- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Ravnanje delodajalca
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Ravnanje delodajalca
Datum
26.09.2023
Številka
07121-1/2023/1213
Kategorije
Delovna razmerja, Pravica do izbrisa - pozabe, Pravica do seznanitve z lastnimi osebnimi podatki
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede ravnanja vašega delodajalca.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Osebni podatki delavcev se lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno z ZDR-1 ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.
Izbor ustrezne pravne podlage za posamezno obdelavo je stvar ocene konkretnih okoliščin, odgovornost za izbiro pa nosi upravljavec (v konkretnem primeru delodajalec).
Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in določene informacije.
Splošna uredba posameznikom omogoča uveljavljanje pravice do izbrisa pri vseh upravljavcih ne glede na njihovo področje delovanja, vendar ta ni absolutna, ampak njeno uresničevanje poteka v skladu z določbami 17. člena Splošne uredbe.
Obrazložitev
IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja, ki ste ga opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.
IP nadalje pojasnjuje, da mora vsaka obdelava osebnih podatkov potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:
(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.
Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
Čeprav ZVOP-2 razlikuje med javnim in zasebnim sektorjem, je področje delovnega prava specialno urejeno za oba sektorja v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmlS-A, 202/21 – odl. US, 15/22, 54/22 – ZUPŠ-1) in Zakonu o evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06). Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje, zaradi česar na tem področju praviloma niti v zasebnem sektorju ne dopušča avtonomije strank v smislu, da bi delodajalec lahko brez podlage v zakonu od delavca zahteval katerekoli osebne podatke ali jih obdeloval na drugi pravni podlagi (npr. privolitev, pogodba, …). Delavec lahko namreč tudi na delovnem mestu utemeljeno pričakuje določeno stopnjo zasebnosti.
ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.
Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, zakaj je potrebna takšna obdelava (v konkretnem primeru posredovanje) osebnih podatkov delavca. Pri tem mora delodajalec v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost. Delodajalec mora torej paziti tudi na spoštovanje zasebnosti in dostojanstva delavca, odgovornost delodajalca pa narašča z intenzivnostjo posega v zasebnost. Če okoliščine delovnega razmerja tega ne terjajo oziroma če delodajalec ne izkaže, da je obdelava osebnih podatkov delavca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih ne sme obdelovati.
Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.
IP tako povzema, da je za vsako obdelavo osebnih podatkov treba torej najprej zagotoviti ustrezno pravno podlago. Izbor ustrezne pravne podlage za posamezno obdelavo je stvar ocene konkretnih okoliščin, odgovornost za izbiro pa nosi upravljavec (v konkretnem primeru delodajalec). Delodajalec mora torej zagotoviti zakonitost obdelave osebnih podatkov o zaposlenih. V konkretnem primeru bi moral torej izkazati, da mu posredovanje navedenih podatkov nalaga zakon oziroma da je posredovanje potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.
IP dodatno pojasnjuje, da je o vprašanjih glede relacije delodajalec - zaposleni obširno pisal v smernicah Varstvo osebnih podatkov v delovnih razmerjih. Smernice so dostopne na spletni strani IP:
https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf
P pojasnjuje, da Splošna uredba v 15. členu ureja pravico do dostopa oziroma do seznanitve z lastnimi osebnimi podatki. Tako v prvem odstavku določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:
a) namene obdelave;
b) vrste zadevnih osebnih podatkov;
c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;
d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;
e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;
f) pravico do vložitve pritožbe pri nadzornem organu;
g) kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;
h) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4) Splošne uredbe (EU) o varstvu podatkov, ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.
Zahteva se vloži pri upravljavcu, za katerega posameznik meni, da obdeluje njegove osebne podatke. Rok za odločitev upravljavca je en mesec od prejema zahteve. Zoper molk upravljavca ali zoper njegov zavrnilni odgovor je mogoča pritožba, za reševanje katere je pristojen IP. Pritožbo zaradi zavrnitve je treba vložiti v 15 dneh od prejema odgovora.
IP vam svetuje, da pri delodajalcu podate zahtevo za seznanitev z lastnimi osebnimi podatki in počakate na njegov odgovor oziroma na potek roka za odgovor. IP svetuje tudi, da v zahtevi čim bolj natančno opredelite, kaj v zvezi z vašimi osebnimi podatki vas posebej zanima (kot ste to opredelili v zaprosilu, ki ste nam ga poslali). Za podrobnejše informacije v zvezi z navedeno pravico in kako jo uveljavljati, vas napotujemo na našo spletno stran, kjer lahko najdete tudi (neobvezujoč) obrazec zahteve:
https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/.
Iz informacij, ki jih boste pridobili na podlagi 15. člena Splošne uredbe, naj bi bilo razvidno, ali delodajalec osebne podatke obdeluje na zakoniti pravni podlagi.
Od delodajalca lahko zahtevate tudi izbris vaših osebnih podatkov, če menite, da ne obstajajo razlogi za njihovo nadaljnjo obdelavo. O tej zahtevi mora delodajalec odločiti ob upoštevanju določil 17. člena Splošne uredbe, ki pravico do izbrisa (»pravico do pozabe«) ureja v 17. členu. V prvem odstavku tega člena določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:
i) osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;
j) posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava in kadar za obdelavo ne obstaja nobena druga pravna podlaga;
k) posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1) uredbe, za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2) uredbe;
l) osebni podatki so bili obdelani nezakonito;
m) osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom EU ali pravom države članice, ki velja za upravljavca;
n) osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1) uredbe.
Izjemo predstavlja tretji odstavek 17. člena, ki določa, da se prvi odstavek ne uporablja, če je obdelava potrebna:
a)za uresničevanje pravice do svobode izražanja in obveščanja;
b)za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;
c)iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);
d)za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinsko raziskovalne namene ali statistične namene v skladu s členom 89(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali
e)za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.
Splošna uredba torej posameznikom omogoča uveljavljanje pravice do izbrisa pri vseh upravljavcih ne glede na njihovo področje delovanja, vendar ta ni absolutna, ampak njeno uresničevanje poteka v skladu z zgoraj navedenimi pogoji. Ob prejemu vsake zahteve za izbris osebnih podatkov mora upravljavec najprej temeljito preveriti, ali mora dejansko ugoditi zahtevi posameznika in osebne podatke izbrisati ali pa obstajajo drugi razlogi za nadaljnjo hrambo osebnih podatkov, na podlagi katerih se zahtevi za izbris ne more ugoditi.
IP sklepno ponavlja, da v okviru mnenja ne more dokončno presojati, ali je v konkretnem primeru dejansko šlo za kršitev varstva osebnih podatkov.
V kolikor menite, da so vam bile kršene vaše pravice v zvezi z varstvom osebnih podatkov, lahko pri IP vložite prijavo po elektronski pošti na naslov gp.ip@ip-rs.si, oz. po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana. To lahko storite tudi preko obrazca, ki je dostopen na spletni strani IP:
https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave
Lepo vas pozdravljamo.
Pripravil:
Matej Sironič,
Svetovalec pooblaščenca za varstvo osebnih podatkov
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka