Varovanje osebnih podatkov zaposlenih

Datum

06.03.2023

Številka

07121-1/2023/313

Kategorije

Delovna razmerja, Pogodbena obdelava podatkov, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da ste manjše zasebno podjetje (ki zaposluje manj kot 50 ljudi), vodje služb opravljajo svojo funkcijo preko lastnih s.p., vaše podjetje pa ima z njimi sklenjene pogodbe o sodelovanju. V okviru svoje funkcije dostopajo tudi do osebnih podatkov vaših zaposlenih. Področje bi želeli urediti tako, da bi z njimi v pogodbi uredili varovanje osebnih podatkov in v internem aktu opredelili kdo lahko dostopa do katerih podatkov in na kakšen način. Sprašujete, ali bi to zadoščalo.

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Odvisno od pogodbene ureditve sodelovanja zunanjih sodelavcev (npr. pogodba o zaposlitvi, pogodba o opravi storitve s strani s.p.) je upravljavec v vsakem primeru dolžan poskrbeti za izvajanje vseh ukrepov varovanja osebnih podatkov s strani oseb, ki v njegovem imenu obdelujejo osebne podatke. Izbor primernega načina je odgovornost upravljavca, npr. določba v pogodbi o zaposlitvi ali drugi pogodbi o opravi storitve s strani s.p., dodatni ukrepi predpisani v internih aktih ali izpolnjevanje zahtev iz 28. člena Splošne uredbe v primeru najema pogodbenega obdelovalca.

Predlagamo vam, da glede na konkretne okoliščine presodite, ali gre v konkretnem primeru za pogodbenega obdelovalca ali pa za izvajanje storitev, katerih primarni namen ni obdelava osebnih podatkov. Pomagate si lahko s Smernicami IP, v katerih so merila za presojo pogodbene obdelave podrobneje razložena.

Obrazložitev

Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Na podobno vprašanje, kot je vaše, je IP že odgovarjal v nezavezujočem mnenju št. 07121-1/2023/213 z dne 17. 2. 2023. Do mnenj lahko dostopate s pomočjo iskalnika na www.ip-rs.si/vop.

Kot izhaja iz mnenja, je upravljavec, odvisno od pogodbene ureditve sodelovanja zunanjih sodelavcev (npr. pogodba o zaposlitvi, pogodba o opravi storitve s strani s.p.), v vsakem primeru dolžan poskrbeti za izvajanje vseh ukrepov varovanja osebnih podatkov s strani oseb, ki v njegovem imenu obdelujejo osebne podatke. Izbor primernega načina je odgovornost upravljavca, npr. določba v pogodbi o zaposlitvi ali drugi pogodbi o opravi storitve s strani s.p., dodatni ukrepi predpisani v internih aktih ali izpolnjevanje zahtev iz 28. člena Splošne uredbe v primeru najema pogodbenega obdelovalca.

Predlagamo vam, da preverite, ali gre v vašem primeru morda za pogodbeno obdelavo, glede katere bi morali skleniti pogodbo oz. drug dogovor o pogodbeni obdelavi. Kadar upravljavec sam določa sredstva in namene obdelave osebnih podatkov, konkretno obdelavo osebnih podatkov pa prepusti drugem subjektu – obdelovalcu, pri čemer lahko obdelovalec osebne podatke obdeluje le skladno z njegovimi navodili, gre po Splošni uredbi za pogodbeno obdelavo osebnih podatkov. V katerih okoliščinah gre za pogodbeno obdelavo osebnih podatkov, lahko preverite s pomočjo meril, ki so podrobneje pojasnjena v Smernicah IP o pogodbeni obdelavi, ki so dostopne na: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/smernice-o-pogodbeni-obdelavi. Nekaj informacij o pogodbeni obdelavi lahko preberete tudi na spletni strani IP: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/pogodbena-obdelava.

V vlogi obdelovalca bo nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala: 1. izključno v imenu in za račun upravljavca osebnih podatkov, 2. bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter 3. bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca. Če boste presodili, da gre za pogodbeno obdelavo osebnih podatkov, morate upoštevati določbo 28. člena Splošne uredbe, ki določa minimalni obseg sestavin, ki jih mora vsebovati pisen dogovor. Splošna uredba ne zahteva sklenitev posebne pogodbe, obveznosti lahko uredite tudi z drugim pravnim aktom (dogovorom, sporazumom, itd.). Pomagate si lahko tudi s standardnimi pogodbenimi določili, ki so dostopna na zgoraj citirani spletni strani IP.

Če gre v vašem primeru za zagotavljanje storitev, pri katerih bi sicer lahko prišlo do razkritja osebnih podatkov, ni pa obdelava osebnih podatkov primarni namen storitve, potem verjetno ne bo šlo za pogodbeno obdelavo osebnih podatkov. O varnosti osebnih podatkov se v tem primeru lahko dogovorita na drug način, kot smo uvodoma izpostavili (npr. v okviru pogodbe o opravi storitve). Za obdelavo osebnih podatkov pa bi šlo recimo v primeru, ko bi zunanji sodelavec dejansko opravljal naloge kadrovanja oz. kadrovske agencije (vodenje evidenc o zaposlenih po zakonu, izbirni postopki, obračunavanje plač, itd.).

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo