Posredovanje OP strankam podjetja

Datum

21.02.2023

Številka

07121-1/2023/232

Kategorije

Delovna razmerja, Pravica do seznanitve z lastnimi osebnimi podatki

Pri Informacijskem pooblaščencu (IP) smo dne 3. 2. 2023 prejeli vaš dopis, v katerem nas seznanjate, da ste zaposleni kot varnostnik, ki v sklopu svojih delovnih nalog pri strankah podjetja pobira denar. Pojasnjujete nam, da je podjetje, kjer delate, vsem svojim strankam poslalo seznam oseb, ki so pooblaščene za pobiranje denarja, ta pa vsebuje podatke o imenu in priimku; naslovu; letnici rojstva; EMŠO in davčni številki. Zanima vas, ali je tako posredovanje OP skladno s predpisi?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

1.Pošiljanje in posredovanje osebnih podatkov vsakomur za kakršenkoli namen ni dovoljen.

2.Ob zagotovitvi ustrezne pravne podlage, se lahko obdeluje le toliko osebnih podatkov, kolikor je potrebno in nujno za doseg zakonitega in legitimnega namena.

Obrazložitev

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more in ne sme presojati. V mnenju lahko zato podamo zgolj splošna pojasnila z vidika varstva osebnih podatkov, ne moremo pa presojati ustreznosti konkretnega ravnanja posameznih upravljavcev.

V zvezi z vašim vprašanjem pa najprej poudarjamo, da mora za zakonito obdelavo osebnih podatkov vedno obstajati ustrezna pravna podlaga . Pravne podlage za obdelavo osebnih podatkov so splošno urejene v 6. členu Splošne uredbe, kjer je določeno, da je obdelava zakonita:

-če je podana privolitev posameznika;

-če je obdelava potrebna za izvajanje pogodbe;

-za izpolnitev zakonske obveznosti upravljavca;

-za zaščito življenjskih interesov posameznika;

-zaradi javnega interesa ali

-zakonitih interesov upravljavca (vse pod določenimi strogimi pogoji).

V zvezi s tem izpostavljamo, da praviloma pravno podlago za obdelavo podatkov delavca v kontekstu delovnih razmerij lahko predstavlja Zakon o delovnih razmerjih (Uradni list RS, št. 21/13, s spremembami in dopolnitvami; v nadaljevanju: ZDR-1). Na podlagi prvega odstavka 48. člena ZDR-1 se osebni podatki delavcev namreč lahko zbirajo, obdelujejo, uporabljajo in dostavljajo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Navedena določba naj bi omejevala delodajalca pri zbiranju, omejitvi namenov in nadaljnji obdelavi delavčevih osebnih podatkov, ki niso potrebni za izvajanje pogodbe o zaposlitvi.

Na podlagi informacij, ki ste te nam jih posredovali, sicer ni moč ugotoviti, katerim strankam in s katerimi nameni so bili osebni podatki razkriti, zato v zvezi s tem IP lahko pojasni le, da vsekakor pošiljanje osebnih podatkov vsakomur za kakršenkoli namen ni dovoljen. Upravljavec mora za kakršnokoli obdelavo osebnih podatkov izkazati ustrezno pravno podlago in ob pogoju, da je ta izkazana, zagotoviti tak obseg obdelave osebnih podatkov (katere podatke bo posredoval in komu), da bo obdeloval le tiste podatke, ki so nujno potrebni zaradi uresničevanja pravic in obveznosti iz delovnega razmerja v konkretnem primeru. Pri teh presojah mora upravljavec tako vedno izhajati iz načela najmanjšega obsega podatkov, na podlagi katerega morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo. Delodajalec lahko namreč obdeluje izključno le toliko podatkov, kolikor je potrebno in nujno za doseg zakonitega in legitimnega namena.

IP sklepno ponavlja, da v okviru mnenja ne more dokončno presojati, ali je v konkretnem primeru, ki ga navajate dejansko šlo za kršitev varstva osebnih podatkov.

Pri tem pa še pojasnjujemo, da se lahko vsak posameznik vedno obrne na upravljavca osebnih podatkov (v vašem primeru na vašega delodajalca) ter pri njem uveljavlja svojo pravico do seznanitve z lastnimi osebnimi podatki po 15. členu Splošne uredbe. Prvi odstavek 15. člena Splošne uredbe tako določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in informacije, kot so nameni obdelave, pravna podlaga za obdelavo, predvideno obdobje hrambe, uporabniki osebnih podatkov, itd. Več informacij o pravici do seznanitve z lastnimi osebnimi podatki in glede njenega uveljavljanja je dostopnih tudi na naši spletni strani: https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/ in v številnih naših že objavljenih mnenjih (npr. mnenje IP št. 07121-1/2022/628 z dne 8. 6. 2022).

Zahteva za seznanitev z lastnimi osebnimi podatki se vloži pri upravljavcu, za katerega posameznik meni, da obdeluje njegove osebne podatke (v vašem primeru na podjetje oz. izvajalca, ki zagotavlja sistem kontrole pristopa). IP svetuje, da v zahtevi jasno opredelite, katere informacije želite od upravljavca pridobiti, npr. namene obdelave; kateri podatki se obdelujejo; uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki itd. Rok za odločitev upravljavca je en mesec od prejema zahteve. Zoper molk upravljavca ali zoper njegov zavrnilni odgovor je mogoča pritožba, za reševanje katere je pristojen IP. Pritožbo zaradi zavrnitve je treba vložiti v 15 dneh od prejema odgovora oz. po preteku enomesečnega roka, v kolikor upravljavec na vašo zahtevo ne odgovori.

Ob tem še pojasnjujemo, da Splošna uredba o varstvu podatkov v 77. členu določa, da ima brez poseganja v katero koli drugo upravno ali pravno sredstvo vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo. Nadzorni organ v RS je Informacijski pooblaščenec, ki je v skladu z 2. členom ZInfP samostojen in neodvisen državni organ, pristojen za inšpekcijski nadzor nad izvajanjem zakona in drugih predpisov, ki urejajo varstvo ali obdelavo osebnih podatkov oziroma iznos osebnih podatkov iz Republike Slovenije, ter opravljanje drugih nalog, ki jih določajo ti predpisi.

V kolikor menite, da so vam bile kršene vaše pravice v zvezi z varstvom osebnih podatkov, lahko pri IP vsekakor vložite prijavo po elektronski pošti na naslov gp.ip@ip-rs.si, oz. po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana. To lahko storite tudi preko obrazca, ki je dostopen na spletni strani IP: https://www.ip-rs.si/obrazci/. Prijava kršitve mora biti obrazložena oziroma konkretizirana vsaj z navedbami kje, kdaj in kaj se je zgodilo, ter od kod ste prejeli informacijo o kršitvi z vsemi morebitnimi dokazili.

Vsekakor vam IP predlaga, da najprej pri vašem delodajalcu skušate uveljavljati pravico do seznanitve z lastnimi osebnimi podatki po 15. členu SUVP, torej dostop do informacij komu in na kateri pravni podlagi so bili vaši osebni podatki posredovani. V kolikor boste po odgovoru upravljavca vseeno ocenili, da bi lahko bila obdelava vaših osebnih podatkov nezakonita pa lahko vsekakor na IP podate prijavo kršitve varstva osebnih podatkov.

Lepo vas pozdravljamo,

Pripravil

Grega Rudolf, asistent svetovalca pri IP

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka