Izdaja računa

Datum

04.05.2023

Številka

07121-1/2023/589

Kategorije

Delovna razmerja

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede uporabe osebnega imena na izdanem računu.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

Obvezne sestavine računov, ki jih mora davčni zavezanec navesti na računih, ki jih izda, določene v 82. in 83. členu Zakona o davku na dodano vrednost (ZDDV-1).

Osebni podatki delavcev se v skladu z 48. členom ZDR-1 lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Osebni podatki, ki se obdelujejo, morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

Presojo o ustreznosti obdelave osebnih podatkov v konkretnem primeru IP lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja, ki ste ga opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP nadalje pojasnjuje, da mora vsaka obdelava osebnih podatkov potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

IP pojasnjuje, da so obvezne sestavine računov, ki jih mora davčni zavezanec navesti na računih, ki jih izda, določene v 82. in 83. členu Zakona o davku na dodano vrednost (ZDDV-1; Uradni list RS, št. 13/11–UPB, 18/11, 78/11, 38/12, 83/12, 86/14, 90/15, 77/18, 59/19, 72/19, 196/21 – ZDOsk, 3/22, 29/22 – ZUOPDCE, 40/23 – ZDavPR-B) - v nad. ZDDV-1), pri čemer v navedenih členih ni navedeno, da je ime in priimek blagajnika sestavni del računa. Dodatne sestavine računa, izdanega z uporabo elektronske naprave za izdajo računov, določa 5. člen Zakona o davčnem potrjevanju računov (Uradni list RS, št. 57/15, 69/17, 3/22 – ZDDV-1M, 40/23; v nadaljevanju: ZDavPR), v skladu s katerim mora račun vsebovati še naslednje podatke: čas izdaje računa (uro in minute), oznako fizične osebe, ki izda račun z uporabo elektronske naprave za izdajo računov, enkratno identifikacijsko oznako računa in zaščitno oznako izdajatelja računa. Drugi odstavek 5. člena ZDavPR nadalje določa, da mora zavezanec povezati oznako fizične osebe, ki izda račun z uporabo elektronske naprave iz 2. točke prvega odstavka tega člena, z davčno številko te osebe, davčna številka osebe, ki je izdala račun, pa se pošlje davčnemu organu kot podatek o računu iz 6. točke drugega odstavka 6. člena tega zakona v postopku potrditve računa. Davčna številka fizične osebe, ki izda račun z uporabo elektronske naprave, je torej eden od podatkov, ki jih mora zavezanec sporočiti davčnemu organu, ti podatki pa se lahko obdelujejo samo za namene preverjanja zakonitosti zaposlitve in dela ter nadzora pravilnosti obračuna davkov in prispevkov (tretji odstavek 6. člena ZDavPR). Iz navedenih zakonskih določb tako izhaja, da ime in priimek fizične osebe, ki izda račun z uporabo elektronske naprave za izdajo računov, ni obvezna sestavina računa, v nasprotnem primeru bi bilo to namreč izrecno zakonsko določeno. IP tudi ni poznana nobena druga pravna podlaga, ki bi kot obvezni sestavni del računa določala osebne podatke, ki jih navajate v vašem zaprosilu za mnenje.

IP nadalje pojasnjuje, da je, čeprav ZVOP-2 razlikuje med javnim in zasebnim sektorjem, področje delovnega prava specialno urejeno za oba sektorja v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmlS-A, 202/21 – odl. US, 15/22, 54/22 – ZUPŠ-1; v nadaljevanju: ZDR-1) in Zakonu o evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06). Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje, zaradi česar na tem področju praviloma niti v zasebnem sektorju ne dopušča avtonomije strank v smislu, da bi delodajalec lahko brez podlage v zakonu od delavca zahteval katerekoli osebne podatke ali jih obdeloval na drugi pravni podlagi (npr. privolitev, pogodba, …). Delavec lahko namreč tudi na delovnem mestu utemeljeno pričakuje določeno stopnjo zasebnosti, delodajalec pa mora v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost.

ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, za kaj takšne osebne podatke potrebuje. Če okoliščine delovnega razmerja tega ne terjajo oziroma če delodajalec ne izkaže, da je obdelava osebnih podatkov delavca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih ne sme obdelovati.

IP ob tem poudarja, da je eno temeljnih načel varstva osebnih podatkov načelo najmanjšega obsega podatkov, ki določa, da morajo biti osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je treba obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave. V konkretnem primeru bi moral torej upravljavec (vaš delodajalec) izkazati, zakaj je za dosego želenega namena (izdaja računa) treba obdelovati tudi podatke, ki jih navajate v vašem zaprosilu za mnenje.

IP vsekakor priporoča, da se na račune po nepotrebnem ne zapisuje tistih osebnih podatkov, ki niso obvezni v skladu s področnimi predpisi ali sicer nujno potrebni. Ne more pa IP v okviru mnenja presojati, ali gre v konkretnem primeru za kakršnokoli kršitev, saj presojo o ustreznosti obdelave osebnih podatkov v konkretnem primeru lahko izvede le v okviru konkretnega inšpekcijskega ali upravnega postopka.

IP sklepno povzema, da je za vsako obdelavo osebnih podatkov treba torej najprej zagotoviti ustrezno pravno podlago. Izbor ustrezne pravne podlage za posamezno obdelavo je stvar ocene konkretnih okoliščin, odgovornost za izbiro pa nosi upravljavec ( v konkretnem primeru delodajalec).

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka