Posredovanje osebnih podatkov zaposlenega detektivu

Datum

15.05.2023

Številka

07121-1/2023/642

Kategorije

Delovna razmerja, Pogodbena obdelava podatkov, Zavarovalništvo

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da ste v podjetju prejeli dopis detektiva - pooblaščenega zunanjega sodelavca zavarovalnice, ki od vas zahteva informacije v zvezi s prisotnostjo vašega zaposlenega v službi. Zaradi razjasnitve okoliščin škodnega dogodka (prometna nesreča) potrebuje zavarovalnica podatek, ali je bil zaposleni na dan prometne nesreče v službi in od kdaj do kdaj. Sprašujete nas, ali ste mu po Zakonu o zavarovalništvu (ZZavar-1), upoštevajoč določbe ZVOP-2 in GDPR te osebne podatke dolžni posredovati?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Delodajalec na podlagi 268. člena ZZavar-1 zavarovalnici kot upravljavcu osebnih podatkov in posledično detektivu kot njenemu pogodbenemu obdelovalcu ni dolžan posredovati podatkov o delavcu, če gre za podatke o urni prisotnosti na delovnem mestu v določenem obdobju. V vsakem primeru pa bi vam moral detektiv oziroma zavarovalnica po postopku iz 41. člena ZVOP-2 izkazati konkretno pravno podlago z navedbo določb zakona.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Kolikor se pri zbiranju in obdelavi osebnih podatkov s strani detektiva uporablja Splošna uredba, detektiv nastopa v razmerju do zavarovalnice v opisanem primeru v vlogi obdelovalca osebnih podatkov. Zavarovalnica pa nastopa v vlogi upravljavca osebnih podatkov. To pomeni, da detektiv deluje v imenu zavarovalnice, kot njegova »podaljšana roka«. Razmerje morata urediti s pisno pogodbo o obdelavi osebnih podatkov, kjer določita vse podrobnosti glede namenov in načinov obdelave, pogojev varnosti, itd. (člen 28 Splošne uredbe).

Načeloma lahko upravljavec pogodbenemu obdelovalcu naroči izvedbo katerekoli obdelave osebnih podatkov, ki bi jo smel izvajati sam. Zakaj in katere osebne podatke sme obdelovati zavarovalnica pa določa področna zakonodaja.

Vprašati se je torej treba, ali ima zavarovalnica ustrezno pravno podlago, da od vas zahteva podatek o tem, ali je bil zaposleni na dan prometne nesreče v službi in od kdaj do kdaj.

IP je v mnenju št. 0712-1/2017/1608 z dne 17. 8. 2017 (https://www.ip-rs.si/mnenja-zvop/posredovanje-osebnih-podatkov-delavke-zavarovalnici) že zapisal, da zavarovalnica na podlagi 268. člena Zakona o zavarovalništvu (Uradni list RS, št. 93/15, s sprem. in dop.; v nadaljevanju ZZavar-1) sicer lahko iz zbirk podatkov zavarovančevega delodajalca pridobi podatke o dohodkih in zaposlitvi, vendar po mnenju IP »podatki o zaposlitvi« obsegajo kvečjemu podatke o dejstvu, prenehanju, trajanju ter vrsti zaposlitve in podobno, ne pa vse podatke v zvezi z zaposlitvijo, na primer podatke iz evidence prisotnosti na delu. IP je tako izrazil mnenje, da delodajalec na podlagi 268. člena ZZavar-1 ni dolžan zavarovalnici posredovati podatkov o delavcu, če gre za podatke o urni prisotnosti na delovnem mestu v določenem obdobju.

Mnenje je bilo sicer izdano pred uveljavitvijo ZVOP-2, poleg tega se je vmes noveliral tudi ZZavar-1, vendar menimo, da je še vedno relevantno.

Sicer pa vas opozarjamo na določbi 40. in 41. člena ZVOP-2, ki predpisuje postopek posredovanja osebnih podatkov z zahtevo. Posebej poudarjamo, da mora fizična ali pravna oseba, ki želi posredovanje podatkov od vas kot upravljavca osebnih podatkov vašega zaposlenega, izkazati pravno podlago za posredovanje, ki mora biti konkretna in ne sme vsebovati zgolj širokega sklicevanja na zakon, ampak na določbe zakona, ki omogočajo preverjanje ustreznosti pravne podlage.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka

Pripravila

mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov