Pri Informacijskem pooblaščencu (IP) so prejeli zaprosilo za mnenje. Prosilca zanima, ali je zaupnik po Zakonu o zaščiti prijaviteljev upravičen do neposrednega dostopa do osebnih podatkov zaposlenih zaradi zagotavljanja anonimnosti ali le do posrednega dostopa, torej na zahtevo.
Iz določb ZZPri, vzorca notranjega akta za vzpostavitev notranje poti za prijavo ter splošnih načel v zvezi za varstvom osebnih podatkov izhaja, da je zaupnik upravičen dostopati le do tistih osebnih podatkov zaposlenih, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namen obravnave konkretne prijave po ZZPri. To pomeni, da zaupnik osebnih podatkov zaposlenih v nobenem primeru ni upravičen zbirati na zalogo ne glede na to, ali mu je zagotovljen posreden ali neposreden dostop.
Na upravljavcu je odgovornost, da glede na konkretne okoliščine z notranjim aktom uredi primerno tehnično izvedbo dostopa do podatkov, ki jih zaupnik potrebuje za izvajanje svojih nalog, pri tem pa zagotovi ustrezno raven varnosti osebnih podatkov in zaupnost prijaviteljev.
O b r a z l o ž i t e v:
Za vsako obdelavo osebnih podatkov mora imeti upravljavec ustrezno in zakonito pravno podlago. Po prvem odstavku 6. člena ZVOP-2 se lahko osebni podatki obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe. To sta med drugim izpolnitev zakonske obveznosti, ki velja za upravljavca, ter opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.
Pravno podlago za obdelavo osebnih podatkov v okviru prijave kršitve predpisov, za katere so posamezniki izvedeli v delovnem okolju, določa Zakon o zaščiti prijaviteljev (Uradni list RS, št. 16/23; v nadaljevanju ZZPri). Po 12. točki 4. člena ZZPri je zaupnik ena ali več zaupanja vrednih oseb ali notranja organizacijska enota za prejem in obravnavo notranjih prijav.
Skladno s petim odstavkom 7. člena ZZPri se osebni podatki, za katere je očitno, da niso potrebni za obravnavo prijave, ne zbirajo. Po drugem odstavku 12. člena ZZPri, ki ureja obravnavo notranje prijave, pa zaupnik zlasti od prijavitelja in osebe, na katero se prijava nanaša, pridobi informacije, ki so potrebne za oblikovanje predlogov ukrepov, ki so usmerjeni v prenehanje kršitve, odpravo posledic kršitve ali preprečevanje prihodnje kršitve.
Kot izhaja iz štirinajstega odstavka 9. člena ZZPri, zavezanec sprejme notranji akt, v katerem opiše notranjo pot za prijavo in med drugim opredeli postopek prejema notranje prijave in njene obravnave. Postopek obravnave prijave mora zavezanec imeti tako urejen tudi v notranjih navodilih. V vzorcu notranjega akta za vzpostavitev notranje poti za prijavo, ki ga je pripravilo Ministrstvo za pravosodje v sodelovanju s Komisijo za preprečevanje korupcije (dostopen na povezavi »Gradivo« na spletni strani https://www.gov.si/novice/2023-02-22-veljati-je-zacel-zakon-o-zasciti-prijaviteljev-zvizgacev/), je denimo navedeno, da ima zaupnik pri delu dostop do gradiva, relevantnega za obravnavo prijave, zaposleni pa so mu dolžni nuditi pomoč in informacije, potrebne za njegovo delo. Zaupnik podatke, s katerimi se seznani, uporablja le za namene obravnave prijave in odprave kršitve.
Iz navedenih zakonskih določil, vzorca notranjega akta ter splošnih načel v zvezi za varstvom osebnih podatkov iz 5. člena Splošne uredbe, predvsem omejitve namena in najmanjšega obsega podatkov, izhaja, da je zaupnik upravičen dostopati le do tistih osebnih podatkov zaposlenih, ki so ustrezni, relevantni in omejeni na to, kar je potrebno za namen obravnave konkretne prijave po ZZPri. To pomeni, da zaupnik osebnih podatkov zaposlenih v nobenem primeru ni upravičen zbirati na zalogo ne glede na to, ali podatke pridobiva na zahtevo ali ima omogočen neposreden dostop do evidenc zaposlenih. Bistveno je, da upravljavec vzpostavi primerno tehnično izvedbo dostopa do podatkov, ki jih zaupnik potrebuje za izvajanje svojih nalog, pri tem pa zagotovi ustrezno raven varnosti osebnih podatkov (32. člen Splošne uredbe) in zaupnost prijaviteljev (6. člen ZZPri, prvi odstavek 12. člen ZZPri). Vsak upravljavec mora torej z notranjim aktom urediti način pridobivanja osebnih podatkov s strani zaupnika, bodisi posredno bodisi neposredno, upoštevaje konkretne okoliščine, kot so način vodenja evidenc, upravljanje dokumentarnega gradiva, število zaposlenih, organizacijo poslovnega procesa, dostopne pravice in podobno. IP namreč v mnenju ne more podati konkretnih in dokončnih navodil, na kakšen način naj posamezen upravljavec uredi postopek obravnave notranje prijave po ZZPri, zato na vprašanje prosilca ne more dokončno odgovoriti.
Celotno mnenje je na voljo TUKAJ.