Danes je 29.3.2024

Input:

Varstvo osebnih podatkov v delovnih razmerjih

28.11.2019, Vir: Verlag DashöferČas branja: 29 minut

Varstvo osebnih podatkov v delovnih razmerjih

Spletna klepetalnica, 28. 11. 2019. Odgovarjala je univ. dipl. prav. Urška Krivec (Odvetniška pisarna Bohl, d.o.o.)

 Celotno vsebino si lahko v pdf formatu prenesete TUKAJ>>

 

Varstvo OP v kadrovski službi: kako pridobivati (ob zaposlitvi) in hraniti osebne podatke zaposlenega v času trajanja delovnega razmerja in po prenehanju? Primer: ob novi zaposlitvi se je kopiralo osebno izkaznico (ime in priimek, naslov, državljanstvo, EMŠO) in druge dokumente (davčna številka, TRR) in se je kopija hranila v personalni mapi. Kakšno je pravilno ravnanje, če kopije niso več dovoljene? Ali bi bile ob ustnem soglasju zaposlenega dovoljene? Naj se ti podatki prepišejo na list papirja?

Delodajalec lahko praviloma obdeluje le tiste delavčeve osebne podatke, ki jih določa Zakon o evidencah na področju dela in socialne varnosti, ter v skladu z 48. členom ZDR-1 tiste osebne podatke, za katere izkaže, da jih potrebuje zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Osebna privolitev je dopustna le izjemoma pod pogojem, da zavrnitev soglasja nima posledic na delovno razmerje oz. na delavčev pravni položaj. Osebni podatki delavcev, za zbiranje katerih ne obstaja več zakonska podlaga, se morajo namreč nemudoma zbrisati in prenehati uporabljati.

Čeprav delodajalci od zaposlenih za namen točnosti in ažurnosti podatkov v evidencah ali za pripravo pogodbe o zaposlitvi velikokrat zahtevajo kopije osebnih dokumentov, jih za dosego teh namenov dejansko ne potrebujejo. V skladu z 18. členom ZVOP-1 (ki se zaenkrat še vedno uporablja) lahko namreč pred vnosom v zbirko osebnih podatkov preverijo točnost osebnih podatkov z vpogledom v osebni dokument ali drugo ustrezno javno listino posameznika, na katerega se nanašajo. V skladu z navedenim lahko delodajalec z osebnega dokumenta prepiše tiste osebne podatke, za obdelavo katerih ima pravno podlago. Osebni dokumenti se lahko sicer kopirajo tudi na podlagi pisne privolitve imetnika, pri čemer mora biti privolitev resnično prostovoljna, ne izsiljena ali pogojevana, v skladu splošnimi pravili GDPR in upoštevaje posebna pravila iz 4. člena Zakona o osebni izkaznici in 4.a člena Zakona o potnih listinah, ki urejata kopiranje teh dokumentov. Vendar vseeno menimo, da po tem ni potrebe in da tudi, če se delodajalec za to odloči oz. bi delavec sam prinesel fotokopije, bi jih delodajalec moral uničiti takoj po vnosu osebnih podatkov v zbirko oz. po pripravi pogodbe o zaposlitvi, saj po tem ne bi več imel namena za njihovo hrambo.

 

Na drugi strani pa npr. bančna kartica in tudi potrdilo o davčni številki, nista osebna dokumenta in posledično kopiranje bančne kartice s številko osebnega računa, na katerega bo delodajalec delavcu izplačeval plače in druge osebne prejemke, ter kopiranje potrdila o davčni številki ne pomenita kršitve, če se delavec s tem strinja. Poleg tega na bančni kartici in potrdilu o davčni številki ni nobenega podatka, do katerega delodajalec ne bi bil upravičen. Kljub temu izpostavljamo, da delodajalec ne sme zahtevati kopij navedenih potrdil oz. dokumentov, če jih zaposleni ne želi dostaviti. Dodatno še poudarjamo, da tudi v tem primeru velja, da če bi delodajalec razpolagal s kopijami omenjenih dokumentov, jih lahko ima samo dokler doseže namen, za katerega jih je pridobil, nato pa jih mora uničiti, kot pojasnjeno že zgoraj.

Smo večje podjetje in imamo različne dostope do osebnih podatkov zaposlenih, razpršene po podjetju (tudi po drugih lokacijah). Ali moramo natančno definirati, kdo ima dostop do kakšnega osebnega podatka – ali to določimo z imenom ali delovnim mestom?

Eden izmed vidikov varstva osebnih podatkov je tudi natančno določanje načina hrambe osebnih podatkov, njihovega varovanja, upravičenosti do dostopa oz. vpogleda do osebnih podatkov itd. Pri tem je bistveno, da podjetje način varovanja osebnih podatkov določi na način, da čim bolj omeji oz. prepreči možne zlorabe in nepooblaščene dostope oz. poglede oz. druge vrste obdelav osebnih podatkov. To med drugim storite tudi na način, da opredelite, kdo lahko do katerih podatkov dostopa.

Vendar pa menim, da pri tem ni potrebno niti racionalno (če seveda ne gre za kakšne posebne primere oz. situacije), da te vse osebe opredelite poimensko – z imenom in priimkom. Kolikor gre razumeti iz vprašanja, gre očitno za situacijo, ko bi te osebe do osebnih podatkov dostopale v okviru svojih del in nalog na delovnem mestu, za katerega so sklenile pogodbo o zaposlitvi in ne iz kakšnih posebnih osebnih upravičenj. Zato menim, da načeloma zadostuje, da se s funkcijami oz. delovnimi mesti ali na podoben način (ki mora biti vseeno dovolj določen, omejujoč in restriktiven) opredeli, kdo lahko do posameznih osebnih podatkov dostopa, v njih vpogleda oz. jih kako drugače obdeluje. Na tak način potem tudi ne bo treba neprestano spreminjati teh aktov, če se zamenjajo zaposleni na posameznih delovnih mestih.

Ali lahko nekdanji delodajalec posreduje podatke o delavcu novemu delodajalcu (npr. podatke v povezavi z dohodnino), če novi delodajalec ne izkaže, da delavec to dovoli? In, ali lahko delodajalec nasploh pridobiva kakršnekoli informacije o delavcu brez njegove predhodne privolitve?

Za obdelavo osebnih podatkov (kar seveda vključuje pošiljanje in pridobivanje osebnih podatkov) mora obdelovalec ves čas izkazovati eno izmed pravnih podlag kot izhajajo iz 6. člena Splošne uredbe o varstvu osebnih podatkov (GDPR). V delovnih razmerjih so pogoji za obdelavo osebnih podatkov v nekaterih pogledih še nekoliko bolj strogi, saj delovnopravno področje izhaja iz temeljnega načela zaščite delavca kot šibkejše stranke – iz tega izhaja tudi, da je privolitev le izjemoma lahko pravna podlaga za obdelavo osebnih podatkov, in sicer kadar izpolnjuje vse pogoje, ki jih za veljavno privolitev zahteva GDPR (nedvoumnost, jasnost, informiranost privolitve…), odklonitev