Dostop zaposlenih do kadrovske evidence

Datum

19.08.2025

Številka

07121-1/2025/1019

Kategorije

Delovna razmerja

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede tega, ali je dopustno, da ima v delovni organizaciji oddelek računovodstva, ki izvaja obračun plač in drugih stroškov dela, dostop do celotne kadrovske evidence zaposlenih.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, 40/25 – ZinfV-1; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Obdelava oziroma dostop do osebnih podatkov znotraj upravljavca (v konkretnem primeru delodajalca) je načeloma stvar odločitve vodstva ter posledično notranje organizacije upravljavca in ureditve v internih aktih.

Če za posamezne zaposlene, izhajajoč iz pogodbe o zaposlitvi, internih navodil, notranje sistemizacije ali drugih internih aktov, izhaja, da za svoje delo v okviru pristojnosti delodajalca neizogibno potrebujejo dostop do določenih osebnih podatkov, potem je dopustno, da se jim ta dostop omogoči in da te svoje dostopne pravice dejansko izvršujejo v okviru svojih delovnih zadolžitev.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

Kot je IP že pojasnil v mnenju št. 07121-1/2024/475, se obdelava osebnih podatkov delavcev s strani (so)delavcev razlikuje od tiste s strani delodajalca kot upravljavca. Upravljavec mora namreč imeti pravno podlago iz prvega odstavka 6. in 9. člena Splošne uredbe, v okviru delovnih razmerij pa je relevanten tudi 48. člen Zakon o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, s spremembami in dopolnitvami). Če ima delodajalec ustrezno pravno podlago za obdelavo osebnih podatkov delavcev, posamezni delavci posebne oziroma dodatne pravne podlage za obdelavo osebnih podatkov drugih (so)delavcev ne potrebujejo.

Nadalje (kot izhaja tudi iz mnenja IP št. 07121-1/2024/1007), je obdelava oziroma dostop do osebnih podatkov znotraj upravljavca načeloma stvar odločitve vodstva ter posledično notranje organizacije upravljavca in ureditve v internih aktih. Poleg tega je treba pri obdelavi osebnih podatkov upoštevati tudi temeljna načela iz 5. člena Splošne uredbe. Navedeni člen v točki (e) uveljavlja načelo najmanjšega obsega podatkov, ki določa, da mora biti obdelava osebnih podatkov omejena na to, kar je potrebno za namene, za katere se ti podatki obdelujejo. To pomeni, da je pri določanju pravic dostopa treba vzeti v obzir naloge, naravo dela in delovne obveznosti posamičnega zaposlenega. Za posamezno vrsto osebnih podatkov je tako treba pretehtati, kateri izmed zaposlenih se morajo seznaniti s temi podatki glede na namene, za katere se obdelujejo. Če tako za posamezne zaposlene, izhajajoč iz pogodbe o zaposlitvi, internih navodil, notranje sistemizacije ali drugih internih aktov, izhaja, da za svoje delo v okviru pristojnosti delodajalca neizogibno potrebujejo dostop do določenih osebnih podatkov, potem je dopustno, da se jim ta dostop omogoči in da te svoje dostopne pravice dejansko izvršujejo v okviru svojih delovnih zadolžitev. Ob tem pa morajo seveda te podatke uporabljati zgolj za ta namen ter jih ne sme razkrivati oziroma z njimi seznanjati nepooblaščenih oseb. V konkretnem primeru bi to pomenilo, da bi moral delodajalec pretehtati, ali računovodski oddelek zares potrebuje dostop do vseh podatkov, ki jih navajate v vašem zaprosilu za mnenje (celotne kadrovske evidence), za namen obračuna plač in stroškov dela.

IP sklepno ponavlja, da izven nadzornih in drugih postopkov ne more presojati konkretne obdelave podatkov, vam pa pojasnjuje, da, v kolikor menite, da je prišlo do neupravičene obdelave vaših osebnih podatkov, lahko pri IP vložite prijavo kršitve varstva osebnih podatkov po elektronski pošti na naslov gp.ip@ip-rs.si, oziroma po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana. IP splošno priporoča, da se prijava pošlje na ustreznem obrazcu.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka