TFL Vsebine / TFLGlasnik

1. SPLOŠNO O VARSTVU OSEBNIH PODATKOV

Od uveljavitve splošne uredbe o varstvu podatkov (Uredba (EU) 2016/679 Evropskega parlamenta in sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES; v nadaljevanju: Splošna uredba) se tudi v Republiki Sloveniji veliko pozornosti posveča področju varstva osebnih podatkov. Ne gre za novo, ampak zgolj za aktualno tematiko, saj nas čas živahnega tehnološkega razvoja, zlasti pa čas svetovne pandemije sili v nove oblike poslovanja. Varstvo osebnih podatkov normativno ureja že Ustava Republike Slovenije, ki v 38. členu določa, da je zagotovljeno varstvo osebnih podatkov. prepovedana je uporaba osebnih podatkov v nasprotju z namenom njihovega zbiranja. Zbiranje, obdelovanje, namen uporabe, nadzor in varstvo tajnosti osebnih podatkov določa zakon. Vsakdo ima pravico seznaniti se z zbranimi osebnimi podatki, ki se nanašajo nanj, in pravico do sodnega varstva ob njihovi zlorabi.

Določba 38. člena Ustave Republike Slovenije na splošni ravni pomeni, da je ustavodajalec izbral t. i. obdelovalni model za varstvo osebnih podatkov (angl. processing model), ne t. i. modela zlorabe (angl. misuse model), saj določa predvsem pravila za urejanje dopustne obdelave osebnih podatkov na zakonski ravni, ne pa načelne svobode obdelave in pretoka osebnih podatkov, ki je lahko le izjemoma izrecno omejena z zakonom.1

Na podlagi citirane ustavne določbe je bil sprejet Zakon o varstvu osebnih podatkov (ZVOP-1), ki določa pravice, obveznosti, načela in ukrepe, s katerimi se preprečujejo neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika pri obdelavi osebnih podatkov. ZVOP-1 izhaja iz temeljnih načel zakonitosti in poštenosti, načela sorazmernosti in prepovedi diskriminacije.

Za zagotavljanje skladnosti pri izvedbi obdelave osebnih podatkov je tako nujno treba spoštovati določbe ZVOP-1, ki še vedno velja. kljub številnim prizadevanjem ZVOP-2 namreč še vedno ni sprejet.

Na področju varstva osebnih podatkov je treba obvezno upoštevati tudi splošno uredbo o varstvu podatkov, ki se v sloveniji uporablja neposredno od 25. maja 2018.

1.1. Temeljne opredelitve

Za lažje razumevanje je treba nujno izhajati iz zakonskih opredelitev osebnega podatka. Šele po opredelitvi, da gre za osebni podatek in njegovo obdelavo v najširšem smislu, je treba sprejeti in izvajati ustrezne ukrepe varstva, ki jih predvidevata ZVOP-1 in splošna uredba.

Osebni podatek je v skladu s prvim členom ZVOP-1 kateri koli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen. posameznik je določena ali določljiva fizična oseba, na katero se nanaša osebni podatek. Fizična oseba je določljiva, če se lahko neposredno ali posredno identificira, predvsem s sklicevanjem na identifikacijsko številko ali na enega ali več dejavnikov, ki so značilni za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali družbeno identiteto, pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa.

Opredelitev osebnega podatka po splošni uredbi je nekoliko širša, saj je osebni podatek katera koli informacija o določenem ali določljivem posamezniku; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot so ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika (4. člen).

Dodatno Splošna uredba v prvem odstavku 9. člena opredeljuje posebne vrste osebnih podatkov – to so osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelavo genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov o zdravju ali podatkov o posameznikovem spolnem življenju ali spolni usmerjenosti.

Za zagotavljanje skladnosti je treba upoštevati tudi opredelitev obdelave osebnih podatkov, ki pomeni kakršno koli delovanje ali niz delovanja, ki se izvaja v zvezi z osebnimi podatki, ki so avtomatizirano obdelani ali ki so pri ročni obdelavi del zbirke osebnih podatkov ali namenjeni vključitvi v zbirko osebnih podatkov, zlasti zbiranje, pridobivanje, vpis, urejanje, shranjevanje, prilagajanje ali spreminjanje, priklicanje, vpogled, uporaba, razkritje s prenosom, sporočanje, širjenje ali drugo dajanje na razpolago, razvrstitev ali povezovanje, blokiranje, anonimiziranje, izbris ali uničenje (4. člen Splošne uredbe). obdelava je lahko ročna ali avtomatizirana (sredstva obdelave). avtomatizirana obdelava je obdelava osebnih podatkov s sredstvi informacijske tehnologije.

Za pravilno izvajanje splošne uredbe je ključna določitev položaja, v katerem je posamezno podjetje, javni organ ipd. Glede obdelave osebnih podatkov. bistveno je torej opredeliti, ali je podjetje v vlogi upravljavca ali pogodbenega obdelovalca oz. celo podobdelovalca.

Upravljavec pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave. Kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice. obdelovalec pa pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca.

Za opredelitev deležnikov posameznih obdelav osebnih podatkov je treba upoštevati tri bistvene razlikovalne elemente med upravljavcem in obdelovalcem. v vlogi obdelovalca bo nastopala tista pravna oziroma fizična oseba, ki bo obdelavo osebnih podatkov izvrševala (1) izključno v imenu in za račun upravljavca osebnih podatkov, (2) ki bo pri tem črpala podlago za obdelavo osebnih podatkov iz upravičenj upravljavca ter (3) ki bo pri samih dejanjih obdelave vezana na navodila upravljavca.

Od upravljavca oz. obdelovalca je treba ločiti pojem t. i. uporabnika osebnih podatkov. Uporabnik je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke po posamezni poizvedbi v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov pri teh javnih organih poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave.

1.2. Zakonite podlage za obdelavo osebnih podatkov po Splošni uredbi

Ne glede na to, v kakšni vlogi obdelujemo osebne podatke (smo obdelovalec ali upravljavec), mora obdelava temeljiti na eni izmed zakonitih podlag, ki jih določata zakon in splošna uredba.

Splošna uredba v 6. členu določa naslednje podlage za zakonito obdelavo osebnih podatkov:

a. Privolitev – posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo svojih osebnih podatkov v enega ali več določenih namenov. privolitev posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj.

b. Pogodba – obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe.

c. Zakon – obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca.

č. Življenjski interes – obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe.

d. Javni interes – obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

e. Zakoniti interes – obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Upravljavec upoštevaje okoliščine posameznega primera (obdelave osebnih podatkov) sam določi, na kateri zakoniti podlagi izvršuje obdelavo osebnih podatkov. vse podlage so enakovredne.

Računovodje so, upoštevaje naravo svojega dela in obseg storitev, ki jih izvajajo, v smislu določb ZVOP-1 in splošne uredbe pogodbeni obdelovalci. to pomeni, da morajo zraven krovne pogodbe (Pogodbe o računovodenju) z naročnikom obvezno skleniti tudi pogodbo o obdelavi osebnih podatkov. Ustrezno pa morajo poskrbeti še za varnost osebnih podatkov svojih naročnikov, ki jih obdelujejo njihovi podobdelovalci (skrbniki e-hrambe, ponudniki programskih rešitev itd.).

2. OBVEZNOSTI UPRAVLJAVCEV/OBDELOVALCEV PO SPLOŠNI UREDBI

Splošna uredba predvideva aktivnosti, ki jih morajo izvesti tako upravljavci kot obdelovalci osebnih podatkov. Predvidene so zlasti naslednje:

• prilagoditev pogodb z obdelovalci;
• vzpostavitev evidence dejavnosti obdelav;
• vzpostavitev postopkov za varovanje pravic posameznika; obvestilo nadzornemu organu ob kršitvah;
• ocena učinka v zvezi z varstvom osebnih podatkov;
• imenovanje pooblaščene osebe za varstvo osebnih podatkov.

2.1. Prilagoditev pogodb z obdelovalci

Upravljavec lahko v skladu s splošno uredbo sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

Obdelovalec ne sme angažirati drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. Ob splošnem pisnem dovoljenju mora obdelovalec upravljavca obvestiti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

V pogodbah je tako treba urediti zlasti: naravo in namen obdelave;

• vsebino in trajanje obdelave; vrste osebnih podatkov;
• kategorije posameznikov, na katere se nanašajo osebni podatki;
• obveznosti in pravice pogodbenih strank (upravljavca in obdelovalca).

Pogodba mora zlasti določati, da obdelovalec:

• osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje tako obvestilo na podlagi pomembnih razlogov v javnem interesu;
• zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon; sprejme vse ukrepe, potrebne v skladu z 32. členom splošne uredbe;
• spoštuje pogoje iz drugega in četrtega odstavka 28. člena Splošne uredbe za zaposlitev drugega obdelovalca;
• ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki; upravljavcu pomaga pri izpolnjevanju obveznosti iz členov od 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;
• v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;
• da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz 28. člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

Obdelovalec mora nemudoma obvestiti upravljavca, če po njegovem mnenju navodilo upravljavca krši splošno uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.

Če obdelovalec krši splošno uredbo z določitvijo namenov in sredstev obdelave, se šteje za upravljavca v zvezi s to obdelavo.

2.2. Vzpostavitev evidenc dejavnosti obdelave

Vsak upravljavec in predstavnik upravljavca, kadar ta obstaja, vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Dolžnost vodenja evidenc dejavnosti obdelave torej velja tudi za računovodje. ta evidenca vsebuje vse naslednje informacije:

• naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;
• namene obdelave;
• opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;
• kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;
• kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijsko navedbo te tretje države ali mednarodne organizacije, ob prenosih iz drugega pododstavka člena 49(1) splošne uredbe pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;
• kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;
• kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1) splošne uredbe. evidence dejavnosti obdelave so lahko v pisni ali elektronski obliki (tretji odstavek 30. člena Splošne uredbe).

Upravljavec, obdelovalec ali predstavnik upravljavca ali obdelovalca, kadar ta obstaja, morajo nadzornemu organu na njegovo zahtevo omogočiti dostop do evidenc.

Splošna uredba predvideva, da evidenc dejavnosti obdelave ni treba vzpostaviti tistim podjetjem oz. organizacijam, ki zaposlujejo manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz 10. člena Splošne uredbe.

2.3. Postopki za varovanje pravic posameznika

Tretje poglavje splošne uredbe podrobneje ureja pravice posameznika, na katerega se nanašajo osebni podatki.

Upravljavec mora sprejeti ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz 13. in 14. člena Splošne uredbe ter sporočila iz členov od 15 do 22 in 34 te iste uredbe, povezana z obdelavo, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno, z elektronskimi. Na zahtevo posameznika, na katerega se nanašajo osebni podatki, se informacije lahko predložijo ustno, če se identiteta posameznika, na katerega se nanašajo osebni podatki, dokaže z drugimi sredstvi.

Upravljavec mora posamezniku, na katerega se nanašajo osebni podatki, olajšati uresničevanje njegovih pravic.

Upravljavec mora informacije o ukrepih, sprejetih na zahtevo v skladu s členi od 15 do 22 Splošne uredbe, posamezniku, na katerega se nanašajo osebni podatki, zagotoviti brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se po potrebi lahko podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, se informacije, kadar je mogoče, zagotovijo z elektronskimi sredstvi, razen če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače.

Splošna uredba predpisuje tudi postopek z vlogami/zahtevami posameznika. Če upravljavec ne ukrepa na zahtevo posameznika, na katerega se nanašajo osebni podatki, mora upravljavec takega posameznika brez odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, obvestiti o razlogih za neukrepanje ter o možnosti vložitve pritožbe pri nadzornem organu in možnosti uveljavljanja pravnih sredstev.

Drugače kot ZVOP-1 splošna uredba določa, da se informacije, zagotovljene na podlagi 13. in 14. člena, ter vsa sporočila in ukrepi, sprejeti na podlagi členov od 15 do 22 in 34, zagotovijo brezplačno. Izjemoma lahko upravljavec informacije, ki jih posreduje na zahtevo posameznika, zaračuna, vendar sam nosi breme dokazovanja, da je zahteva očitno neutemeljena ali pretirana.

Splošna uredba loči med informacijami, ki jih je treba zagotoviti, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki (13. člen), ter informacijami, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo (14. člen).

Pri ukrepih za izvrševanje pravic posameznika je treba paziti še na druge pravice, ki jih ima posameznik po splošni uredbi (npr. na pravico do dostopa – 15. člen, pravico do popravka – 16. člen, pravico do izbrisa – 17. člen …).

2.4. Obveščanje nadzornega organa ob kršitvah

Ob kršitvi varnosti osebnih podatkov mora upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej obvestiti pristojni nadzorni organ (Informacijskega pooblaščenca rs, v nadaljevanju: Ip RS) v skladu s 55. členom, razen če ni verjetno, da bi bile s kršitvijo varnosti osebnih podatkov ogrožene pravice in svoboščine posameznikov. kadar obvestilo nadzornemu organu ni podano v 72 urah, se mu priloži navedba razlogov za zamudo.

Tudi obdelovalec mora po seznanitvi s kršitvijo varnosti osebnih podatkov brez nepotrebnega odlašanja uradno obvestiti upravljavca. obvestilo mora v skladu s splošno uredbo vsebovati vsaj:

• opis vrste kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se
• nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;
• sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;
• opis verjetnih posledic kršitve varnosti osebnih podatkov;
• opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varnosti osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.

Opozoriti je treba na možnost, ki jo dopušča splošna uredba, kadar informacij ni mogoče zagotoviti istočasno. v tem primeru se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

Upravljavec je dolžan dokumentirati vsako kršitev varnosti osebnih podatkov, vključno z dejstvi o kršitvi varnosti osebnih podatkov, njene učinke in sprejete popravne ukrepe.

2.5. Ocena učinka v zvezi z varstvom osebnih podatkov

Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, mora upravljavec pred obdelavo oceniti učinek predvidenih dejanj obdelave na varstvo osebnih podatkov. v eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

Če ima upravljavec imenovano pooblaščeno osebo za varstvo podatkov, mora pri izvedbi ocene učinka v zvezi z varstvom podatkov zaprositi za njeno mnenje.

Ocena učinka v zvezi z varstvom podatkov se zahteva zlasti:

• ob sistematičnem in obsežnem vrednotenju osebnih vidikov, povezanih s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke za posameznika ali nanj na podoben način znatno vplivajo;
• ob obsežni obdelavi posebnih vrst podatkov iz člena 9(1) Splošne uredbe ali osebnih podatkov, povezanih s kazenskimi obsodbami in prekrški iz 10. člena Splošne uredbe; ali
• ob obsežnem sistematičnem spremljanju javno dostopnega območja.

Informacijski pooblaščenec republike slovenije je izdal tudi posebne smernice2 za izvajanje ocen učinka, v katerih je določil seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka.

2.6. Imenovanje pooblaščene osebe za varstvo osebnih podatkov (DPO)

Splošna uredba ne predpisuje obveznega imenovanja pooblaščene osebe za varstvo osebnih podatkov (t. i. DPO). Upravljavec in obdelovalec pa morata imenovati pooblaščeno osebo za varstvo podatkov vedno, kadar:

• obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;
• temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati; ali
• temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu z 9. členom in/ali osebnih podatkov, povezanih s kazenskimi obsodbami in prekrški iz 10. člena Splošne uredbe.

Povezana družba lahko imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za varstvo podatkov lahko dostopna iz vsake enote.

Imenovanje pooblaščene osebe za varstvo osebnih podatkov je lahko tudi prostovoljno.

Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca, ali pa naloge opravlja na podlagi pogodbe o storitvah.

Računovodske družbe bodo zavezanke za imenovanje pooblaščene osebe za varstvo osebnih podatkov, če gre za obsežno obdelavo posebnih vrst osebnih podatkov oz. če temeljna dejavnost upravljavca zahteva redno in sistematično obsežno spremljanje osebnih podatkov posameznika.

V skladu s smernicami3 o pooblaščenih osebah za varstvo podatkov, ki jih je pripravila Delovna skupina za varstvo osebnih podatkov iz 29. člena, je treba za določitev, ali se obdelava izvaja v velikem obsegu, ob imenovanju pooblaščenih oseb v vsakem primeru upoštevati zlasti naslednje dejavnike:

• število zadevnih posameznikov, na katere se nanašajo osebni podatki;
• količino podatkov in/ali obseg različnih podatkovnih postavk, ki se obdelujejo; trajanje ali stalnost dejavnosti obdelave podatkov in
• geografsko razsežnost dejavnosti obdelave.

3. VARSTVO OSEBNIH PODATKOV OB RAZGLAŠENI EPIDEMIJI

Svetovna pandemija zaradi okužb z virusom SARS-COV-2 (covid-19) je vplivala na vsa področja delovanja. z razglašeno epidemijo se je bistveno spremenil način poslovanja strankami, predvsem pa ustaljeni poslovni procesi pri notranjem poslovanju. zato je ključno izpostaviti področja, na katera moramo biti zaradi razglašene epidemije še posebej pozorni, ne glede na to, ali smo upravljavec ali obdelovalec osebnih podatkov. Največje tveganje za ustrezno varstvo osebnih podatkov so bili hiter prehod na e-poslovanje v okoljih, kjer to ni bilo običajno oz. kjer tak način ni bil že vpeljan, odrejanje dela na domu ipd. zato so v nadaljevanju na kratko predstavljene posebnosti obdelave osebnih podatkov o delovnih razmerjih, pa tudi druga področja poslovanja, pri katerih moramo biti pri izvajanju interventnih ukrepov in poenostavljenem poslovanju še posebej previdni.

3.1. Varstvo osebnih podatkov med epidemijo v delovnih razmerjih

Kot smo že izpostavili, so splošne podlage za obdelavo osebnih podatkov urejene v 8. členu ZVOP-1, ki izrecno določa, da se osebni podatki lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo izbranih osebnih podatkov podana osebna privolitev posameznika. Namen obdelave osebnih podatkov mora biti določen v zakonu, pri obdelavi na podlagi osebne privolitve posameznika pa mora biti posameznik predhodno pisno ali na drug ustrezen način seznanjen z namenom obdelave osebnih podatkov.

Podatki o zdravju in zdravstvenem stanju posameznika (npr. podatek o morebitni okužbi) se štejejo za t. i. posebne vrste osebnih podatkov. Njihova obdelava, kamor spada tudi razkrivanje drugim, je načeloma prepovedana, razen v točno določenih primerih, ki jih določa člen 9(2) Splošne uredbe o varstvu podatkov. Tako npr. tovrstna obdelava ni prepovedana, če je posameznik, na katerega se nanašajo osebni podatki, za obdelavo dal izrecno privolitev ali če je ob upoštevanju nacionalne zakonodaje potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava (mnenje Ip RS 07121- 1/2020/1763, z dne 6. oktobra 2020).

Varstvo delavčevih osebnih podatkov ureja 48. člen Zakona o delovnih razmerjih (ZDR-1). Osebni podatki delavcev se lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam, samo če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. osebne podatke delavcev lahko zbira, obdeluje, uporablja in posreduje tretjim osebam samo delodajalec ali delavec, ki ga delodajalec za to posebej pooblasti. Osebni podatki delavcev, za zbiranje katerih ni več zakonite podlage, se morajo takoj zbrisati in prenehati uporabljati. Enako velja za osebne podatke kandidatov. Katere evidence z osebnimi podatki delavca vodi delodajalec na področju dela in socialne varnosti, podrobneje določa Zakon o evidencah na področju dela in socialne varnosti (ZEPDSV, Uradni list RS, št. 40/06).

Informacijski pooblaščenec se je v enem izmed svojih mnenj opredelil tudi o pravici sindikata do pridobitve osebnih podatkov zaposlenih.

Sindikat lahko pridobi podatke o odtegljajih za posamezne zaposlene po posameznih enotah, če bi izkazal, da jih nujno potrebuje za opravljanje sindikalne dejavnosti. obseg osebnih podatkov, do katerih je sindikat upravičen, je torej treba presojati glede na okoliščine posameznega primera (predvsem zakonske določbe o vlogi sindikata v posameznih primerih, npr. obveznost posvetovanja v nekaterih primerih, možnost zastopanja delavca ipd., ter določila kolektivnih pogodb) – mnenje Ip RS, št. 07120-1/2021/121, z dne 22. marca 2021.

Pri obdelavi osebnih podatkov v razmerju med delavcem in delodajalcem je treba upoštevati in razumeti tako interese delodajalca kot tudi interese delavca. Ugotavljanje delovne uspešnosti, čim bolj racionalna izraba delovnega časa in delovnih sredstev, učinkovitost in varnost delovnega procesa ter nadzor nad njim in preprečevanje morebitnih zlorab so argumenti, ki delodajalce ženejo k nadzoru zaposlenih. Kljub temu bi nad interesi močnejšega delodajalca v nekaterih okoliščinah morala prevladati pravica šibkejšega delavca do zasebnosti, do katere je (seveda v razumnih mejah) upravičen tudi na delovnem mestu. Delavca je namreč treba obravnavati kot posameznika, ki ima poleg obveznosti iz delovnega razmerja tudi pravice osebne narave.4

Hiter prehod na nove oblike dela (zlasti delo na domu) je bil zato dodaten izziv za vse delodajalce pri organizaciji delovnih procesov, pa tudi na področju varovanja osebnih podatkov.

Bistveno je poudariti, da ne glede na prilagojene načine dela to ne sme vplivati na varstvo osebnih podatkov. vsa pravila varstva osebnih podatkov tudi pri izrednih ukrepih in pri delu na domu še vedno veljajo.

Zakon o začasnih ukrepih za omilitev in odpravo posledic COVID-19 (ZZUOOP) izrecno določa, da se pri uveljavljanju povračila nadomestila plače s strani delodajalca kot dokaz priloži izjava delavca o obstoju okoliščin, ki vplivajo na nastanek višje sile. Pri obdelavi drugih osebnih podatkov, torej zbiranju dodatnih dokazil, ki dokazujejo pogoje, ki jih določa ZZUOOP, mora delodajalec spoštovati vse določbe splošne uredbe. Delodajalec naj torej zahteva zgolj podatke, ki so nujno potrebni za dosego cilja – tj. presojo obstoja okoliščin višje sile skladno z zakonodajo. Potrdilo delodajalca drugega starša o natančnem opisu njegovih delovnih nalog presega namen dokazovanja obstoja višje sile skladno z ZZUOOP-jem.5

V praksi so se kot izrazito problematični pokazali zlasti naslednji primeri: uporaba domačih računalnikov za službene namene in obratno, pošiljanje osebnih podatkov po navadni e-pošti (še več, tovrstno obliko komuniciranja so interventni zakoni in na njihovi podlagi sprejeti odloki celo predpisali kot sprejemljiv način vročanja v upravnih postopkih), uporaba zasebnih e-poštnih naslovov in telefonskih številk v službene namene itd.

Ena izmed pogostih kršitev, ki jo je zaznal tudi nadzorni organ, je bil nadzor elektronske pošte in nadzor nad uporabo interneta.

ZVOP-1 pri elektronski pošti varuje le prometne podatke, medtem ko je sama vsebina elektronske pošte varovana po določbah o kršitvi tajnosti občil iz 139. člena Kazenskega zakonika oziroma po določbah o zahtevi za prenehanje kršitve osebnostnih pravic iz 134. člena Obligacijskega zakonika.

Če torej delodajalec službeno pošto zaposlenega želi pregledovati, mora zaposlenemu pravila za tak ukrep sporočiti vnaprej, ali v obliki pravilnika ali v obliki drugega ustreznega akta, ki ga izda delodajalec. Če tega ne bo storil, lahko močno poseže v zasebnost zaposlenega in tvega posledice. Zadnji odmevnejši primer iz sodne prakse evropskega sodišča za človekove pravice je primer barbulescu proti romuniji,6 ki dopušča nadzor delodajalca nad delavcem ob uporabi delovne opreme.

Ne glede na navedeno je praksa slovenskega nadzornega organa (Informacijskega pooblaščenca RS) zelo jasna in izhaja iz ustavnih in zakonskih omejitev pri obdelavi osebnih podatkov.

V prvem odstavku 10. člena ZVOP-1 je določeno, da se osebni podatki v zasebnem sektorju lahko obdelujejo, če obdelavo in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo izbranih osebnih podatkov podana osebna privolitev posameznika. obdelava osebnih podatkov pa je v skladu s tretjim odstavkom 10. člena ZVOP-1 dopustna tudi, če je to nujno zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki.

Pri tem je po mnenju Informacijskega pooblaščenca RS treba izhajati iz dejstva, da lahko zaposleni na naslov delodajalca prejme tudi povsem zasebno pisanje – tako po navadni kot tudi po elektronski pošti. za zasebno pisanje, ki pride po navadni pošti, štejemo pošiljke, naslovljene na zaposlenega (njegovo osebno ime), ne na delodajalca, in poslane na naslov delodajalca. pošiljk, ki prispejo v elektronski predal, na ta način ni mogoče ločevati, saj so vse naslovljene na elektronski naslov delavca, njihova vsebina pa je lahko službena ali zasebna. To dejstvo je dolžan spoštovati tudi delodajalec. tako določilo v pogodbi o zaposlitvi, da delodajalec lahko pregleduje elektronsko pošto, ne sme pomeniti splošnega pooblastila za delodajalca, da lahko kadar koli in brez vednosti delavca pregleduje njegovo elektronsko pošto. Določilo lahko pomeni le seznanitev delavca z možnostjo pregleda elektronske pošte v primerih, ki jih delodajalec vnaprej določi (za katere namene, ob katerih okoliščinah …) v internem aktu. Seveda morajo biti taki razlogi taksativno navedeni in izredni. Tudi za te primere pa bi bilo po mnenju Ip RS primerno vpogled dopustiti le do ravni t. i. prometnih podatkov. tako pridobi delodajalec vedenje o pošiljatelju, datumu pošte in opisu zadeve. v vsebino same pošiljke bi po mnenju Ip RS delodajalec lahko vpogledal le izjemoma in praviloma na podlagi vsakokratne izrecne privolitve zaposlenega – glede na konkretno elektronsko sporočilo in predvsem če sporočila ne bi mogel pridobiti od pošiljatelja.7

Seveda to ne pomeni, da delodajalec zaposlenemu ne sme omejiti uporabe službenega elektronskega naslova, če bi se iz drugih razlogov (ne z vpogledom v zasebno pošto, ampak denimo na podlagi odzivov tretjih oseb na sporočila, počasno delovanje omrežja zaradi pošiljanja slikovnih ali zvočnih datotek, povečano število virusov …) izkazalo, da zaposleni elektronskega naslova ne uporablja v skladu z vsem navedenim in s politiko delodajalca o uporabi službenih sredstev. Kot je že navedeno, sta namreč oprema in službeni elektronski naslov last delodajalca, delavec pa ima kot imetnik zgolj pravico do uporabe; zato lahko delodajalec uporabo službenega elektronskega naslova tudi omeji.8

Pridobivanje zdravstvenih podatkov zaposlenih

Delodajalec ni upravičen do seznanitve z diagnozo delavca, je pa zaradi morebitnega preverjanja upravičene odsotnosti z dela upravičen do seznanitve z dejstvom o obstoju bolniškega staleža in režimom gibanja zaposlenega. Podatek o razlogu zadržanosti dobi delodajalec na bolniškem listu (obrazec potrdilo o upravičeni zadržanosti od dela – Obr. BOL), ki ga prinese delavec ob koncu meseca, če pa gre za bolniški stalež, daljši od 30 dni, dobi odločbo ZZZS, v kateri je poleg tega podatka tudi režim gibanja delavca med odsotnostjo.9

Po uvedbi e-bolniških listov se teh ne sme pošiljati po navadni (nezaščiteni) e-pošti. Običajna elektronska pošta kot taka ne omogoča posebne varnosti in bi jo lahko v fizičnem svetu primerjali z dopisnico, kjer se lahko z vsebino komunikacije seznanijo vsi, ki sodelujejo pri njenem pošiljanju, posredovanju in dostavi. zakonodaja zato upravičeno zahteva višjo stopnjo varnosti, kadar se po nezavarovanih omrežjih in storitvah posredujejo podatki občutljivejše narave – mednje spadajo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu ipd. pri prenosu občutljivih podatkov po telekomunikacijskih omrežjih se šteje, da so ustrezno zavarovani, če se posredujejo s kriptografskimi metodami in elektronskim podpisom, tako da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.10

Potrdilo o upravičeni zadržanosti z dela nikakor ne sme vsebovati diagnoze ali podrobnejšega opisa bolezenskega stanja, ampak zgolj za delodajalca oz. zdravstveno zavarovalnico potrebne in dopustne podatke – ali gre za poklicno bolezen oz. poškodbo ob delu ali za bolezen ali poškodbo izven dela oz. ali za vrsto odsotnosti, za katero pripada delavcu nadomestilo že od prvega dne odsotnosti.

Zdravnik torej sme delodajalcu na način, ki ne bo omogočil nepooblaščenega seznanjanja z osebnimi podatki, sporočiti podatek o tem, ali je delavec upravičeno zadržan od dela zaradi bolezni ali poškodbe, ki je nastala pri delu ali izven njega, ter koliko časa.11

Nepravilna kontrola bolniškega staleža

Kontrola bolniškega staleža, ki se zaradi zbiranja, posredovanja in uporabe s tem povezanih osebnih podatkov šteje kot obdelava osebnih podatkov, je v nekaterih primerih potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja. V 110. členu ZDR-1 (osmi alineji) je namreč določeno, da lahko delodajalec delavcu izredno odpove pogodbo o zaposlitvi, če delavec med odsotnostjo z dela zaradi bolezni ali poškodbe ne spoštuje navodil pristojnega zdravnika ali zdravstvene komisije ali če v tem času opravlja pridobitno delo ali če brez odobritve pristojnega zdravnika ali zdravstvene komisije odpotuje iz kraja svojega bivanja. Kontrolo bolniškega staleža in s tem povezano obdelavo osebnih podatkov delavcev lahko delodajalec izvaja sam ali jo na podlagi 11. člena ZVOP-1 zaupa pogodbenemu obdelovalcu, to je fizični ali pravni osebi, ki obdeluje osebne podatke v njegovem imenu in za njegov račun. Delodajalci za kontrolo bolniškega staleža največkrat najamejo zasebne detektive, saj v skladu s 26. členom Zakona o detektivski dejavnosti (ZDD-1) spada v detektivovo delovno področje tudi pridobivanje informacij o zlorabah pravice do zadržanosti z dela zaradi bolezni ali poškodbe, o zlorabah uveljavljanja pravice do povračila stroškov prevoza na delo in z dela, dela pod vplivom alkohola ali prepovedanih drog ter o drugih disciplinskih kršitvah in kršilcih.

Delodajalec oziroma v njegovem imenu detektiv lahko pridobi podatke o režimu gibanja delavca (navodila zdravnika o morebitnem strogem počitku ali dopustnem gibanju) med bolniško odsotnostjo in podatek o predvidenem času odsotnosti, ker brez njih ne more ukrepati ob sumu zlorabe bolniškega staleža in organizirati dela oziroma zagotoviti nadomeščanja odsotnega delavca. podatke lahko pridobi od zaposlenega ali od njegovega osebnega zdravnika, ki pa podatkov ni dolžan posredovati.12

Mobilna aplikacija za obveščanje o stikih z okuženimi z virusom SARS-COV-2 in osebami, ki jim je bila odrejena karantena, ter zgolj prostovoljna uporaba aplikacije je skladna s pravnim redom EU-ja. To velja tudi za uporabo aplikacije v okviru delovnih razmerij. Stališče o prostovoljnosti aplikacije so poudarili tudi evropska komisija, evropski parlament, svet evrope, evropski odbor za varstvo podatkov in svetovna zdravstvena organizacija. zakonska podlaga, ki bi delodajalcu dajala pravico, da od delavca zahteva, da si na svoj mobilni telefon naloži aplikacijo, ne obstaja.13

Delodajalec ima pravno podlago tudi za pridobitev podatka o razlogu (npr. bolezen, poškodba izven dela, poklicna bolezen, poškodba pri delu, nega) začasne zadržanosti od dela, saj ga potrebuje za obračun nadomestila plače med začasno zadržanostjo, nima pa pravne podlage za pridobitev diagnoze bolezni oziroma poškodbe.

Delodajalec mora kot upravljavec osebnih podatkov pri zbiranju in nadaljnji obdelavi osebnih podatkov poleg same zakonitosti obdelave spoštovati še druge določbe splošne uredbe, kot so npr. temeljna načela v zvezi z obdelavo osebnih podatkov iz 5. člena splošne uredbe ter dolžnost posameznikom zagotoviti pregledne in razumljive informacije v zvezi z zbiranjem in obdelavo osebnih podatkov (12. in 13. člen Splošne uredbe). Na tem mestu velja izpostaviti zlasti načelo najmanjšega obsega podatkov (točka c prvega odstavka 5. člena), po katerem morajo biti osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo, s čimer se prepreči zbiranje osebnih podatkov na zalogo. Delodajalec ni upravičen, da od delavca zahteva tudi predložitev dokazil oz. dokumentacije, iz katere izhajajo konkretni razlogi za delavčevo ogroženost. Le zdravstvena stroka lahko presoja, kateri delavci spadajo v rizično skupino, zaradi česar delodajalci glede na določbe delovnopravne zakonodaje niso upravičeni do obdelave zdravstvenih podatkov zaposlenih, kot je npr. diagnoza ali podatki o konkretnih znakih bolezni.14

3.2. Spremembe na področju elektronskega vročanja

Zakon o začasnih ukrepih v zvezi s sodnimi, upravnimi in drugimi javnopravnimi zadevami za obvladovanje širjenja nalezljive bolezni SARS-COV-2 (CovID-19) (Uradni list rs, št. 36/20 in 61/20) je izrecno odstopil od uveljavljenih načinov vročanja, ko je izrecno določil, da se za elektronski predal šteje elektronski naslov, ki ga stranka navede v vlogi ali iz katerega pošlje vlogo, ne glede na to, ali ustreza varnostnim in tehničnim zahtevam, ki jih mora izpolnjevati varni elektronski predal po 86. členu Zakona o splošnem upravnem postopku. zato se je za vročanje lahko uporabil vsak običajni elektronski naslov (na primer Gmail).

4. SKLEP

Za zagotavljanje skladnosti na področju varstva osebnih podatkov je ključno, da tako upravljavec kot obdelovalec izvajata obdelave osebnih podatkov v skladu z določbami ZVOP-1 in splošne uredbe ter pri tem zagotavljata vse tehnične in organizacijske ukrepe za varstvo osebnih podatkov. To je pomembno tudi v času razglašene epidemije, saj poenostavitve poslovanja ne pomenijo razbremenitve odgovornosti, ki jih nalaga splošna uredba. zato je pomembno, da vsak delodajalec pri prehodu na nove in prilagojene načine poslovanja dosledno zagotavlja skladno varovanje in obdelavo osebnih podatkov tako strank/naročnikov kot tudi svojih zaposlenih.

5. LITERATURA IN VIRI

1. Pirc Musar, N., bien karlovšek, s., bogataj, J., prelesnik, M., žaucer, a., Mišič, k., tomšič, a. (2006). Zakon o varstvu osebnih podatkov (ZVOP-1) s komentarjem. Ljubljana: GV Založba.

2.Prelesnik, M. (2017). varstvo zasebnosti na delovnem mestu – pomemben segment celovite pravne varnosti zaposlenih. Ekonomska demokracija, 21 (5), str. 20-23.

3. Šarf, p. (2018). veliko podatkovje, podatkovna analitika in umetna inteligenca: ali je splošna uredba o varstvu podatkov res prilagojena izzivom digitalne dobe? Pravna praksa, 37 (18), pril. str. II-vII.

4. Uredba (EU) 2016/679 evropskega parlamenta in sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (splošna uredba o varstvu podatkov), oJ l 119, 4. maj 2016, str. 1–88.

5. Ustava Republike Slovenije. Uradni list RS, št. 33/91-I, 42/97 – Uzs68, 66/00 – Uz80, 24/03 – Uz3a, 47, 68, 69/04 – Uz14, 69/04 – Uz43, 69/04 – Uz50, 68/06 – Uz121,140,143, 47/13 – Uz148, 47/13 – Uz90,97,99 in 75/16 – Uz70a.

6. Zakon o evidencah na področju dela in socialne varnosti (ZepDsv). Uradni list RS, št. 40/06).

7. Zakon o varstvu osebnih podatkov (ZVOP-1). Uradni list RS, št. 94/07 – uradno prečiščeno besedilo, in 177/20.

8. Zakon o začasnih ukrepih v zvezi s sodnimi, upravnimi in drugimi javnopravnimi zadevami za obvladovanje širjenja nalezljive bolezni sars-Cov-2 (CovID- 19). Uradni list RS, št. 36/20 in 61/20.

Opombe

1. Pirc Musar et al., 2006, str. 19.

2. Najdeno na spletnem naslovu.

3. Najdeno na spletnem naslovu.

4. Smernice informacijskega pooblaščenca, varstvo osebnih podatkov v delovnih razmerjih, 25. november 2019, najdeno na spletnem naslovu.

5. Mnenje Ip RS, št. 07121-1/2020/2034, z dne 12. novembra 2020.

6. Zadeva št. 61496/08, ESČP 2017.

7. Smernice Ip RS, varstvo osebnih podatkov v delovnih razmerjih, str. 22.

8. Smernice Ip RS, ibidem, str. 22.

9. Smernice Ip RS, ibidem, str. 20.

10. Mnenje Ip RS, št. 07120-1/2020/224, z dne 26. marca 2020.

11. Smernice Ip RS, ibidem, str. 20.

12. Smernice Ip RS, ibidem, str. 19-20.

13. Mnenje Ip RS, št. 07121-1/2020/1878, z dne 21. oktobra 2020.

14. Mnenje Informacijskega pooblaščenca o zbiranju izjav o nezmožnosti za delo zaradi pripadanja rizični skupini delavcev, št. 07120-1/2020/359, 18. maj 2020.