Vpogled nadrejene v plačilno listo

Datum

14.01.2025

Številka

07121-1/2025/24

Kategorije

Delovna razmerja

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede vpogleda nadrejene v vašo plačilno listo.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Upoštevajoč določbe ZDR-1 lahko delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Delodajalec mora v skladu z 32. členom Splošne uredbe zagotoviti ustrezne tehnične in organizacijske postopke in ukrepe, s katerimi bo preprečil nepooblaščeno obdelavo, uničenje, izgubo ali spremembo osebnih podatkov. V svojih aktih mora predpisati postopke in ukrepe za zavarovanje osebnih podatkov, določiti osebe, ki so odgovorne za posamezne zbirke osebnih podatkov ter osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako v okviru mnenja ne more presojati ustreznosti konkretnega ravnanja, ki ga navajate v vašem zaprosilu za mnenje, ampak v nadaljevanju podaja splošna pojasnila.

IP splošno pojasnjuje, da mora vsaka obdelava osebnih podatkov potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Izbor ustrezne pravne podlage za posamezno obdelavo je obveznost upravljavca (v konkretnem primeru delodajalca), ki mora pri tem upoštevati konkretne okoliščine in namene obdelave. IP splošno pojasnjuje, da glede obdelave osebnih podatkov delavcev veljajo načeloma enaka pravila za delodajalce v zasebnem in javnem sektorju, pri čemer so za ugotavljanje zakonitosti konkretne obdelave pomembni posamezni področni predpisi, zlasti Zakon o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 - ZIUPOPDVE, 119/21 - ZČmlS-A, 202/21 - odl. US, 15/22, 54/22 – ZUPŠ-1, 114/23, 136/23 – ZIUZDS; v nadaljevanju: ZDR-1) in Zakon o evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06, 50/23). ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, zakaj je potrebna takšna obdelava osebnih podatkov delavca. Pri tem mora delodajalec v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost. Delodajalec mora torej paziti tudi na spoštovanje zasebnosti in dostojanstva delavca, odgovornost delodajalca pa narašča z intenzivnostjo posega v zasebnost.

Če okoliščine delovnega razmerja tega ne terjajo oziroma če delodajalec ne izkaže, da je obdelava osebnih podatkov delavca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih načeloma ne sme obdelovati. IP ob tem dodaja, da delodajalcu zakon eksplicitno ne predpisuje, katere podatke o plačilnih listah lahko posreduje drugim zaposlenim znotraj delodajalca, zato mora obseg teh podatkov določiti glede na to, kateri podatki so potrebni zaradi uresničevanja pravic in obveznosti iz delovnega razmerja v konkretnem primeru. Ob tem mora upoštevati načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov zaposlenih, kolikor je nujno potrebno za izpolnitev namena v konkretnem primeru.

IP ponavlja, da zaposleni tudi na delovnem mestu upravičeno pričakuje določeno stopnjo zasebnosti. Ob tem IP izpostavlja, da mora delodajalec v skladu z 32. členom Splošne uredbe zagotoviti ustrezne tehnične in organizacijske postopke in ukrepe, s katerimi bo preprečil nepooblaščeno obdelavo, uničenje, izgubo ali spremembo osebnih podatkov. V svojih aktih mora predpisati postopke in ukrepe za zavarovanje osebnih podatkov, določiti osebe, ki so odgovorne za posamezne zbirke osebnih podatkov ter osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne podatke. Delodajalec mora torej zagotoviti zakonitost obdelave osebnih podatkov o zaposlenih s strani podjetja. V okviru ukrepov zavarovanja osebnih podatkov mora med drugim zagotoviti tudi, da do podatkov ne dostopajo nepooblaščene osebe.

Iz navedenega izhaja, da predstavlja razkritje osebnih podatkov (v konkretnem primeru plačilne liste) zaposlenega obdelavo osebnih podatkov, za katero mora imeti delodajalec kot upravljavec ustrezno pravno podlago. Razkritje osebnih podatkov, ki so del plačilne liste, brez ustrezne pravne podlage v zakonu bi lahko torej predstavljalo kršitev določb predpisov s področja varstva osebnih podatkov. Izbira ustrezne pravne podlage za obdelavo osebnih podatkov, upoštevajoč konkretne okoliščine in namen obdelave, pa je vedno odgovornost in obveznost upravljavca (v konkretnem primeru delodajalca).

IP sklepno ponavlja, da v okviru neobvezujočega mnenja ne more dokončno presojati, ali je v konkretnem primeru dejansko šlo za kršitev varstva osebnih podatkov. V kolikor menite, da je prišlo do neupravičene obdelave vaših osebnih podatkov, lahko pri IP vložite prijavo kršitve varstva osebnih podatkov po elektronski pošti na naslov gp.ip@ip-rs.si, oziroma po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana. IP splošno priporoča, da se prijave pošljejo na ustreznem obrazcu.

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka