Posredovanje OP zaposlenih tujemu podjetju

Datum

14.11.2024

Številka

07121-1/2024/1404

Kategorije

Delovna razmerja, Ocene učinkov v zvezi z varstvom podatkov, Prenos osebnih podatkov v tretje države ali mednarodne organizacije, Privolitev

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede posredovanja osebnih podatkov zaposlenih tujemu podjetju.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP uvodoma pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca (v konkretnem primeru vašega podjetja kot delodajalca), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave. Sama obdelava osebnih podatkov mora potekati na eni od pravnih podlag, ki jih določa 6. člen Splošne uredbe. V skladu s tem je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

IP splošno pojasnjuje, da glede obdelave osebnih podatkov delavcev veljajo načeloma enaka pravila za delodajalce v zasebnem in javnem sektorju, pri čemer so za ugotavljanje zakonitosti konkretne obdelave pomembni posamezni področni predpisi. Zakon o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 - ZIUPOPDVE, 119/21 - ZČmlS-A, 202/21 - odl. US, 15/22, 54/22 – ZUPŠ-1, 114/23, 136/23 – ZIUZDS; v nadaljevanju: ZDR-1) v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, zakaj je potrebna takšna obdelava osebnih podatkov delavca. Pri tem mora delodajalec v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost. Delodajalec mora torej paziti tudi na spoštovanje zasebnosti in dostojanstva delavca, odgovornost delodajalca pa narašča z intenzivnostjo posega v zasebnost. Nadalje ZDR-1 v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

IP meni, da bi obdelava, ki ste jo opisali v vašem zaprosilu za mnenje (ustvaritev uporabniških računov in posredovanja širokega nabora osebnih podatkov, med drugim tudi EMŠA in davčne številke), najverjetneje zelo težko bila skladna z zgoraj navedenimi pojasnili. Ob tem IP ponavlja, da konkretno presojo zakonitosti obdelave lahko preveri le v okviru konkretnega nadzornega ali drugega upravnega postopka.

IP poudarja, da mu ni znan zakon, ki bi delodajalcu dajal splošno pravno podlago za posredovanje osebnih podatkov delavcev tujim podjetjem, zato bi se na opisani način osebne podatke delavce lahko obdelovalo le, če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Če okoliščine delovnega razmerja torej tega ne terjajo oziroma če delodajalec ne izkaže, da je obdelava osebnih podatkov delavca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih načeloma ne sme obdelovati.

V danem primeru je treba upoštevati tudi določbo 225. člena Zakona o elektronskih komunikacijah (ZEKom-2: Uradni list RS, št. 130/22, 18/23 – ZDU-1O), v skladu s katero bi moral delodajalec delavce pred namestitvijo aplikacije na njihove zasebne telefone obvestiti o obdelavi njihovih podatkov in pridobiti njihovo privolitev, ki mora biti skladna tudi z določbami Splošne uredbe. Predvsem IP opozarja, da bi delavci morali imeti možnost zavrniti uporabo aplikacije brez posledic za njegovo delovno razmerje. Ob tem pa IP izpostavlja, da je le izjemoma dopustna obdelava delavčevih osebnih podatkov na podlagi njegove osebne privolitve pod pogojem, da njena zavrnitev nima nikakršnih posledic na delovno razmerje oziroma na delavčev pravni položaj. Osebna privolitev v delovnih razmerjih torej je oziroma naj bo bolj izjema kot pravilo, saj je delodajalec v razmerju do delavca močnejša stranka in so možnosti za zlorabo tega instituta v delovnih razmerjih toliko večje. Tudi smernice Delovne skupine po členu 29 glede privolitve kot pravne podlage za obdelavo osebnih podatkov v delovnih razmerjih poudarjajo neprostovoljno naravo razmerja delavec - delodajalec, kar ovira veljavnost privolitve. Temeljni kriterij za dopustnost privolitve v delovnih razmerjih je po mnenju Delovne skupine po členu 29, da podaja ali zavrnitev privolitve za zaposlene nima nikakršnih negativnih posledic. Pri tem je treba upoštevati podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v 7. členu Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk ali kakršnakoli nedejavnost tako ne pomeni privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. IP poudarja, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

Predhodna informiranost posameznika o obdelavi njegovih podatkov je torej ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne. Več informacij o privolitvi lahko najdete lahko najdete tudi na spletni strani IP:

https://www.ip-rs.si/?id=102

IP splošno vsem subjektom, ki razmišljajo o uvedbi podobnih rešitev, kot jo navajate v vašem zaprosilu za mnenje, priporoča, da v skladu s 35. členom Splošne uredbe izvedejo oceno učinka v zvezi z varstvom osebnih podatkov. Gre za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila predlagana rešitev zakonita, sorazmerna, transparentna, varna itd. Zelo pomembno je izhajati iz težav, ki naj bi jih reševali z uvedbo rešitve, pri čemer je treba realno oceniti, ali se bo na tak način dejansko doseglo zasledovane cilje in ali teh ciljev ni mogoče doseči na drug način (npr. z registracijo s pomočjo kartice ali z drugačno organizacijo delovnega procesa, ki bi omogočal uporabo drugih sredstev za dosego cilja), ki bi manj posegal v pravice posameznika.

IP nadalje pojasnjuje, da je v skladu s prvim odstavkom 35. člena Splošne uredbe temeljni kriterij za vprašanje, kdaj je ocena učinkov obvezna, zlasti ocena, ali bo obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov. Dodatni kriteriji so opredeljeni v tretjem odstavku istega člena.

Ob tem je treba preveriti tudi, ali gre morda za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna. IP je pripravil tak seznam in ga objavil na spletni strani:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Seznam_dejanj_obdelav_osebnih_podatkov__za_katere_velja_zahteva_po_izvedbi_ocene_ucinka_v_zvezi_z_varstvom_osebnih_podatkov.pdf

IP pojasnjuje, da se navedeni kriteriji lahko uporabljajo prepleteno in ne predstavljajo izključnega seznama. Glede na navedbe v vašem zaprosilu za mnenje IP meni, da je vsekakor verjetno, da bi ob uvedbi konkretne rešitve lahko bili izpolnjeni najmanj kriteriji iz točke 7 (nesorazmerje moči) navedenega seznama. IP tako meni, da bi v konkretnem primeru najverjetneje šlo za rešitev, ki ima pomembne posledice na varstvo osebnih podatkov posameznikov (delavcev), zato je glede na določbe Splošne uredbe potrebno, da delodajalec pred implementacijo rešitve opravi ustrezno oceno učinka na varstvo osebnih podatkov. IP močno odsvetuje implementacijo podobnih rešitev brez ustrezno izvedenih predhodnih ocen učinkov na varstvo osebnih podatkov.

Več informacij o sami izdelavi ocene učinka je na voljo v smernicah, ki jih je pripravil IP in so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/Ocene_ucinkov/Smernice_o_ocenah_ucinka__DPIA__julij2018.pdf

IP poudarja, da mora delodajalec pri uvedbi tovrstnih rešitev zagotoviti skladnost s Splošno uredbo, ter tako poleg ustrezne pravne podlage upoštevati tudi npr. načela Splošne uredbe, predvsem že zgoraj omenjeno t.i. načelo najmanjšega obsega podatkov. Delodajalec mora nadalje tudi temeljito presoditi dopustnost in utemeljenost namena, za katerega želi uvesti rešitev, ter ali je uporaba rešitve v dane namene primerna in sorazmerna ter opraviti predhodno presojo, ali je mogoče uporabiti alternativno možnost, ki manj posega v zasebnost, ali bi isti namen lahko zadovoljivo dosegel tudi z uvedbo ukrepov, ki manj posegajo v zasebnost, svobodo gibanja in dostojanstvo delavcev. Pred uvedbo konkretne rešitve je delodajalec v skladu z zahtevami 13. člena Splošne uredbe dolžan (priporočljivo s sprejetjem internega akta) delavce seznaniti z rešitvijo, namenom in načinom njene uvedbe, njenim delovanjem, s primeri in nameni, za katere bodo pridobljeni podatki uporabljeni ter drugimi informacijami o obdelavi osebnih podatkov, do katere bo prišlo pri njeni uporabi. Delodajalec mora ob tem poskrbeti tudi za ustrezno varnost uporabe rešitve (s t.i. tehnično-organizacijskimi ukrepi za zagotavljanje varnosti osebnih podatkov). IP ob tem ponovno opozarja, da bi delodajalec pred uvedbo rešitve po vsej verjetnosti moral opraviti tudi oceno učinka, skladno s 35. členom Splošne uredbe.

Pri izvedbi posameznih postopkov in ukrepov je torej treba vedno upoštevati tudi načelo sorazmernosti in vedno izbrati tisti ukrep, ki najmanj poseže v pravice delavca glede na zasledovani zakoniti cilj. Posameznih ukrepov torej ne bi smeli odrejati, če je mogoče primerljiv učinek doseči z milejšimi ukrepi. Če se na ravni posamezne organizacije (v konkretnem primeru na ravni delodajalca) določen ukrep opredeli kot nujen, potreben in učinkovit, pa ga je treba izvajati na način, ki najmanj posega v zasebnost posameznika in brez prekomerne obdelave osebnih podatkov. V takem primeru pa je tudi delodajalec tisti, ki mora poskrbeti za ustrezno infrastrukturo, ki omogoča ustrezno opremljenost posameznika, da lahko uporablja določeno storitev, ki je potrebna zaradi delovnega procesa. Kako bo delodajalec to zagotovil, pa je prepuščeno njemu samemu.

IP posebej opozarja, da mora biti delodajalec pri uporabi aplikacij za registracijo delovnega časa posebej pozoren in preveriti, če ta aplikacija morda stalno beleži lokacijo v ozadju, ko je vklopljena (četudi to uporabniku ni navzven vidno), in ne zgolj takrat, ko se zaposleni registrira ter se to tudi prikaže. Za eventualno uporabo aplikacije, ki omogoča stalno sledenje lokaciji delavca med delovnim časom, bi morale biti namreč podane izjemne okoliščine in upoštevano načelo sorazmernosti, saj tak ukrep pomeni hud poseg v delavčevo zasebnost, svobodo gibanja in dostojanstvo. Uporaba opreme, ki razkriva lokacijo delavcev, je dopustna zgolj, če je nujna za dosego legitimnih ciljev delodajalca (npr. varovanja premoženja, zdravja ali učinkovitega opravljanja dejavnosti), in ne sme biti uporabljena samo z namenom nadzora zaposlenih.

Poudariti velja, da delavec ni dolžan dati na razpolago svojih sredstev za to, da lahko delodajalec izpolnjuje svoje dolžnosti, lahko pa delavec svoja sredstva da na razpolago delodajalcu, (samo) če to sam želi. Če delavec svojih sredstev (npr. zasebnega mobilnega telefona), ne želi dati na razpolago delodajalcu, to nikakor ne sme in ne more vplivati na njegovo delovno razmerje, temveč bi mu moral delodajalec zagotoviti ustrezna delovna sredstva, če ocenjuje, da so res potrebna za delo.

IP dodaja, da bi v konkretnem primeru upravljavec moral tudi urediti svoj odnos do družbe iz ZDA, ki jo navajate v vašem zaprosilu za mnenje, ob tem pa zagotoviti tudi zakonit prenos osebnih podatkov v to tretjo državo poleg pogodbe ali drugega akta o obdelavi zagotoviti tudi enega izmed načinov zagotavljanja ustreznega varstva podatkov v tretji državi po prenosu.

Prenose osebnih podatkov v tretje države in mednarodne organizacije ureja Poglavje V Splošne uredbe, ki temelji na predpostavki, da se raven varstva osebnih podatkov zaradi prenosa v tretjo državo ne sme zmanjšati v primerjavi z varstvom, ki ga zagotavlja Splošna uredba. Upravljavec lahko na različne načine izkaže, da je raven varstva osebnih podatkov v tretji državi ustrezna: s sklepom o ustreznosti, ustreznimi zaščitnimi ukrepi ali na podlagi odstopanj v posebnih primerih.

Glede odstranitve vaših osebnih podatkov s strežnikov tujega podjetja IP pojasnjuje, da Splošna uredba pravico do izbrisa (»pravico do pozabe«) ureja v 17. členu, ki v prvem odstavku določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

a)osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

b)posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

c)posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1) uredbe, za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2) uredbe;

d)osebni podatki so bili obdelani nezakonito;

e)osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom EU ali pravom države članice, ki velja za upravljavca;

f)osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1) uredbe.

Izjemo predstavlja tretji odstavek 17. člena, ki določa, da se prvi odstavek ne uporablja, če je obdelava potrebna:

a)za uresničevanje pravice do svobode izražanja in obveščanja;

b)za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;

c)iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);

d)za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko raziskovalne namene ali statistične namene v skladu s členom 89(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali

e)za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

Splošna uredba torej posameznikom omogoča uveljavljanje pravice do izbrisa pri vseh upravljavcih ne glede na njihovo področje delovanja, vendar ta ni absolutna, ampak njeno uresničevanje poteka v skladu z zgoraj navedenimi pogoji. Ob prejemu vsake zahteve za izbris osebnih podatkov mora upravljavec najprej temeljito preveriti, ali mora dejansko ugoditi zahtevi posameznika in osebne podatke izbrisati ali pa obstajajo drugi razlogi za nadaljnjo hrambo osebnih podatkov, na podlagi katerih se zahtevi za izbris ne more ugoditi. Več informacij o pravici do izbrisa in glede njenega uveljavljanja je dostopnih tudi na spletni strani IP:

https://tiodlocas.si/zelim-izbrisati-svoje-podatke/

IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more presojati ustreznosti posameznih rešitev oziroma ravnanja posameznih zavezancev, ampak to lahko presoja le v okviru konkretnega nadzornega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je primarno vedno na upravljavcu osebnih podatkov. Upravljavec (v konkretnem primeru delodajalec) je torej v vsakem posameznem primeru odgovoren za zakonitost ter sorazmernost obdelav osebnih podatkov, ki jih izvaja. IP pa sklepno povzema, da v kolikor za obdelavo osebnih podatkov delavca ne bi bila podana nobena od v tem mnenju navedenih pravnih podlag, morebitna obdelava njegovih osebnih podatkov ne bi bila zakonita.

Če na podlagi pojasnil IP menite, da je v konkretnem primeru prišlo do kršitve varstva vaših osebnih podatkov, lahko pri IP vložite prijavo. Uporabite lahko (neobvezni) obrazec »Enotna vloga zaradi kršitve varstva osebnih podatkov« (Obrazec VOP prijava), ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

dr. Jelena Virant Burnik, Informacijska pooblaščenka