Kje je delodajalčeva meja obdelovanja osebnih podatkov zaposlenih?

Delodajalec v času zaposlovanja delavcev pridobi kar velik nabor delavčevih osebnih podatkov, ki jih je dolžan zbirati in za ta namen vzpostaviti evidence osebnih podatkov že po samem zakonu. Poleg evidenc, ki so predpisane z zakonodajo, lahko delodajalec vzpostavi tudi druge evidence osebnih podatkov, kolikor je takšna evidenca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Največji izziv pa se pojavi pri tehnični izvedbi tovrstnih evidenc.

Na trgu je kar nekaj aplikacij oziroma računalniških programov, ki delodajalcu ponudijo celovito rešitev pri upravljanju podatkov o njegovih zaposlenih. Takšen sistem, na primer, združuje vse podatke o delavcu, s katerimi delodajalec sicer povsem zakonito razpolaga v trenutku vzpostavitve sistema oziroma zaposlitve delavca, kar delodajalcu omogoča učinkovito upravljanje človeških virov, načrtovanje kadrovske politike, spremljanje števila in fluktuacije zaposlenih ipd. Tehnična rešitev pa lahko vključuje tudi funkcije, kot so beleženje klicev in drugih aktivnosti, opravljenih prek mobilnih naprav delavca, ki so pogosto v lasti delavca ter v dogovoru z delodajalcem uporabljane tudi za službene namene ali pa so v lasti delodajalca in se po dogovoru lahko uporabljajo tudi v zasebne namene. Prav tako posamezne tehnične rešitve omogočajo obdelovanje podatkov o delavcu, zbranih prek nadzornih sistemov delodajalca, ter profiliranje in drugo obdelovanje, ki ni neposredno povezano z uresničevanjem pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. V primeru povezanih družb takšne rešitve zagotavljajo tudi možnost avtomatiziranega združevanja podatkov v centralni bazi matične družbe, katere podatkovne baze so pogosto v drugih državah, neredko pa je tudi poverjanje podatkov v pogodbeno obdelavo izvajalcem (tako imenovani outsourcing) s sedežem v tretjih državah. Kje so pri tem meje, ki jih imajo delodajalci? Osnovno načelo je, da delodajalec ne more na pogodbenega obdelovalca prenesti več pravic, kot jih ima sam. Pogodbeni obdelovalec torej lahko obdeluje osebne podatke zaposlenih le v okviru pooblastil delodajalca in osebnih podatkov ne sme obdelovati za noben drug namen, kar določa tudi zakon o varovanju osebnih podatkov (ZVOP-1).

Jože Suhadolnik

Delodajalec lahko osebne podatke zaposlenih obdeluje le, če ima za to pravno podlago. Podlaga za obdelovanje osebnih podatkov je skladno z zakonom o varstvu osebnih podatkov (ZVOP-1) lahko bodisi v zakonu bodisi v soglasju posameznika. Obdelovanje osebnih podatkov v delovnih razmerjih je zaradi svoje specifične narave urejeno z delovnopravno zakonodajo, kjer stranke niso avtonomne, zato je ta ureditev strožja, kot sicer velja za civilnopravna razmerja.

Dopusten obseg obdelovanja osebnih podatkov delavcev je določen z 48. členom zakona o delovnih razmerjih (ZDR-1), ki določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je tako treba zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem mora delodajalec slediti načelu sorazmernosti iz 3. člena ZVOP-1, ki določa, da morajo biti osebni podatki, ki se obdelujejo, ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo.

Obdelovanje osebnih podatkov zaposlenih v primerih povezanih družb obravnava nova uredba (EU) 2016/679 evropskega parlamenta in sveta (splošna uredba o varstvu podatkov), ki se bo začela neposredno uporabljati maja 2018. Uredba določa, da lahko imajo upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, zakoniti interes za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih. To pa ne vpliva na splošna načela znotraj povezane družbe glede prenosa osebnih podatkov družbi v tretji državi. Iznos podatkov je načelno dovoljen le v tiste tretje države, ki zagotavljajo ustrezno raven varstva osebnih podatkov.

Poleg primerov, ko obdelovanje osebnih podatkov zaposlenih izrecno zahteva zakonodaja, sta zbiranje in obdelovanje osebnih podatkov zaposlenih dopustni le, če sta primerni in potrebni zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

Osebna privolitev zaposlenega za obdelovanje osebnih podatkov je skladno z mnenjem št. 15/2011 delovne skupine za varstvo osebnih podatkov evropske komisije dopustna le izjemoma in pod pogojem, da zavrnitev soglasja nima posledic na delovno razmerje oziroma na delavčev pravni položaj. Smernice slovenskega informacijskega pooblaščenca kot primer dopustnega namena takšnega zbiranja in obdelovanja osebnih podatkov navajajo letovanja v počitniških kapacitetah v lasti delodajalca ali organizacijo izleta, ki se ga lahko udeležijo tudi družinski člani delavca.

Delodajalec je torej pri obdelovanju osebnih podatkov zaposlenih omejen z namenom, zaradi katerega je dopustno zbirati in obdelovati osebne podatke zaposlenih. Poleg primerov, kjer obdelovanje osebnih podatkov zaposlenih izrecno zahteva zakonodaja, je zbiranje in obdelovanje osebnih podatkov zaposlenih dopustno le, če je to primerno in potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. V vseh drugih primerih mora delodajalec pridobiti soglasje zaposlenega, ki ga zaposleni lahko odkloni in za to ne sme trpeti nikakršnih posledic.

Maja Stojko, univ. dipl. prav., Odvetniška pisarna Miro Senica in odvetniki, d. o. o.