Ali je z vidika varstva osebnih podatkov zakonsko ustrezno vodenje personalne mape zaposlenih zgolj v elektronski obliki, ali morajo biti dokumenti personalne mape istočasno tudi v fizični obliki ter ali je predpisana kakšna posebna oblika hrambe podatkov v elektronski obliki? Koko je s podpisovanjem dokumentov v zvezi z delovnim razmerjem preko elektronskega naslova zaposlenega (službenega ali zasebnega). |
Pri Informacijskem pooblaščencu so prejeli zaprosilo za mnenje glede vprašanja, ali je z vidika varstva osebnih podatkov zakonsko ustrezno vodenje personalne mape zaposlenih po ZDR in ZEPDSV zgolj v elektronski obliki, ali morajo biti dokumenti personalne mape istočasno tudi v fizični obliki. Nadalje so odgovorili tudi na vprašanje, ali je predpisana kakšna posebna oblika hrambe podatkov v elektronski obliki. Prav tako pa so pojasnili, ali je zakonsko skladno podpisovanje dokumentov v zvezi z delovnim razmerjem preko elektronskega naslova zaposlenega (službenega ali zasebnega; v slednjem primeru seveda s pisno privolitvijo posameznika).
Na podlagi posredovanih informacij IP skladno z 58. členom Uredbe (EU) 2016/679 (Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (UZInfP) posreduje neobvezujoče mnenje v zvezi z omenjenim vprašanjem.
Vodenje personalne mape zgolj v elektronski obliki ni sporno, vendar pa je delodajalec dolžan zagotoviti varnost osebnih podatkov (skladno s 24. členom ZVOP-1 ter 24., 25. in 32. členom Splošne uredbe o varstvu podatkov).
Obrazložitev:
IP uvodoma poudarja, da v okviru mnenja ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti z obstoječimi predpisi s področja varstva osebnih podatkov. Presojo o ustreznosti lahko izvede le v okviru konkretnega inšpekcijskega postopka. Zato v nadaljevanju podaja splošna pojasnila v zvezi z obdelavo osebnih podatkov v delovnih razmerjih. Prav tako je na to temo že izdal smernice, ki so vam lahko v pomoč in so dostopne na: www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/varstvo-osebnih-podatkov-v-delovnih-razmerjih.
Področna zakona, ki urejata področje varstva osebnih podatkov v delovnih razmerjih, sta predvsem Zakon o evidencah na področju dela in socialne varnosti (ZEPDSV) in Zakon o delovnih razmerjih (ZDR-1). ZDR-1 v prvem odstavku 48. člena določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, ZEPDSV pa v 12. členu določa vrste evidenc, ki jih morajo voditi delodajalci. Vendar v ZEPDSV ni izrecno predpisano, v kakšni obliki mora delodajalec voditi te evidence.
Vodenje personalne mape zgolj v elektronski obliki zato po mnenju IP ni sporno, prav tako ni določena nobena posebna oblika hrambe podatkov v elektronski obliki. Ne glede na to pa IP poudarja, da je vsak upravljavec dolžan zagotoviti varnost osebnih podatkov (skladno s 24. členom ZVOP-1 ter 24., 25. in 32. členom Splošne uredbe o varstvu podatkov). Varnost osebnih podatkov (oz. zavarovanje osebnih podatkov po ZVOP-1) se nanaša predvsem na to, kako s tehničnimi in organizacijskimi postopki in ukrepi preprečiti, da bi osebni podatki prišli v roke nepooblaščenim osebam, se nepooblaščeno uporabljali, brisali, spreminjali ali izgubili. Več o ukrepih za zavarovanje osebnih podatkov si lahko preberete v smernicah IP, ki so dostopne na: www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf, nasveti za upravljavce pa so dostopni tudi na spletni strani: https://upravljavec.si/zagotovite-varnost/.
V zvezi z obdelavo osebnih podatkov v delovnih razmerjih IP izpostavlja še, da je ta na podlagi delavčeve osebne privolitve dopustna le, če lahko delavec privolitev brez posledic za delovno razmerje odkloni. Zavrnitev privolitve namreč nikakor ne sme imeti negativnih posledic za delovno razmerje. Zato je privolitev kot pravna podlaga za obdelavo osebnih podatkov v delovnih razmerjih uporabljiva le izjemoma, saj je delodajalec v razmerju do delavca močnejša stranka.
Nadalje IP pojasnjuje, da področje varnosti elektorskega podpisovanja in zahteve v zvezi s tem ureja Uredba (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (v nadaljevanju uredba eIDAS) in Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP) ter na njuni podlagi sprejeti predpisi. To področje sodi v delovni okvir Direktorata za informacijsko družbo pri Ministrstvu za javno upravo. Predlagamo, da se za morebitna natančnejša vprašanja v zvezi z varnostjo in uporabo elektronskega podpisa obrnete nanje.
IP pa dodaja, da v svoji praksi ni obravnaval morebitnih neskladnosti s Splošno uredbo o varstvu podatkov, ki bi bile posledica zagotavljanja varnega elektronskega podpisovanja skladno z navedeno zakonodajo. Pri zagotavljanju varnega elektronskega podpisovanja gre predvsem za verodostojno identifikacijo stranke določene storitve ali postopka. Pravila varstva osebnih podatkov pa temu načeloma ne nasprotujejo.
Vir: Informacijski pooblaščenec, 2. 6. 2022
***
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala FinD-INFO.
OBJAVLJENO: Portal FinD-INFO, 8. 7. 2022, www.findinfo.si