Vpogled v službeni računalnik

Datum

10.11.2023

Številka

07120-1/2023/483

Kategorije

Delovna razmerja

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede vpogleda v službeno napravo zaposlenega.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Delodajalec lahko vnaprej opredeli in pisno obvesti zaposlene, v katerih izrednih primerih in pod katerimi strogimi pogoji ter po kakšnem postopku lahko izjemoma vpogleda v njihove službene naprave.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP kot nadzorni organ na področju varstva osebnih podatkov v okviru mnenja tako ne more presojati skladnosti konkretnega ravnanja iz vašega zaprosila za mnenje s pravili varstva osebnih podatkov.

IP sicer ni znana vsebina poziva vašega delodajalca, ki ga navajate v vašem zaprosilu za mnenje, uvodoma pa splošno pojasnjuje, da vprašanje nadzora službenega računalnika in elektronske pošte v marsičem presega zgolj vidike varovanja osebnih podatkov v smislu ZVOP-2. Gre namreč za širše vprašanje posegov v (komunikacijsko) zasebnost posameznikov oz. zaposlenih (35. in 37. člen Ustave RS). V okviru komunikacije prek elektronske pošte predstavlja zbirko osebnih podatkov zgolj zbirka t.i. prometnih podatkov (elektronski naslovi, na katere je posameznik poslal elektronsko sporočilo in od katerih je sporočilo prejel; datum in čas pošiljanja in prejema sporočila; zadeva sporočila in drugi tehnični podatki v povezavi s sporočilom – priponka, velikost, itd.). Zato pri elektronski pošti Splošna uredba varuje le prometne podatke, medtem ko je sama vsebina elektronske pošte varovana v okviru določb o kršitvi tajnosti občil iz 139. člena Kazenskega zakonika oziroma določb o zahtevi za prenehanje kršitve osebnostnih pravic iz 134. člena Obligacijskega zakonika.

IP splošno pojasnjuje, da je treba za vsako obdelavo osebnih podatkov najprej zagotoviti ustrezno pravno podlago. V skladu s členom 6(1) Splošne uredbe o varstvu podatkov je obdelava osebnih podatkov zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Pri tem opozarjamo, da se točka (f) ne uporablja pri za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Čeprav ZVOP-2 razlikuje med javnim in zasebnim sektorjem, je področje delovnega prava specialno urejeno za oba sektorja v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmlS-A, 202/21 – odl. US, 15/22, 54/22 – ZUPŠ-1) in Zakonu o evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06). Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje, zaradi česar na tem področju praviloma niti v zasebnem sektorju ne dopušča avtonomije strank v smislu, da bi delodajalec lahko brez podlage v zakonu od delavca zahteval katerekoli osebne podatke ali jih obdeloval na drugi pravni podlagi (npr. privolitev, pogodba, …). Delavec lahko namreč tudi na delovnem mestu utemeljeno pričakuje določeno stopnjo zasebnosti.

ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, zakaj je potrebna takšne obdelava (v konkretnem primeru vpogled) osebnih podatkov delavca. Pri tem mora delodajalec v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost. Delodajalec mora torej paziti tudi na spoštovanje zasebnosti in dostojanstva delavca, odgovornost delodajalca pa narašča z intenzivnostjo posega v zasebnost. Če okoliščine delovnega razmerja tega ne terjajo oziroma če delodajalec ne izkaže, da je obdelava osebnih podatkov delavca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih ne sme obdelovati.

Delodajalec ima sicer pravico do oblasti nad svojimi sredstvi in pravico, da nadzira, ali je ta oprema uporabljena skladno z namenom, za katerega je bila zaposlenemu dana v uporabo, delavec pa lahko, kot rečeno, utemeljeno pričakuje določeno stopnjo zasebnosti na delovnem mestu, kar torej izhaja že iz 46. člena ZDR-1. Prav tako ima delavec pravico do varovanja drugih ustavno zagotovljenih pravic (npr. varstvo tajnosti pisem in drugih občil) in osebnostnih pravic. Meja pristojnosti delodajalca in svobode delavca izrecno (še) ne ureja noben zakon, zato na splošno velja, da je delodajalec dolžan cilj, ki ga zasleduje, podpreti s čim manj invazivnimi in represivnimi ukrepi. Vsaka oblika nadzora, ki pomeni poseg v pravico do zasebnosti, mora biti najprej skladna z ustavnimi določili glede varstva zasebnosti, hkrati pa bodisi vnaprej utemeljena in transparentno predstavljena zaposlenim v internih aktih delodajalca (v kakšnih primerih, na kakšen način in kdo ga lahko izvaja) bodisi imeti zakonsko podlago.

Splošno delodajalec načeloma torej nima pravne podlage za vpogled v službene naprave (v konkretnem primeru računalnik) zaposlenega. Vendar pa delodajalec lahko vnaprej opredeli in pisno obvesti zaposlene, v katerih izrednih primerih in pod katerimi strogimi pogoji ter po kakšnem postopku lahko izjemoma to stori. Seveda morajo biti takšni razlogi taksativni in izjemni, zato bi bilo v takšnih primerih treba presojati vsak primer posebej. Zaposleni morajo biti o obdelavi osebnih podatkov tudi ustrezno obveščeni v skladu s 13. in 14. členom Splošne uredbe. Predhodna obveščenost zaposlenih pa sama po sebi še ne pomeni, da je nadzor nad službenimi sredstvi dopusten in je tako potrebni, ne pa nujno tudi zadostni pogoj za zakonitost nadzora uporabe delovnih sredstev (v konkretnem primeru računalnika), ki vključuje obdelavo osebnih in/ali komunikacijskih podatkov. Bistveno je tudi, da je nadzor oziroma vpogled naprav oziroma sredstev dopusten le izjemoma v primeru, ko se namenov, zaradi katerih se pregled opravi, ne more doseči na drug, milejši način, torej z manjšim posegov v zasebnost zaposlenega.

Ob tem IP opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

IP dodatno pojasnjuje, da je o vprašanjih glede relacije delodajalec - zaposleni obširno pisal v smernicah Varstvo osebnih podatkov v delovnih razmerjih. Smernice so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf

IP sklepno ponovno poudarja, da o ustreznosti in zakonitosti obdelave osebnih podatkov v konkretnem primeru lahko presoja le v okviru konkretnega inšpekcijskega oziroma drugega upravnega postopka, ko so znane vse konkretne okoliščine posameznega primera.

V kolikor menite, da so vam bile kršene vaše pravice v zvezi z varstvom osebnih podatkov, lahko pri IP vložite prijavo po elektronski pošti na naslov gp.ip@ip-rs.si, oz. po navadni pošti na naslov: Informacijski pooblaščenec, Dunajska cesta 22, 1000 Ljubljana. To lahko storite tudi preko obrazca, ki je dostopen na spletni strani IP:

https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/vlozitev-prijave

Lepo vas pozdravljamo.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka