glede na določbe 48. člena ZDR-1 je torej treba za konkretni primer presoditi, ali, za katera kazniva dejanja in na kakšen način lahko zbirate podatke o nekaznovanosti delavcev. IP poudarja, da je upravljavec osebnih podatkov vseskozi dolžan upoštevati temeljno načelo najmanjšega obsega podatkov (točka c) prvega odstavka 5. člena Splošne uredbe), v skladu s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Ob tem je bistveno, da so tudi v ustreznih internih aktih podjetja vnaprej jasno opredeljeni pogoji, ki se zahtevajo za določeno delovno mesto in v zvezi s katerimi se od delavcev zahteva predložitev določenih potrdil.

Kot je IP že pojasnil v smernicah, je delodajalec glede zahteve po predložitvi potrdila o nekaznovanosti od že zaposlenih delavcev omejen, saj so v času zaposlitve izpolnjevali vse pogoje za delovno mesto. Okoliščina, ko bi delodajalec takšno potrdilo lahko naknadno zahteval, bi nastala denimo v primeru spremembe sistemizacije za določeno delovno mesto, ko bi se naknadno kot pogoj po novem zahtevala tudi nekaznovanost, ali v primeru zakonske zahteve v zvezi z opravljanjem dela na določenem delovnem mestu (npr. v zvezi s podajo ponudbe za javno naročilo, z ravnanjem s tajnimi podatki ali vstopanjem v objekte, za katere se zahtevajo posebni pogoji). V tem primeru pa se pojavi tudi vprašanje, ki je predvsem delovnopravne narave, in sicer kakšne možnosti (morebitno premestitev na drugo delovno mesto ali celo prekinitev delovnega razmerja) ima delodajalec na voljo, če delavec odkloni zahtevo in ne prinese zahtevanega potrdila oziroma, če delavec ni nekaznovan.

Prenos osebnih podatkov na podlagi standardnih določil o varstvu podatkov

Skladno s prvim odstavkom 65. člena ZVOP-2 se prenosi osebnih podatkov iz Republike Slovenije v tretje države ali mednarodne organizacije se izvajajo le v skladu z določbami V. poglavja Splošne uredbe. Ta ureditev temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba.

Za zakonito posredovanje osebnih podatkov upravljavcu, obdelovalcu ali uporabniku osebnih podatkov v tretji državi ali mednarodni organizaciji morata biti izpolnjena tako dva pogoja, in sicer:

- obstoj pravne podlage iz 6. ter 9. člena Splošne uredbe v zvezi s 6. členom ZVOP-2;

- obstoj sklepa o ustreznosti, zagotovitev ustreznih zaščitnih ukrepov ali če so podana odstopanja v posebnih primerih.

Glede prenosov na podlagi sklepa o ustreznosti IP izpostavlja, da za ZDA trenutno takšen sklep Evropske komisije ni v veljavi, se pa pripravlja nov, ki naj bi bila sprejet v kratkem (EU-US Data Privacy Framework). To pomeni, da se lahko trenutno prenosi podatkov v ZDA vršijo le na podlagi ustreznih zaščitnih ukrepov iz 46. člena Splošne uredbe oziroma če je to ustrezno, tudi na podlagi katerih od izjem iz 49. člena Splošne uredbe.

Ustrezni zaščitni ukrepi se lahko za prenos osebnih podatkov v ZDA med drugim zagotovijo tudi s standardnimi določili o varstvu podatkov, ki jih sprejme Evropska komisija, na katere se tudi sami sklicujete:

Standardne pogodbene klavzule so modularnega značaja, kar pomeni, da vključujejo različne scenarije obdelave osebnih podatkov, ki jih pogodbeni stranki izbereta upoštevaje konkretne okoliščine prenosa ter vrste pogodbenih strank:

- Modul 1: upravljavec prenaša podatke upravljavcu,

- Modul 2: upravljavec prenaša podatke obdelovalcu,

- Modul 3: obdelovalec prenaša podatke obdelovalcu,

- Modul 4: obdelovalec prenaša podatke upravljavcu.

Glede na to boste morali najprej opredeliti razmerja med vami, sestrsko družbo in drugo ameriško družbo z vidika vlog varstva osebnih podatkov, torej kdo nastopa kot (samostojni ali skupni) upravljavec in kdo kot obdelovalec osebnih podatkov delavcev, ki so zaposleni v vaši družbi. Tako boste lahko presodili, kateri modul, 1 ali 2 je v konkretnem primeru ustrezen, saj IP tega ne more storiti namesto vas.

IP v zvezi s tem pojasnjuje, da je upravljavec skladno s 7. točko 4. člena Splošne uredbe fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. Gre torej za subjekt, ki odloča o posameznih ključnih vidikih obdelave. Kadar je v obdelavo vključen več kot en subjekt, pa lahko pride do skupnega upravljanja, in sicer v primerih, ko dva ali več upravljavcev sodeluje pri določitvi namenov in sredstev dejanja obdelave. Obdelovalec je skladno z 8. točko 4. člena Splošne uredbe fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca. Pri presoji, kdo šteje za upravljavca, pa ni odločilen kriterij samostojne pravne subjektivitete, temveč je relevantno, kdo določa sredstva in namene obdelave osebnih podatkov, kar je treba upoštevati tudi v primeru povezane družbe. Upoštevajoč vaš opis pogodbenih razmerji se zdi najverjetneje, da gre v konkretnem primeru za modul 1, kot že navedeno, pa IP tega v mnenju ne more dokončno presoditi.

Glede vašega vprašanja, ali mora vaša sestrska družba prav tako podpisati standardna pogodbena določila, IP pojasnjuje, da sta v točki b) 1. teh določil kot pogodbenici(-e) opredeljeni(-e):

(i) fizična ali pravna oseba oziroma osebe, javni organ oziroma organi, agencija oziroma agencije ali drug organ oziroma organi (v nadaljnjem besedilu: subjekt(-i)), ki prenašajo osebne podatke, kot so navedeni v Prilogi I.A (v nadaljnjem besedilu: izvoznik(-i) podatkov), in

(ii) subjekt oziroma subjekti v tretji državi, ki prejmejo osebne podatke od izvoznika podatkov neposredno ali posredno prek drugega subjekta, ki je prav tako pogodbenica teh določil, kot so navedeni v Prilogi I.A (v nadaljnjem besedilu: uvoznik(-i) podatkov).

Določila torej omogočajo dodajanje več kot dveh strank v pogodbeno ureditev. Kot izhaja iz zgoraj navedenega določila, pa je tudi v primeru posrednih prenosov osebnih podatkov, torej preko drugega subjekta (v konkretnem primeru vaše sestrske družbe), ta subjekt pogodbena stranka teh določil. Zato IP meni, da če osebne podatke svojih zaposlenih prenašate ameriški družbi preko vaše sestrske družbe, ki je tudi ustanovljena v ZDA in kot taka uvoznik osebnih podatkov, mora biti tudi ta družba vključena v dokument s standardnimi pogodbenimi določili.

Ob tem IP še dodaja, da je izvoznik podatkov dolžan oceniti, ali bo prenesenim podatkom zagotovljena v bistvu enakovredna raven varstva podatkov tej v EU. Izvoznik podatkov mora preučiti relevantno zakonodajo in prakso javnih organov v ZDA in oceniti, ali morebitni dostopi javnih organov do prenesenih podatkov presegajo to, kar je sprejemljivo po pravu EU. V takem primeru lahko izvoznik prenese podatke le pod pogojem, da je mogoče z dopolnilnimi zaščitnimi ukrepi zagotoviti enakovredno raven varstva podatkov. Kako opraviti navedeno oceno in kaj so dopolnilni zaščitni ukrepi, si preberite v Priporočilih 01/2020 o ukrepih, ki dopolnjujejo orodja za prenos, da se zagotovi skladnost z v EU zagotovljenim varstvom osebnih podatkov (https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en) in v Priporočilih 02/2020 Evropskega odbora za varstvo podatkov glede evropskih bistvenih jamstev (https://edpb.europa.eu/sites/default/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_sl.pdf).

Več o prenosih si lahko preberete na spletni strani IP: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-države-in-mednarodne-organizacije/. Prav tako je na temo prenosov v tretje države IP izdal že veliko mnenj, ki so dostopna na: https://www.ip-rs.si/mnenja-zvop-2/.

Lepo vas pozdravljamo,

Pripravila:

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka