Vpogled v osebno mapo zaposlenega

Datum

10.11.2023

Številka

07121-1/2023/1399

Kategorije

Delovna razmerja, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju IP) je po e-pošti prejel vaše zaprosilo za mnenje v zvezi z vpogledom v osebno mapo zaposlenih v e-zbornici, kjer se zbirajo dokumenti zaposlenega (osebni in službeni podatki). Sprašujete, kdo izmed zaposlenih na šoli sme vpogledati v osebno mapo delavca?

***

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Do konkretnega primera bi se lahko IP opredelil zgolj v inšpekcijskem postopku, zato na splošno pojasnjuje, da mora delodajalec sprejeti določene ukrepe za zavarovanje osebnih podatkov skladno s 24., 25. in 32. členom Splošne uredbe, npr. zagotovitev dostopa do podatkov delavca zgolj pooblaščenim osebam (npr. do podatkov, ki so kadrovske narave, lahko dostopa kadrovik, do podatkov službene narave osebe, ki opravljajo določene delovne naloge, ki se nanašajo na te dokumente, itd.). Predlagamo vam, da za varnost zasebnih dokumentov poskrbite tudi sami in jih shranjujete na mestih, do katerih dostopate samo vi in skladno z morebitnimi internimi navodili delodajalca.

Obrazložitev

Pri tem IP poudarja, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Pojasnjujemo, da mora za zakonito obdelavo osebnih podatkov, kamor štejemo tako zbiranje osebnih podatkov, kot tudi npr. vpogled v njih, obstajati pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe, npr. privolitev, izvajanje pogodbe, izpolnitev zakonske obveznosti, itd.

V okviru delovnega razmerja je relevantna tudi določba prvega odstavka 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmIS-A, 202/21 – odl. US, 15/22 in 54/22 – ZUPŠ-1, ZDR-1), ki določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Delodajalec ima na delovnem mestu pravice, ki izvirajo iz njegove lastnine na delovnimi sredstvi. Nedvomno pa mora delodajalec na delovnem mestu upoštevati delavčevo zasebnost in osebne podatke delavca obdelovati zgolj v obsegu, ki je potreben zaradi uresničevanja pravic in obveznosti na delovnem mestu. Nerazumno je pričakovati, da bo delavec npr. službeno e-pošto in internet uporabljal zgolj za službene namene, zato je treba mejo med posegi v pravico do zasebnosti delavca in pravico nad delovnimi sredstvi delodajalca določiti z ustreznimi organizacijskimi in tehničnimi ukrepi. Vsekakor pa ima delodajalec tudi dolžnost in pravico, da ustrezno poskrbi za hrambo uradne dokumentacije oz. dokumentarnega gradiva in zavarovanje službenih sredstev. V kolikor gre za podatke, ki so npr. kadrovske narave ali pa gre za podatke, ki so povezani z opravljanjem dela, mora delodajalec sprejeti določene ukrepe za zavarovanje osebnih podatkov skladno s 24., 25. in 32. členom Splošne uredbe tako, da npr. zagotovi dostop do podatkov delavca zgolj pooblaščenim osebam (npr. do podatkov, ki so kadrovske narave, lahko dostopa kadrovik, do podatkov službene narave osebe, ki opravljajo določene delovne naloge, ki se nanašajo na te dokumente, itd.). S tem ukrepom tako onemogoči, da bi se osebe, ki niso za to pooblaščene, seznanile oz. vpogledovale v podatke, ki so sicer zbrani na zakoniti pravni podlagi. Poleg tega morajo biti dostopne pravice ažurno upravljane (ažurno dodeljevane, spremenjene in ukinjene), hierarhične in dokumentirane. Ob tem mora delodajalec upoštevati tudi načelo najmanjšega obsega podatkov, skladno s katerim morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo.

Do dokumentov zasebne narave ima pravico dostopati samo zaposleni, ob čemer je treba poudariti, da bi delodajalec lahko sprejel notranji akt, s katerimi bi npr. določil, kateri dokumenti se lahko shranjujejo na določenih mestih (npr. na skupnih mapah), ki so lahko dostopna tudi drugim sodelavcem. Predlagamo vam, da za varnost zasebnih dokumentov poskrbite sami in jih shranjujete na mestih, do katerih dostopate samo vi in skladno z morebitnimi internimi navodili delodajalca. Glede morebitnih kršitev v zvezi z vpogledom delodajalca v vaše zasebne dokumente pa gre verjetno za poseg v širšo pravico do zasebnosti, ki jo lahko uveljavljate pred pristojnimi sodišči.

Če se vašo vprašanje dejansko nanaša na personalno mapo zaposlenega v elektronski obliki, lahko preberete mnenje št. 07121-1/2022/599 z dne 2. 6. 2022. Mnenja so dostopna s pomočjo iskalnika na www.ip-rs.si/vop.

Več o nadzoru nad delovnimi sredstvi s strani delodajalca lahko preberete v smernicah Varstvo osebnih podatkov v delovnih razmerjih, ki so dostopne na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih_verzija_1.1_koncna.pdf.

Upamo, da smo vam s podanimi napotili uspeli pomagati.

Lepo vas pozdravljamo,

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo