Dostop zaposlenih do osebnih podatkov

Datum

18.04.2024

Številka

07121-1/2024/475

Kategorije

Delovna razmerja, Informiranje posameznika, Privolitev, Varnost osebnih podatkov

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede dostopa zaposlenih do osebnih podatkov drugih zaposlenih za namene poročanja v različnih projektih. Navajate, da je poročanje za potrebe projekta nujno in je del delovnega procesa, zato se temu ni mogoče izogniti. Zanima vas, ali upravljavec s tem, ko sprejme splošni akt o varovanju osebnih podatkov, v katerem posebej izpostavi projektno delo in obveznost poročanja, zagotavlja zadostno stopnjo varovanja osebnih podatkov. Ob tem sprašujete, ali je poleg sprejetja splošnega akta potrebna tudi privolitev posameznika in ali lahko kot privolitev štejete, da vsak posreduje svojo plačilno listo osebi, odgovorni za določen projekt. Zanima pa vas tudi, ali so lahko predmetni podatki shranjeni v skupni mapi, do katere imajo dostop le osebe, ki podatke potrebujejo za namen poročanja na projektih.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A; v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Če obdelava osebnih podatkov delavcev za namene poročanja v okviru projekta temelji na 48. členu ZDR-1, delodajalcu kot upravljavcu dodatnih privolitev delavcev za obdelavo v ta namen ni treba pridobivati.

Privolitev tudi ne more nadomestiti delodajalčeve dolžnosti obveščanja delavcev o obdelavi njihovih osebnih podatkov po 13. in 14. členu Splošne uredbe niti zagotavljanja varnosti osebnih podatkov po 32. členu Splošne uredbe in določbah ZVOP-2. IP priporoča, da upravljavec oboje uredi z notranjimi akti.

Za ustreznost obdelave znotraj delodajalca je pomembna ureditev dostopnih pravic, torej da imajo dostop do relevantnih osebnih podatkov delavcev le tisti sodelavci oziroma nadrejeni, ki so za to pooblaščeni in ki se morajo s podatki seznaniti zaradi izvrševanja svojih delovnih nalog.

Obrazložitev

IP uvodoma pojasnjuje, da izven nadzornega postopka ne more presojati zakonitosti konkretnih obdelav osebnih podatkov. Zato vam glede vaših vprašanj v nadaljevanju podaja zgolj splošna pojasnila ter pravna izhodišča.

Najprej je treba izpostaviti, da je razlikovati med obdelavo osebnih podatkov delavcev s strani delodajalca kot upravljavca ter med obdelavo osebnih podatkov delavcev s strani drugih sodelavcev, nadrejenih ali drugih oseb, ki delujejo v okviru in v imenu delodajalca. Od privolitve kot pravne podlage za obdelavo pa je treba ločiti obveznost obveščanja po 13. in 14. členu Splošne uredbe ter zagotavljanja varnosti osebnih podatkov po 32. členu Splošne uredbe in določbah ZVOP-2.

Vsak upravljavec mora imeti za obdelavo osebnih podatkov zakonito in ustrezno pravno podlago iz prvega odstavka 6. in 9. člena Splošne uredbe. Za obdelavo osebnih podatkov v delovnih razmerjih je relevanten predvsem 48. člen Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, s spremembami in dopolnitvami; v nadaljevanju ZDR-1), skladno s katerim se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Glede na vaše navedbe, da je obdelava določenih osebnih podatkov delavcev za namene poročanja v okviru projekta nujni del poslovnega procesa, je verjetno, da je pravna podlaga iz 48. člena ZDR-1 v primeru, ki ga opisujete, načeloma podana. Zato dodatnih privolitev delavcev za obdelavo podatkov v ta namen ni treba pridobivati. Kot je IP že večkrat opozoril in kot nakazujete tudi sami, privolitev kot pravna podlaga za obdelavo v konkretnem primeru niti ne bi bila primerna, kajti prostovoljnost privolitve delavca bi bila v opisanem kontekstu zelo vprašljiva.

Bistveno za odgovor na vaše vprašanje je dejstvo, da gre za obdelavo osebnih podatkov znotraj delodajalca kot upravljavca osebnih podatkov. Pod pogojem, da imate kot delodajalec podano ustrezno pravno podlago za obdelavo osebnih podatkov delavcev, posamezni delavci posebne oziroma dodatne pravne podlage za obdelavo osebnih podatkov drugih delavcev ne potrebujejo. Delodajalec pa je dolžan poskrbeti, da do podatkov dostopajo ter jih nadalje obdelujejo (na primer za potrebe poročanja o projektu) zgolj tisti delavci, ki so pri upravljavcu za to pooblaščeni in ki se morajo s podatki seznaniti v zvezi s svojimi delovnimi nalogami. Delovne naloge oziroma pooblastila in s tem potrebne interne dostope do osebnih podatkov pa mora določiti upravljavec v okviru svojih notranjih aktov. Ta je tisti, ki mora v skladu z zahtevo po zagotavljanju varnosti podatkov (5. in 32. člen Splošne uredbe) že vnaprej poskrbeti za ustrezna pooblastila in omejitve glede dostopov do osebnih podatkov, ki jih v imenu upravljavca izvajajo delavci. Če je to v konkretnem primeru ustrezno, je lahko pristojnim delavcem dostop do relevantnih podatkov omogočen tudi preko skupne mape, kot predlagate, seveda pod pogojem, da so vsi podatki v tej mapi potrebni za izvrševanje nalog teh delavcev. Tudi pri tem je treba biti namreč previden, da ne pride do nepooblaščenega razkrivanja osebnih podatkov.

IP ob tem dodaja, da se varnost osebnih podatkov nanaša na to, kako s tehničnimi in organizacijskimi postopki in ukrepi preprečiti, da bi osebni podatki prišli v roke nepooblaščenim osebam, se nepooblaščeno uporabljali, brisali, spreminjali ali izgubili. Brez varnosti osebnih podatkov ni varstva osebnih podatkov, saj je varnost osebnih podatkov eno temeljnih načel širšega pojma varstvo osebnih podatkov (točka f prvega odstavka člena 5 Splošne uredbe). Več informacij o tem je na voljo na: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/zavarovanje-oz-varnost-osebnih-podatkov.

Ne glede na pravno podlago, na temelju katere obdeluje osebne podatke, pa je ločena dolžnost delodajalca kot upravljavca obveščanje delavcev skladno s 13. in 14. členom Splošne uredbe. To pomeni, da jim mora na jasen in pregleden način zagotoviti osnovne informacije v zvezi z obdelavo osebnih podatkov, na primer glede namenov, rokov hrambe, uporabnikov oziroma kategorijah uporabnikov, o pravicah, ki pripadajo delavcem itd. IP priporoča, da delodajalci v notranjih aktih delavcem vnaprej predstavijo meje pričakovane zasebnosti. Podrobnejše informacije o tem so dostopne na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/obve%C5%A1%C4%8Danje-posameznikov-o-obdelavi-osebnih-podatkov.

Sklepno IP pojasnjuje, da izven nadzornega postopka ne more presojati, ali boste s sprejemom splošnega akta o varovanju osebnih podatkov, ki bi vseboval tudi projektno delo in obveznost poročanja, zagotovili zadostno stopnjo varovanja osebnih podatkov, saj je to odvisno od številnih okoliščin konkretnega primera. Pomembno pa je, da v notranjih aktih natančno opredelite dostopne pravice in delavce o obdelavi njihovih osebnih podatkov tudi ustrezno obvestite. Če imate kot delodajalec za obdelavo pravno podlago v 48. členu ZDR-1, vam njihove privolitve torej ni treba pridobivati, prav tako pa privolitev ne more nadomestiti delodajalčeve dolžnosti obveščanja delavcev o obdelavi njihovih osebnih podatkov niti zagotavljanja varnosti osebnih podatkov ter spoštovanja načela celovitosti in zaupnosti.

Glede na vaše vprašanje, ali bi lahko kot privolitev posameznika šteli že samo posredovanje plačilne liste odgovorni osebi, pa IP za konec pripominja, da mora biti privolitev posameznika vedno prostovoljna, konkretna, informirana in nedvoumna. Pogoj nedvoumnosti pomeni, da mora biti izražena z jasnim pritrdilnim ravnanjem, zato zgolj predložitev določene dokumentacije praviloma ne bo pomenilo veljavne privolitve v obdelavo osebnih podatkov. Več o tem si lahko preberete na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/klju%C4%8Dna-podro%C4%8Dja-uredbe/privolitev.

O varstvu osebnih podatkov v delovnih razmerjih je IP pripravil tudi smernice, ki so dostopne na povezavi: https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/varstvo-osebnih-podatkov-v-delovnih-razmerjih. Smernice podajajo odgovore na najpogosteje zastavljena vprašanja glede varstva osebnih podatkov, s katerimi se srečujejo delavci in delodajalci, tudi v zvezi z obdelavo osebnih podatkov sodelavcev. Prav tako je IP na podobna vprašanja s tega področja že odgovarjal in o tem izdal številna mnenja, s katerimi se lahko seznanite na povezavi https://www.ip-rs.si/mnenja-zvop-2/ (kategorija »Delovna razmerja«).

Lepo vas pozdravljamo,

Pripravila

Tina Ivanc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka