Status detektiva ob nadzornu bolniškega staleža

Datum

31.03.2025

Številka

07121-1/2025/405

Kategorije

Pogodbena obdelava podatkov, Pravne podlage

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede položaja detektiva z vidika varstva osebnih podatkov ob izvajanju nadzora bolniškega staleža.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

V skladu s 4. členom Splošne uredbe pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

Osebni podatki delavcev se lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno z ZDR-1 ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Kontrola bolniškega staleža je v določenih primerih potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja.

Detektiv v skladu s prvim odstavkom 33. člena ZDD-2 opravlja detektivsko dejavnost na podlagi pisnega pooblastila naročnika, iz katerega je razvidno delovno področje iz tega zakona, namen in obseg danega pooblastila. Za opravljanje svoje dejavnosti mora detektiv torej imeti ustrezno pisno pooblastilo naročnika (v konkretnem primeru delodajalca), ki pa ga ne gre enačiti s pogodbo o obdelavi osebnih podatkov.

IP glede na navedeno zaključuje, da se glede vseh možnih obdelav osebnih podatkov, ki jih opravlja detektiv, ni mogoče generalno in enoznačno opredeliti, ali je detektiv v vlogi upravljavca ali obdelovalca, vendar pa tudi glede na dejavnost, ki jo ureja ZDD-2, meni, da je detektiv v delu, kjer zbira podatke na podlagi zakona oziroma sam določa sredstva in namene obdelave ter mu zakon opredeljuje roke hrambe in preostale vidike obdelave osebnih podatkov, načeloma samostojni upravljavec (četudi v povezavi z omejitvami iz pooblastila naročnika). Na drugi strani pa IP meni, da je detektiv v delu, kjer obdeluje osebne podatke zgolj po navodilu in v imenu upravljavca, načeloma pogodbeni obdelovalec.

Obrazložitev

IP uvodoma pojasnjuje, da v skladu s 4. členom Splošne uredbe pojem »upravljavec« pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave, pojem »obdelovalec« pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

Pogodbeni obdelovalci so tiste organizacije oziroma posamezniki, ki po naročilu določenega upravljavca osebnih podatkov in v skladu z njegovimi zahtevami za določeno nalogo oziroma namen zanj obdelujejo osebne podatke posameznikov. IP poudarja, da je bistvenega pomena dejstvo, da lahko obdelovalec osebne podatke obdeluje zgolj za namene, za katere ga je pooblastil upravljavec in torej osebnih podatkov ne obdeluje za lastne namene. V vlogi obdelovalca bo tako nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala izključno v imenu in za račun upravljavca osebnih podatkov, bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter bo v zvezi s samimi dejanji obdelave vezana na navodila upravljavca.

Za določitev medsebojnega razmerja so torej bistvene vloge posameznih subjektov pri pridobivanju podatkov, določanju namenov in sredstev obdelave ter izvrševanju pravic posameznikov, katerih podatki se obdelujejo. Za razlikovanje med upravljavcem in obdelovalcem osebnih podatkov je tako ključno, da je obdelovalec samostojna, od upravljavca ločena pravna entiteta, in da osebne podatke vselej obdeluje le v imenu in za račun upravljavca. Gre torej za primere, ko upravljavec, ki bi posamezne aktivnosti v zvezi z osebnimi podatki lahko izvedel sam, sprejme odločitev, da jih bo iz različnih razlogov zaupal obdelovalcu. Ker slednji dela v imenu in za račun upravljavca, je eden pomembnih elementov razmerja med njima tudi nadzor upravljavca nad obdelavo osebnih podatkov, ki jo zanj izvaja obdelovalec.

Razmerje med upravljavcem in obdelovalcem ureja 28. člen Splošne uredbe, kjer je  določeno, da obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca.

IP poudarja, da v okviru mnenja ne more presojati konkretnih obdelav osebnih podatkov. Presojo o ustreznosti lahko izvede le v okviru konkretnega nadzornega ali upravnega postopka. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo je na vsakem upravljavcu (oziroma obdelovalcu) posebej. Ob tem IP posebej poudarja, da v skladu z drugo točko 4. člena Splošne uredbe obdelava pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje. Iz navedenega sledi, da tudi sam vpogled že pomeni obdelavo osebnih podatkov.

IP pojasnjuje, da lahko detektiv opravlja dejavnosti na področjih, ki so določena z Zakonom o detektivski dejavnosti (Uradni list RS, št. 95/24; v nadaljevanju: ZDD-2). Detektiv v skladu s prvim odstavkom 33. člena ZDD-2 opravlja detektivsko dejavnost na podlagi pisnega pooblastila naročnika, iz katerega je razvidno delovno področje iz tega zakona, namen in obseg danega pooblastila. Za opravljanje svoje dejavnosti mora detektiv torej imeti ustrezno pisno pooblastilo naročnika (v konkretnem primeru delodajalca), ki pa ga ne gre enačiti s pogodbo o obdelavi osebnih podatkov.

IP splošno pojasnjuje, da glede obdelave osebnih podatkov delavcev veljajo načeloma enaka pravila za delodajalce v zasebnem in javnem sektorju, pri čemer so za ugotavljanje zakonitosti konkretne obdelave pomembni posamezni področni predpisi. Zakon o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 - ZIUPOPDVE, 119/21 - ZČmlS-A, 202/21 - odl. US, 15/22, 54/22 – ZUPŠ-1, 114/23, 136/23 – ZIUZDS; v nadaljevanju: ZDR-1) v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

IP nadalje pojasnjuje, da je kontrola bolniškega staleža v določenih primerih potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja. Določba 8. alineje prvega odstavka 110. člena ZDR-1 namreč predpisuje, da lahko delodajalec delavcu izredno odpove pogodbo o zaposlitvi, če delavec v času odsotnosti z dela zaradi bolezni ali poškodbe ne spoštuje navodil pristojnega zdravnika ali zdravstvene komisije ali če v tem času opravlja pridobitno delo ali če brez odobritve pristojnega zdravnika ali zdravstvene komisije odpotuje iz kraja svojega bivanja. Kontrolo bolniškega staleža in s tem povezano obdelavo osebnih podatkov delavcev lahko delodajalec izvaja sam, lahko pa za kontrolo najame detektiva, saj v skladu z 9. točko drugega odstavka 34. člena ZDD-2 sodi v detektivovo delovno področje tudi pridobivanje informacij o zlorabah pravice do zadržanosti z dela zaradi bolezni ali poškodbe, zlorabah uveljavljanja pravice do povračila stroškov prevoza na delo in z dela, dela pod vplivom alkohola ali prepovedanih drog ter o drugih disciplinskih kršitvah in kršilcih v skladu z zakonodajo, ki ureja delovna razmerja.

Na podlagi 33. člena ZDD-2 torej detektiv opravlja detektivsko dejavnost na podlagi pisnega pooblastila naročnika, iz katerega je razvidno delovno področje iz tega zakona, namen in obseg danega pooblastila. Detektiv opravlja dejavnost vročanja sodnih pisanj na podlagi odredbe sodišča. V primeru sklenjene pogodbe med detektivom in naročnikom mora biti pooblastilo priloga pogodbe. Naročnik lahko na detektiva prenese samo tiste pravice, ki jih ima sam. Pravica detektiva za pridobivanje informacij in podatkov izhaja torej iz naročnikovega naročila, kar pomeni, da detektiv nima pravice samostojno zbirati, obdelovati, shranjevati in uporabljati informacij in podatkov, za katere ga naročnik ni pisno pooblastil. Upravljavec (v konkretnem primeru delodajalec) tako ne more preko detektiva pridobivati osebnih podatkov, za obdelavo katerih sam nima pravne podlage. Pooblastilo za pridobivanje osebnih podatkov preko detektiva je torej možno zgolj v obsegu, za katerega ima sam upravljavec pravno podlago.

Ob tem pa IP opozarja, da ne gre prezreti, da ima detektiv samostojna upravičenja, ki mu jih podeljuje zakon, določena pa so v 35. členu ZDD-2:

·       pridobivanje podatkov od oseb ali iz javno dostopnih virov; 

·       pridobivanje podatkov iz evidenc;

·       pridobivanje podatkov z osebno zaznavo;

·       uporaba tehničnih sredstev.

V zvezi s pridobivanjem podatkov od oseb prvi odstavek 36. člena ZDD-2 določa, da detektiv lahko pridobiva informacije neposredno od osebe, na katero se podatki nanašajo, in od drugih oseb, ki s podatki razpolagajo, če so jih pripravljene dati prostovoljno, ter iz javno dostopnih virov. Drugi odstavek istega člena pa nato določa, da ima detektiv ne glede na prejšnji odstavek v okviru pooblastila naročnika za izvedbo nadzora zaradi ugotavljanja zlorabe pravice do zadržanosti z dela zaradi bolezni ali poškodbe pravico pridobiti navodilo o ravnanju osebe pod nadzorom v času zadržanosti od dela. Detektiv se pri pridobivanju navodila ne sme seznaniti z drugimi podatki zdravstvene dokumentacije, ki se nanašajo na osebo pod nadzorom. V tretjem odstavku 36. člena ZDD-2 je določeno še, da je pristojni osebni zdravnik navodilo o ravnanju osebe pod nadzorom v času zadržanosti od dela dolžan detektivu posredovati v treh delovnih dneh od prejema detektivove pisne zahteve. Detektiv mora zahtevi priložiti tudi fotokopijo pisnega pooblastila.

V skladu z navedenim torej delodajalec oziroma v njegovem imenu detektiv lahko pridobi podatke o bolniškem režimu delavca (navodila zdravnika o ravnanju - morebitnem strogem počitku ali dopustnem gibanju) med bolniško odsotnostjo in podatek o predvidenem času odsotnosti, ker brez njih ne more ukrepati ob sumu zlorabe bolniškega staleža in organizirati dela oziroma zagotoviti nadomeščanja odsotnega delavca.

IP glede na navedeno zaključuje, da se glede vseh možnih obdelav osebnih podatkov, ki jih opravlja detektiv, ni mogoče generalno in enoznačno opredeliti, ali je detektiv v vlogi upravljavca ali obdelovalca.  vendar pa tudi glede na dejavnost, ki jo ureja ZDD-2, meni, da je detektiv v delu, kjer zbira podatke na podlagi zakona oziroma sam določa sredstva in namene obdelave ter mu zakon opredeljuje roke hrambe in preostale vidike obdelave osebnih podatkov, načeloma samostojni upravljavec (četudi v povezavi z omejitvami iz pooblastila naročnika). Na drugi strani pa IP meni, da je detektiv v delu, kjer obdeluje osebne podatke zgolj po navodilu in v imenu upravljavca, načeloma pogodbeni obdelovalec. IP tako meni, da glede statusa detektiva ni mogoče podati enotnega odgovora in posebej poudarja, da ima detektiv torej lahko tako status samostojnega upravljavca kot obdelovalca in da je treba ta status vselej presojati glede na konkretne osebne podatke, ki se obdelujejo, ter glede na namene njihove obdelave. Ob tem IP ponovno poudarja, da v okviru mnenja ne more presojati konkretnih obdelav osebnih podatkov in da presojo o ustreznosti lahko izvede le v okviru konkretnega nadzornega ali upravnega postopka.

Več informacij o pogodbeni obdelavi vsebujejo Smernice o pogodbeni obdelavi, ki jih je sprejel in na svoji spletni strani objavil IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_pogodbeni_obdelavi_web.pdf

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca I

dr. Jelena Virant Burnik, Informacijska pooblaščenka