Soglasje delavca za tiskanje lastnoročnega podpisa na računu

Datum

25.04.2023

Številka

07121-1/2023/563

Kategorije

Delovna razmerja

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis, v katerem pojasnjujete, da so vaše stranke so izrazile željo, da bi se lastnoročni podpis zaposlenega samodejno natisnil na računu, ki ga slednji izda gostu. Zanima vas, ali je to po ZVOP-2 dopustno in ali zadošča soglasje zaposlenega ali potrebujete še kaj. Sprašujete tudi, ali je pripravljen kakšen vzorec takšnega soglasja.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

IP meni, da je prostovoljnost privolitve delavca v tem primeru vprašljiva, zato IP meni, da lahko obdelujete (torej natisnete kopijo lastnoročnega podpisa na račun) osebne podatke delavca, če je to »potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem«, kot to določa ZDR-1. Potrebnost takšne obdelave pa bi morali biti sposobni biti utemeljiti, izhajati pa morate tudi iz namena takšne obdelave, ki ga morate predhodno razčistiti. IP sicer ni znano, da bi veljavni predpisi od poslovnih subjektov zahtevali, da je na računu naveden podpis zaposlenega, zato ni povsem jasno, na čem bi v vašem primeru temeljilo izkazovanje potrebnosti take obdelave osebnih podatkov zaposlenih.

Obrazložitev

IP uvodoma poudarja, da konkretnega in dokončnega odgovora o zakonitosti obdelave osebnih podatkov v okviru mnenja v nobenem primeru ne more podati, saj lahko IP posamezne primere obdelave podatkov konkretno presoja zgolj v okviru inšpekcijskega ali drugega upravnega postopka.

Za vsako obdelavo osebnih podatkov je treba imeti ustrezno in zakonito pravno podlago. Te so določene v prvem odstavku 6. člena Splošne uredbe in so sledeče:

•privolitev

•sklenitev ali izvajanje pogodbe

•zakon

•zaščita življenjskih interesov posameznika

•izvajanje javne naloge

•zakoniti interesi upravljavca, če ne prevladajo interesi in pravice oz. svoboščine posameznika

Za vsako obdelavo osebnih podatkov mora torej obstajati ustrezna pravna podlaga, ki jo mora že pred obdelavo osebnih podatkov natančno razčistiti upravljavec osebnih podatkov, ki mora biti zmožen tudi dokazati zakonitost obdelave osebnih podatkov.

Področna zakona, ki urejata področje varstva osebnih podatkov v delovnih razmerjih, sta predvsem Zakon o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06, v nadaljevanju ZEPDSV) in Zakon o delovnih razmerjih (Uradni list RS, št. 21/13, s spremembami in dopolnitvami, v nadaljevanju ZDR-1). ZEPDSV v 12. členu določa vrste evidenc, ki jih morajo voditi delodajalci (evidenca o zaposlenih delavcih, evidenca o stroških dela, evidenca o izrabi delovnega časa, evidenca o oblikah reševanja kolektivnih delovnih sporov pri delodajalcu), v 13., 16., 18. in 20. členu pa njihovo vsebino. ZDR-1 pa v prvem odstavku 48. člena določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Iz navedene določbe ZDR-1 izhaja, da delodajalci ne smejo zbirati katerihkoli osebnih podatkov, ampak le tiste osebne podatke, ki jih potrebujejo za dosego v zakonu določenega namena, tj. uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Določba vključuje načelo najmanjšega obsega podatkov iz člena 5(1)(c) Splošne uredbe, ki ga je treba upoštevati pri vsaki obdelavi osebnih podatkov, in določa, da morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Delodajalec lahko obdeluje tiste delavčeve osebne podatke, ki jih določa ZEPDSV in v skladu z 48. členom ZDR-1 tiste osebne podatke, za katere izkaže, da jih potrebuje zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravice in obveznosti obeh, torej delavca in delodajalca.

Delodajalec lahko od delavca zbira le tiste osebne podatke, ki jih določa zakon (ZEPDSV, ZDR-1 ali drug področni zakon) in tiste osebne podatke, za katere ima osebno privolitev delavca. Ob tem je treba poudariti, da je obdelava osebnih podatkov delavca na podlagi njegove osebne privolitve dopustna le, če lahko delavec privolitev brez posledic za delovno razmerje odkloni. Zavrnitev privolitve namreč nikakor ne sme imeti negativnih posledic za delovno razmerje. Zato je privolitev kot pravna podlaga za obdelavo osebnih podatkov v delovnih razmerjih uporabljiva le izjemoma, saj je delodajalec v razmerju do delavca močnejša stranka.

IP meni, da je prostovoljnost privolitve delavca v tem primeru vprašljiva, zato glede na vse navedeno in na predstavljeno situacijo IP meni, da lahko obdelujete (torej natisnete kopijo lastnoročnega podpisa na račun) osebne podatke delavca, če je to »potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem«, kot to določa ZDR-1. Potrebnost takšne obdelave pa bi morali biti sposobni biti utemeljiti, pri tem pa bi morali upoštevati, da zgolj »želja strank«, da bi imeli na računih radi podpis, še ne utemeljuje takšne potrebnosti. Kot že omenjeno, morajo biti podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Ali je podpis delavca res potreben in brez podpisa ni mogoče doseči istega namena (kot na primer dokazovanje pristnosti računa, kasnejšega ugotavljanja nepravilnosti ipd.). Namen obdelave morate seveda najprej razčistiti sami. Za konec še dodajamo, da nam sicer ni znano, da bi veljavni predpisi od poslovnih subjektov zahtevali, da je na računu naveden podpis zaposlenega, zato ni povsem jasno, na čem bi v vašem primeru temeljilo izkazovanje potrebnosti take obdelave osebnih podatkov zaposlenih.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav., informacijska pooblaščenka

Pripravila

mag. Polona Merc, univ. dipl. prav., svetovalka IP za varstvo osebnih podatkov