Obdelava osebnih podatkov delavcev

Datum

28.10.2024

Številka

07121-1/2024/1333

Kategorije

Definicija OP, Delovna razmerja

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede obdelave osebnih podatkov delavcev s strani delodajalca.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Upoštevajoč določbe ZDR-1 lahko delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Zasebni kontaktni podatki delavca (npr. zasebna telefonska številka, zasebni elektronski naslov) praviloma niso nujno potrebni za uresničevanje pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Obdelava delavčevih osebnih podatkov na podlagi njegove osebne privolitve je dopustna le pod pogojem, da njena zavrnitev nima nikakršnih posledic na delovno razmerje oziroma na delavčev pravni položaj.

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih nadzornih ali drugih upravnih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru.

IP splošno pojasnjuje, da mora upravljavec (v konkretnem primeru vaša družba) pred uvedbo posamezne rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov, ki bodo obdelovani v njenem okviru. IP ob tem dodaja, da splošno meni, da je treba registrske številke avtomobilov že po njihovi naravi, namenu in možni določljivosti posameznika, obravnavati kot osebne podatke. Zbirke podatkov, ki vsebujejo registrske številke avtomobilov, je tako treba šteti za zbirke osebnih podatkov, tudi če ne vsebujejo drugih osebnih podatkov o posameznikih, ampak npr. samo podatke o vozilih.

Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe. Ta v prvem odstavku 6. člena določa, da je obdelava osebnih podatkov zakonita le in kolikor je za konkretni namen obdelave izpolnjen eden od naslednjih pogojev:

a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.«.

IP splošno pojasnjuje, da glede obdelave osebnih podatkov delavcev veljajo načeloma enaka pravila za delodajalce v zasebnem in javnem sektorju, pri čemer so za ugotavljanje zakonitosti konkretne obdelave pomembni posamezni področni predpisi, zlasti Zakon o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 - ZIUPOPDVE, 119/21 - ZČmlS-A, 202/21 - odl. US, 15/22, 54/22 – ZUPŠ-1, 114/23, 136/23 - ZIUZDS) in Zakon o evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06, 50/23). ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, zakaj je potrebna takšna obdelava osebnih podatkov delavca. Pri tem mora delodajalec v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost. Delodajalec mora torej paziti tudi na spoštovanje zasebnosti in dostojanstva delavca, odgovornost delodajalca pa narašča z intenzivnostjo posega v zasebnost.

Če okoliščine delovnega razmerja tega ne terjajo oziroma če delodajalec ne izkaže, da je obdelava osebnih podatkov delavca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih načeloma ne sme obdelovati. Ob tem IP pojasnjuje, da zasebni kontaktni podatki delavca (npr. zasebna telefonska številka, zasebni elektronski naslov) praviloma niso nujno potrebni za uresničevanje pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Delodajalec jih zato lahko zbira s privolitvijo delavca izrecno za namen lažjega in hitrejšega komuniciranja, ki naj bi bilo v interesu obeh. Enako bi načeloma v konkretnem primeru lahko veljalo tudi za registrske številke vozil delavcev. Ob tem pa IP izpostavlja, da je obdelava delavčevih osebnih podatkov na podlagi njegove osebne privolitve dopustna le pod pogojem, da njena zavrnitev nima nikakršnih posledic na delovno razmerje oziroma na delavčev pravni položaj. Osebna privolitev v delovnih razmerjih torej je oziroma naj bo bolj izjema kot pravilo, saj je delodajalec v razmerju do delavca močnejša stranka in so možnosti za zlorabo tega instituta v delovnih razmerjih toliko večje. Tudi smernice Delovne skupine po členu 29 glede privolitve kot pravne podlage za obdelavo osebnih podatkov v delovnih razmerjih poudarjajo neprostovoljno naravo razmerja delavec - delodajalec, kar ovira veljavnost privolitve. Temeljni kriterij za dopustnost privolitve v delovnih razmerjih je po mnenju Delovne skupine po členu 29, da podaja ali zavrnitev privolitve za zaposlene nima nikakršnih negativnih posledic. Pri tem je treba upoštevati podrobnejša določila glede pogojev, po katerih se šteje, da je privolitev veljavna, ki so določeni v 7. členu Splošne uredbe o varstvu podatkov. Privolitev posameznika mora biti konkretna, razumljiva izjava ali drugo nedvoumno pritrdilno dejanje in dokazljiva. Molk ali kakršnakoli nedejavnost tako ne pomeni privolitve. Posameznik mora torej jasno podati privolitev za zbiranje in obdelavo svojih osebnih podatkov za konkreten namen. IP poudarja, da mora biti privolitev v primerih, ko obdelava podatkov vključuje več različnih namenov, podana za vsak namen posebej. Namen mora biti jasno in nedvoumno opredeljen, saj je konkreten, ekspliciten in legitimen namen obdelave predpogoj za pridobitev veljavne privolitve. Upravljavec mora biti zmožen dokazati, da je posameznik privolil v obdelavo svojih osebnih podatkov. Posameznik ima tudi pravico, da svojo privolitev kadarkoli prekliče.

Predhodna informiranost posameznika o obdelavi njegovih podatkov je torej ključen element zakonite obdelave osebnih podatkov, saj se lahko le na podlagi ustreznih informacij o tem, komu lahko zaupa določene svoje podatke in za kakšen namen, posameznik svobodno odloči, ali bo to storil ali ne. Več informacij o privolitvi lahko najdete lahko najdete tudi na spletni strani IP:

https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/

Če bi torej vaše podjetje kot upravljavec (delodajalec) ocenilo, da je v opisanem konkretnem primeru privolitev glede na navedena pojasnila ustrezna pravna podlaga, je treba privolitev oblikovati na ustrezen način in ločeno zajeti vse namene, za katere bodo osebni podatki posameznika (delavca) obdelovani na podlagi privolitve. Pri presoji mora delodajalec vedno izhajati iz načela najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.

Ob obdelavi osebnih podatkov mora upravljavec poskrbeti tudi za ustrezno zavarovanje osebnih podatkov, pri čemer opozarjamo, da je izbor primernih tehničnih in organizacijskih ukrepov za zavarovanje osebnih podatkov odgovornost upravljavca osebnih podatkov (v konkretnem primeru vašega podjetja). IP vam lahko glede tega poda zgolj splošna priporočila, ob tem pa opozarja na določbe 24. in 32. člena Splošne uredbe, ki primeroma navaja ukrepe, s katerimi se zagotavlja varnost osebnih podatkov.

IP sklepno ponovno poudarja, da v okviru mnenja ne more presojati, ali so v konkretnem primeru in za konkretni namen izpolnjeni pogoji za obdelavo določenih osebnih podatkov. Presoja glede zakonitosti obdelave oziroma obstoja pravne podlage za posamezno obdelavo in odgovornost zanjo je vedno na upravljavcu osebnih podatkov (v konkretnem primeru delodajalcu), ki nosi tudi odgovornost za tovrstno opravljeno presojo. Konkretno presojo zakonitosti obdelave v posameznem primeru pa lahko IP opravi le v okviru nadzornega ali upravnega postopka.

S spoštovanjem.

Pripravil

Matej Sironič, Svetovalec pooblaščenca za varstvo osebnih podatkov

dr. Jelena Virant Burnik, Informacijska pooblaščenka