Informacijski pooblaščenec (v nadaljevanju IP) je prejel zaprosilo za mnenje. Prosilec opisuje primer, ko je delodajalec prosilčevi sodelavki razlagal o neupravičeni odsotnosti z dela in o izrabi dopusta v lanskem letu. Prosilcu se zdi nekorektno, da delodajalec te stvari razlaga sodelavki, zato prosilec sprašuje, ali obstaja kakšna možnost prijave kršitve.

***

Na podlagi informacij IP v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posreduje neobvezujoče mnenje v zvezi z vprašanjem.

Za vsako obdelavo osebnih podatkov (tudi za razkritje podatka o odsotnosti in o dopustu) mora upravljavec zagotoviti ustrezno pravno podlago. Podatki o prisotnosti oziroma odsotnosti posameznega delavca se lahko razkrijejo sodelavcem na podlagi 48. člena ZDR-1 pod pogojem, da je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja in v povezavi z delovnim razmerjem.

Delodajalec kot upravljavec mora pri obdelavi osebnih podatkov določiti, s katerimi podatki se lahko posamezni zaposleni seznanijo v okviru izvajanja svojih delovnih nalog. Z osebnimi podatki se lahko seznanijo torej zgolj tisti, ki to nujno potrebujejo za izvajanje svojih nalog.

V zvezi z morebitnimi kršitvami v zvezi z varstvom osebnih podatkov lahko prosilec poda prijavo pri IP. 

O b r a z l o ž i t e v:

Pri tem IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Za vsako obdelavo osebnih podatkov (tudi za razkritje podatka o bolniški odsotnosti in o dopustu) mora imeti upravljavec ustrezno pravno podlago skladno s prvim odstavkom 6. člena Splošne uredbe.  Za zasebni sektor so pravne podlage naslednje:

(a) posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b) obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c) obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d) obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e) obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f) obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

V okviru delovnega razmerja je relevantna tudi določba prvega odstavka 48. člena Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmIS-A, 202/21 – odl. US, 15/22 in 54/22 – ZUPŠ-1, ZDR-1), ki določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Pojasnjujejo, da se lahko podatki o prisotnosti oziroma odsotnosti posameznega delavca razkrijejo sodelavcem na podlagi 48. člena ZDR-1 pod pogojem, da je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja in v povezavi z delovnim razmerjem. Konkretno o tem, ali bi se lahko sodelavka seznanila z dejstvom, da je bil prosilec neupravičeno odsoten oz. z izrabo dopusta v lanskem letu, bi lahko IP odločal zgolj v inšpekcijskem postopku. Delodajalec mora pri obdelavi osebnih podatkov določiti, s katerimi podatki se lahko posamezni zaposleni seznanijo v okviru izvajanja svojih delovnih nalog. Pri tem mora upoštevati tudi t.i. načelo najmanjšega obsega podatkov, skladno s katerim se smejo obdelovati zgolj tisti osebni podatki, ki so nujno potrebni za dosego določenega cilja, zato mora skladno s tem načelom določiti, s kakšnim naborom podatkov se lahko določeni zaposleni seznanijo. Osebne podatke pa je treba s primernimi tehnično-organizacijskimi ukrepi tudi ustrezno zavarovati, med drugim pred nepooblaščeno seznanitvijo z osebnimi podatki s strani tretjih oseb. Z osebnimi podatki se lahko seznanijo torej zgolj tisti, ki to nujno potrebujejo za izvajanje svojih nalog (npr. z navedenimi podatki bi se lahko verjetno seznanil pristojen sodelavec iz kadrovske službe). Vsak zaposleni pa je dolžan podatke varovati in jih ne sme obdelovati za noben drug namen (npr. nezakonito posredovati tretjim osebam).

Več o obdelavi osebnih podatkov zaposlenih lahko preberete v Smernicah Varstvo osebnih podatkov v delovnih razmerjih, ki so dostopne na povezavi: https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/varstvo-osebnih-podatkov-v-delovnih-razmerjih.

V kolikor je prosilec na podlagi teh pojasnil mnenja, da gre za kršitev varstva osebnih podatkov, lahko poda prijavo na IP. Pomaga si lahko z obrazcem »Enotna vloga zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava)«, ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/. 

Celotno mnenje je na voljo TUKAJ.