Vpogled v kadrovsko dokumentacijo s strani sveta zavoda

20. 6. 2024

Informacijski pooblaščenec (v nadaljevanju IP) je pošti prejel zaprosilo za opredelitev, ali ima Svet zavoda pravno podlago za vpogled v dokumentacijo, ki vsebuje osebne podatke zaposlenih (pogodbe o zaposlitvah, prijava mobinga in šikaniranja, napotnica za izredni zdravstveni pregled, opozorila pred odpovedjo itd.).

*******

Javni zavod kot upravljavec osebnih podatkov mora sam presoditi, kdo znotraj samega sebe lahko in mora obdelovati posamezne osebne podatke za namene opravljanja z zakonom ali s statutom dodeljenih nalog in pristojnosti.

Treba je presoditi, ali svet zavoda (oz. v njegovem imenu njegov predsednik) dostop do zahtevane dokumentacije potrebuje za izvajanje pristojnosti oz. nalog, ki so svetu zavoda zaupane skladno s statutom in zakonom. To presojo mora opraviti upravljavec sam.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more in ne sme presojati. IP bi presojo dopustnosti sveta zavoda za vpogled v dokumentacijo, ki vsebuje osebne podatke lahko opravil zgolj v okviru inšpekcijskega nadzora oziroma drugega upravnega postopka in ne okviru zadevnega splošnega mnenja. Razlog za to je med drugim v tem, da ne razpolagamo z vso relevantno dokumentacijo, okoliščinami in pravnimi podlagami konkretnega primera, zaradi česar bi lahko v mnenjih podali povsem napačno stališče. Neobvezna mnenja IP namreč niso namenjena presoji zakonitosti posameznih obdelav in ravnanj konkretnih upravljavcev, temveč podaji načelnih in splošnih stališč glede interpretacije določb zakonov, ki se nanašajo na varstvo osebnih podatkov.

V zvezi z vprašanjem IP zgolj pojasnjuje, da vpogled v dokumentacijo z osebnimi podatki vsekakor predstavlja obdelavo osebnih podatkov, ki pa mora imeti ustrezno pravno podlago, da je le-ta obdelava zakonita in skladna s predpisi varstva osebnih podatkov. Osebni podatki se lahko obdelujejo le takrat in v obsegu, kadar je to v skladu s pravnimi podlagami za obdelavo osebnih podatkov iz prvega odstavka 6. in 9. člena Splošne uredbe (6. člen ZVOP-2).

V konkretnem primeru gre za obdelavo osebnih podatkov znotraj upravljavca, saj je svet zavoda kot njegov organ del samega zavoda. Svet zavoda (oz. predsednik sveta v njegovem imenu) kot del upravljavca lahko obdeluje osebne podatke, ki jih potrebuje za izvrševanje svojih zakonskih in statutarnih nalog. Upravljavec, torej javni zavod sam, pa mora presoditi, kdo znotraj upravljavca lahko in mora obdelovati posamezne osebne podatke za namene opravljanja z zakonom ali s statutom dodeljenih nalog in pristojnosti. Glede na pristojnosti in dodeljene naloge sveta zavoda je torej treba presoditi, katere podatke svet zavoda potrebuje za opravljanje svojih nalog.

Pristojnosti oz. naloge sveta zavoda so temeljno določene znotraj 30. člena Zakona o zavodih (Uradni list RS, št. 12/91, 8/96, 36/00 – ZPDZC in 127/06 – ZJZP). Ta določa, da svet zavoda sprejema statut oziroma pravila in druge splošne akte zavoda, sprejema programe dela in razvoja zavoda ter spremlja njihovo izvrševanje, določa finančni načrt in sprejema zaključni račun zavoda, predlaga ustanovitelju spremembo ali razširitev dejavnosti, daje ustanovitelju in direktorju zavoda predloge in mnenja o posameznih vprašanjih in opravlja druge z zakonom ali aktom o ustanovitvi oziroma s statutom ali pravili zavoda določene zadeve.

Natančnejšo opredelitev pristojnosti oz. nalog sveta zavoda je prosilec posredoval tudi v zaprosilu za mnenje, iz katerih izhaja verjetnost, da svet zavoda, zaradi opravljanja svojih pristojnosti in določenih nalog, praviloma izkazuje potrebo po vpogledu v tiste osebne podatke, ki so potrebni za izpolnjevanje svojih pristojnosti in nalog.

V zvezi z konkretnim vprašanjem, če ima svet zavoda pravno podlago za vpogled v dokumentacijo kot npr. pogodbe o zaposlitvah, prijava mobinga in šikaniranja, napotnica za izredni zdravstveni pregled, opozorila pred odpovedjo itd. je treba torej najprej presoditi; ali svet zavoda (oz. v njegovem imenu njegov predsednik) dostop do zahtevane dokumentacije potrebuje za izvajanje pristojnosti oz. nalog, ki so svetu zavoda zaupane skladno z vašim statutom in zakonom?

Z namenom, da bi svet zavoda lahko spremljal izvrševanje programov dela in razvoj zavoda, določal finančni načrt, sprejemal zaključni račun, sprejemal statut oz. pravila ter druge splošne akte zavoda, direktorju zavoda dajal predloge in mnenja o posameznih vprašanjih itd., se na prvi pogled zdi neizogibno, da bi svet zavoda bil upravičen dostopati do vsaj nekaterih osebnih podatkov zaposlenih. Do katerih osebnih podatkov točno pa je svet zavoda upravičen, pa mora presoditi upravljavec sam.

Izjemnega pomena je tudi dolžnost varovanja osebnih podatkov, saj so člani sveta zavoda, ki se seznanijo z določenimi osebnimi podatki, te podatke dolžni varovati in jih brez ustrezne pravne podlage ne smejo posredovati izven upravljavca. Pri tem pa poudarjamo, da je odgovornost za zakonito poslovanje in zagotavljanje skladnosti upravljavca s pravili varstva osebnih podatkov vedno na upravljavcu osebnih podatkov (torej javnemu zavodu kot upravljavcu osebnih podatkov), ki mora biti to skladnost zmožen tudi dokazati.

Celotno mnenje je na voljo TUKAJ.

Nazaj