Celostne pravne reštive in strateško poslovno svetovanje.

Smernice IP za varstvo osebnih podatkov v delovnih razmerjih (2. del – konkretni napotki)

Napotki IP podajajo praktične odgovore na najpogosteje zastavljena vprašanja glede varstva osebnih podatkov, ki bodo delodajalcem kot upravljavcem zbirk osebnih podatkov v pomoč pri zagotavljanju zakonite obdelave osebnih podatkov, v nadaljevanju pa je predstavljen njihov povzetek.

  1. EMŠO, davčna številka, številka TRR in podatki o otrocih so podatki, za katere delodajalec nima pravne podlage, da bi jih zahteval od kandidatov, ki so se prijavili na razpisano prosto delovno mesto. Ko pa delodajalec izbere kandidata in z njim sklene pogodbo o zaposlitvi, pridobi vse (ostale) osebne podatke, ki jih mora obdelovati v evidencah v skladu z zakonom, in ki so potrebni za uresničevanje pravic in obveznosti iz delovnega razmerja.
  2. Pridobitev osebnih podatkov kandidata od trenutnega ali prejšnjega delodajalca ni dopustna. Če so podatki pomembni za sklenitev delovnega razmerja (predvsem z vidika dokazovanja delovnih izkušenj za delo, na katero se nanaša razpis), lahko delodajalec od kandidatov eventualno zahteva le predložitev priporočila ali potrdila o delovnih izkušnjah.
  3. Potrdilo o nekaznovanosti se lahko zahteva od kandidatov za zaposlitev le za tista delovna mesta, za katera se kot pogoj za zaposlitev zahteva nekaznovanost. To so načeloma lahko zgolj tista delovna mesta, pri katerih obstaja povečano tveganje za varstvo premoženja, življenja ali kadar tako od delodajalca zahtevajo predpisi.
  4. Potrdilo o nekaznovanosti se lahko naknadno zahteva od že zaposlenih delavcev le v primeru spremembe sistemizacije za določeno delovno mesto, ko bi se naknadno kot pogoj po novem zahtevala tudi nekaznovanost ali v primeru zakonske zahteve v zvezi z opravljanjem dela na določenem delovnem mestu (na primer v zvezi s podajo ponudbe za javno naročilo).
  5. Podatke o plači pri bivšem delodajalcu lahko delodajalec zahteva najkasneje, če in ko nastopijo okoliščine za obračun nadomestila plače, zaradi začasne zadržanosti od dela. Obrazec ER-28 ni obvezen in za enake namene zadošča tudi potrdilo bivšega delodajalca o delavčevi letni bruto plači in urni obveznosti.
  6. Analiza psihološkega profila delavca se lahko izvede tudi v času trajanja delovnega razmerja, ne samo v okviru izbirnih postopkov oziroma preizkusov znanj ali sposobnosti kandidatov za opravljanje dela, za katero se sklepa pogodba o zaposlitvi. Vendar samo v primeru, ko gre za ugotavljanje lastnosti, katerih poznavanje s strani delodajalca je relevantno in nujno z vidika uresničevanja pravic in obveznosti iz delovnega razmerja. Analizo mora izvajati strokovno usposobljena oseba oziroma institucija, pri čemer pa lahko delodajalec od izvajalca psihometričnega testiranja dobi zgolj podatek o tem, ali kandidat ustreza zahtevam ali ne, ni pa upravičen dobiti testov oziroma odgovorov na posamezna vprašanja. IP opozarja, da mora delodajalec vedno razmisliti o tem, ali se lahko isti namen doseže tudi brez obdelave osebnih podatkov delavcev. V primeru analize psiholoških profilov delavcev gre namreč lahko za podatke, z razkrivanjem katerih bi delodajalec lahko pretirano posegel v delavčevo zasebnost.
  7. Delavčevo zasebno telefonsko številko lahko delodajalec zbira le s privolitvijo delavca, izrecno za namen lažjega in hitrejšega komuniciranja, ki naj bi bilo v interesu obeh. Če pa delodajalec določi, da mora biti delavec vedno dosegljiv oziroma je stalna dosegljivost predpisana v notranjih aktih delodajalca ali v pogodbi o zaposlitvi in kot taka predstavlja obveznost iz delovnega razmerja, potem pa mora delodajalec poskrbeti tudi za ustrezno infrastrukturo, ki omogoča dosegljivost delavca izven službenih prostorov in delovnega časa (na primer s službenim mobilnim telefonom, z omogočanjem oddaljenega dostopa do službene elektronske pošte). Delavec svoja sredstva sicer lahko da na razpolago delodajalcu, vendar le če to sam želi, po dogovoru tudi z ustrezno odmero uporabnine.
  8. Kopij osebnih dokumentov delodajalec ne sme zbirati in hraniti (tudi, če bi tako želeli sami zaposleni). Lahko pa vanje vpogleda z namenom preveriti točnost podatkov pred vnosom v zbirko, ali pa iz njih prepiše samo tiste osebne podatke, za obdelavo katerih ima pravno podlago.
  9. Kopije potrdila o davčni številki in/ali kopija bančne kartice, na TRR katere bo delodajalec delavcu izplačeval plačo, pa delodajalec lahko zbira in hrani le, če se delavec s tem strinja. Če zaposleni podatek o svojem računu TRR in davčno številko dostavi v drugačni obliki, mora delodajalcu to zadoščati.
  10. Kopije izpisa iz poročne matične knjige delodajalec ne sme zbirati in obdelovati. Na primer v zvezi s spremembo priimka ima delodajalec le pravico, da od delavca zahteva vpogled v osebni dokument, iz katerega se bo prepričal o novem imenu in priimku.
  11. Kopijo izpisa iz rojstne matične knjige mora delavec delodajalcu dostaviti zaradi izvrševanja pravice do dodatnih dni letnega dopusta zaradi (starosti) otroka, pri čemer pa lahko na izpisku prekrije vse osebne podatke, razen svojega imena ter imena, priimka in datuma rojstva otroka.
  12. Podatek o dietni prehrani delavca je pomemben le, kadar je delodajalec delavcem dolžan zagotoviti topel obrok med delom. V tem primeru je delodajalec upravičen le do podatka o tem, katero hrano sme delavec iz zdravstvenih (ali drugih utemeljenih) razlogov jesti, ne pa tudi do delavčeve diagnoze. Če delodajalec nudi možnost toplega obroka, ki ga delavec iz utemeljenih razlogov ne sme uživati, oziroma če delodajalec ne more zagotoviti prehrane, ki bi ustrezala zdravstvenim potrebam delavca, potem je delavec upravičen do povračila stroškov za prehrano med delom.
  13. Vzrok koriščenja letnega dopusta lahko delavec navede le, če tako želi. Ni pa tega podatka delodajalcu dolžan posredovati oziroma ga delodajalec nima pravice zahtevati.
  14. Fotografiranje delavca, ki ne opravlja svojega dela v času in na delovnem mestu je načeloma dovoljena, zaradi zaščite pravic in obveznosti po pogodbi o zaposlitvi (na primer če bi med kontrolo dela v nočnem času delodajalec fotografiral spečega delavca). Vendar samo za namene dokazovanja v disciplinskem postopku ali delovnopravnem sporu in samo toliko časa, dokler ti postopki trajajo. Sicer pa delodajalec nima splošne pravice fotografirati svojih zaposlenih (na primer ko so na odmoru, med splošno sprejetimi družabnimi dogodki, kot so praznovanja rojstnih dni in podobno) brez njihovega soglasja.
  15. Podatek o veljavnosti vozniškega dovoljenja lahko delodajalec pridobi le od tistih delavcev, ki pri opravljanju dela uporabljajo službena vozila oziroma so zaposleni na delovnih mestih, za katera se kot pogoj zahteva opravljen vozniški izpit določene kategorije. Zato vključitev določila v pogodbo o zaposlitvi ali interni akt delodajalca, da je na primer uporabnik službenega vozila dolžan sporočiti delodajalcu, da mu je bilo odvzeto vozniško dovoljenje, tudi ni v nasprotju z GDPR.
  16. Do podatka o članstvu v sindikatu je delodajalec upravičen le kot upravljavec osebnih podatkov v zvezi z tehnično izvedbo obračuna in plačevanjem sindikalne članarine, ki jo izvede po pooblastilu delavca v skladu z akti sindikata in na zahtevo sindikata. Obdelavo torej izvede delodajalec, a zgolj na podlagi pooblastila delavca, sindikat pa ima pravico, da zahteva od delodajalca tehnično izvedbo obračuna in plačevanja sindikalne članarine za delavca, a le če se delavec tako odloči oziroma s tem strinja.
  17. Podatki o invalidnosti do katerih je delodajalec upravičen so kategorija invalidnosti in omejitve, ki so posledica invalidnosti (na primer prepoved dvigovanja bremen, prepoved dela na višini, delo s polovičnim delovnim časom). Navedeno delavec dokaže z odločbo ZPIZa.
  18. Razkritje podatkov o prisotnosti oziroma odsotnosti delavca sodelavcem je dovoljeno pod pogojem, da je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja in v povezavi z delovnim razmerjem. Za te namene lahko delodajalec delavce znotraj posamezne organizacijske enote seznanja z razporedi dela, iz katerih je razvidno osebno ime delavca in njegova zadolžitev, poleg tega pa tudi s predvideno ali nepredvideno odsotnostjo posameznega delavca in v določenih primerih, če je to potrebno tudi z razlogom za odsotnost (na primer službena pot, dopust, daljša druga odsotnost ipd.), če je takšno obveščanje povezano z delovnim razmerjem, da delavcem zagotovi pravico do obveščenosti. V primeru, ko gre za javne uslužbence in je delodajalec zavezanec za posredovanje informacij javnega značaja, bi bil podatek o času in razlogu odsotnosti delavca, če bi šlo za razlog službene narave (na primer odsotnost zaradi službene poti), lahko dostopen tudi javnosti.
  19. Podatek o delavčevi izobrazbi na delodajalčevi spletni strani se šteje med varovane osebne podatke, zato ga delodajalec lahko objavi le izjemoma, če izkaže, da je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. V nasprotnem primeru mora delavec imeti možnost, da v takšno obdelavo osebnih podatkov privoli ali jo brez posledic zanj odkloni. V primeru, da delavec svojo privolitev naknadno prekliče, mora delodajalec podatek o izobrazbi umakniti s spletne strani.
  20. Objava internega telefonskega imenika na intranetu s službenimi podatki, kjer so vidni zgolj zaposlenim, je dovoljena, brez privolitve delavca, saj je potrebna za učinkovito komunikacijo med zaposlenimi. Navedenega ni primerno posplošiti na javno dostopne spletne strani organizacije! Fotografija delavca predstavlja izjemo, saj načeloma ni nujno potrebna za izvajanje pogodbe o zaposlitvi. Zato je z vidika varstva osebnih podatkov objava fotografije delavca v internem telefonskem imeniku dopustna le, če imajo delavci možnost izbire, kar pomeni, da lahko objavo fotografije brez posledic prepovejo ali pa delodajalcu pošljejo fotografijo oziroma se za ta namen pri njem fotografirajo.
  21. Objava fotografij zaposlenih na spletni strani organizacije je dopustna le, če je to nujno zaradi uresničevanja pravic in obveznosti, ki izhajajo iz delovnega razmerja oziroma iz narave delovnega razmerja ali če je podana prostovoljna privolitev posameznika. Enako velja za objavo fotografij na profilu organizacije na družbenem omrežju.
  22. Seznanitev z razlogi za omejitve pri delu od zdravika medicine dela je dovoljena le v obsegu tistih podatkov, ki se vpisujejo v obrazec Zdravniško spričevalo z oceno izpolnjevanja posebnih zdravstvenih zahtev po opravljenem predhodnem preventivnem zdravstvenem pregledu ali obrazec Zdravniško spričevalo z oceno izpolnjevanja posebnih zdravstvenih zahtev po opravljenem usmerjenem obdobnem ali drugem usmerjenem preventivnem zdravstvenem pregledu. Delodajalec ni upravičen do podatkov o razlogih za morebitne omejitve, diagnoze, vrste bolezni oziroma do drugih zdravstvenih podatkov pregledanega delavca.
  23. Vpogled delodajalca v zdravstveno dokumentacijo o nezgodi pri delu ni dovoljen. Delodajalec ima dostop le do tistih podatkov o nezgodi pri delu, ki so potrebni za izpolnitev predpisanega obrazca ER8. V primeru spora o tem, ali gre resnično za poškodbo pri delu ali ne, bi odločitev moralo sprejeti pristojno delovno sodišče.
  24. Podatki v zvezi s kontrolo bolniškega staleža so v določenih primerih potrebni zaradi uresničevanja pravic in obveznosti iz delovnega razmerja, saj lahko delodajalec poda delavcu izredno odpoved, če delavec v času odsotnosti z dela zaradi bolezni ali poškodbe ne spoštuje navodil pristojnega zdravnika ali zdravstvene komisije ali če v tem času opravlja pridobitno delo ali če brez odobritve pristojnega zdravnika ali zdravstvene komisije odpotuje iz kraja svojega bivanja. Kontrolo bolniškega staleža in s tem povezano obdelavo osebnih podatkov delavcev lahko delodajalec izvaja sam ali pa jo zaupa pogodbenemu obdelovalcu, to je fizični ali pravni osebi. Delodajalec lahko pridobi podatke o režimu gibanja delavca med bolniško odsotnostjo in podatek o predvidenem času odsotnosti, ker brez njih ne more ukrepati ob sumu zlorabe bolniškega staleža in organizirati dela oziroma zagotoviti nadomeščanja odsotnega delavca. Te podatke lahko pridobi od zaposlenega ali od njegovega osebnega zdravnika, ki pa podatkov ni dolžan posredovati. Delodajalec ima pravno podlago tudi za pridobitev podatka o razlogu (na primer bolezen, poškodba izven dela, poklicna bolezen, poškodba pri delu, nega) začasne zadržanosti od dela, saj ga potrebuje za obračun nadomestila plače med začasno zadržanostjo, nima pa pravne podlage za pridobitev diagnoze bolezni oziroma poškodbe. Podatek o razlogu zadržanosti dobi delodajalec na bolniškem listu (obrazec Potrdilo o upravičeni zadržanosti od dela – Obr. BOL), ki ga prinese delavec ob koncu meseca, če pa gre za bolniški stalež nad 30 dni, pa dobi odločbo ZZZS, v kateri je poleg tega podatka naveden tudi režim gibanja delavca v času odsotnosti.
  25. Pridobitev podatka o kršitvi bolniškega staleža s Facebooka, predvsem na način vpogleda v javno dostopni profil in zabeleženja uradnega zaznamka o tem, z namenom podaje izredne odpovedi delovnega razmerja delavcu, ne pomeni kršitve določb GDPR. Kljub temu je treba opozoriti, da dejstvo, da so določeni osebni podatki javno dostopni, še ne pomeni, da se lahko ti podatki uporabljajo za kakršen koli namen, na primer za vzpostavitev nove zbirke osebnih podatkov. Zbiranje fotografij »na zalogo« od vseh delavcev za namen morebitne kontrole bolniškega staleža pri zgolj nekaterih delavcih, pa ni dopustno.
  26. Podatke o ravni alkoholiziranosti oziroma rezultate testiranja na alkoholiziranost je dovoljeno zapisati na obrazec zdravniškega spričevala, če je bil delavec ob zaznanem sumu na alkoholiziranost napoten na usmerjen preventivni zdravstveni pregled k izvajalcu medicine dela v skladu s postopki, predpisanimi v internih aktih. V primeru splošnega preventivnega zdravstvenega pregleda izvajalec medicine dela ne sme delodajalcu z zapisi na zdravniškem spričevalu ali na kakšen drug način sporočati konkretnih rezultatov testiranj na alkohol ter druge psihoaktivne snovi in prepovedane droge.
  27. V zvezi s podatki o rezultatih testiranj na prepovedane droge in druge psihoaktivne snovi, pa je delodajalec upravičen le do informacije o delazmožnosti in s tem podatek o tem, ali je bil delavec pod vplivom prepovedanih drog in drugih psihoaktivnih snovi ali ne. Četudi je delodajalec delavca zaradi suma napotil na usmerjen preventivni zdravstveni pregled. Delodajalec ne potrebuje točnega podatka o tem, za katero psihoaktivno snov gre in kakšna je raven oziroma kaj konkretno je vzrok delavčevega stanja. Če delavec dela ni mogel opravljati iz upravičenih razlogov, lahko te razloge delodajalcu sporoči tako, da mu sam pokaže izvid izvajalca medicine dela.
  28. Podatek o obisku laboratorija ali zdravnika v času bolniške odsotnosti
    odsotnosti (le datum in uro obiska oziroma pregleda, ne pa razlogov zanj) predstavlja osebni podatek delavca, ki ga je delodajalec upravičen pridobiti, saj brez njega ob sumu zlorabe pravice do odsotnosti z dela zaradi bolezni ali poškodbe ne more ustrezno ukrepati. Če zdravnik podatka delodajalcu ne posreduje (tega mu namreč ne nalaga noben zakon), lahko delodajalec potrdilo o obisku laboratorija zahteva od delavca, ki pa ga je dolžan predložiti.
  29. Elektronska pošta: v okviru elektronske pošte predstavlja zbirko osebnih podatkov zgolj zbirka t.i. prometnih podatkov (elektronski naslovi, datum in čas pošiljanja in prejema sporočila, zadeva sporočila in drugi tehnični podatki v povezavi s sporočilom – priponka, velikost, itd.). Zato pride GDPR v poštev le pri prometnih podatkih elektronske pošte, medtem ko je sama vsebina elektronske pošte varovana v okviru določb o kršitvi tajnosti občil ali zahteve za prenehanje kršitve osebnostnih pravic. Vsak vpogled je treba dokumentirati in ga izvesti po vnaprej predpisanem postopku.
  30. Elektronska pošta in računalnik po prenehanju delovnega razmerja: delodajalec mora deaktivirati elektronski poštni predal bivšega (lahko tudi s hkratnim avtomatskim obvestilom o neobstoju tega naslova in podatkom, kam naj naslovijo svoje sporočilo). Po prekinitvi delovnega razmerja ne sme delodajalec elektronski naslov nekdanjega zaposlenega ohraniti aktivenga na način, da bi njegovo pošto preusmeril na elektronski naslov drugega zaposlenega. Delavec, ki odhaja, mora imeti možnost, da iz službenega predala elektronske pošte in z računalnika bodisi izbriše sporočila in dokumente zasebne narave bodisi jih shrani na drug podatkovni medij (zgoščenko, USB ključ, idr.), ter da obvesti svoje zasebne kontakte, da na ta elektronski naslov ne bo več dostopen. Takšen postopek se lahko izvede tudi komisijsko in zapisniško, če delodajalca skrbi, da bo delavec izbrisal še druge podatke in datoteke, kot le osebne. Priporočljivo je, da delavec o izbrisu zasebnih vsebin podpiše izjavo, da na službenem računalniku ni več nobenih podatkov, katerih uporaba bi pomenila poseg v njegovo zasebnost. Izjava je lahko sestavni del primopredajnega zapisnika, s katerim zaposleni vrača službeno opremo delodajalcu.
  31. Ravnanje z elektronsko pošto in računalnikom v primeru nenadne smrti delavca, pa naj bi se za takšne primere, po priporočilu IP, predpisalo v internih aktih delodajalca, z naslednjimi priporočenimi koraki:
        • delodajalec najprej komisijsko in zapisniško odbere ter s službenega sredstva skopira podatke, ki so službene narave in so nujno potrebni za poslovanje podjetja, pri čemer se v največji možni meri izogiba vpogledu v osebne podatke in zasebno korespondenco zaposlenega;
        • podatkov zasebne narave delodajalec sicer ni dolžan hraniti, je pa dopustno, da jih skopira in začasno shrani in ustrezno zavaruje (najdlje za toliko časa, kot je razumno pričakovati, da bi trajala pridobitev odredbe za zavarovanje podatkov s strani dedičev ali drugih pooblaščenih oseb);
        • predal elektronske pošte mora v najkrajšem možnem času onemogočiti, pošiljatelje pa z avtomatskim obvestilom seznaniti, da elektronski naslov ni več aktiven in da sporočilo ne bo dostavljeno ter da naj se obrnejo na drugi naslov (razloga ukinitve delovanja poštnega predala ni priporočljivo niti potrebno navajati);
        • delovno sredstvo, s katerega so bili varno skopirani podatki, lahko delodajalec formatira tako, da izvede varno in nepovratno brisanje podatkov, potem pa ga preda v uporabo drugemu zaposlenemu.
  1. Za ravnanje z računalnikom ob sumu storitve kaznivega dejanja je pravilen postopek, da se računalnik (najustrezneje komisijsko, če se le da s sodelovanjem sindikata) zaseže in zapečati oziroma ustrezno zavaruje pred neupravičenimi posegi in nato preda policiji. Za sam zaseg naprav (v praksi za izdelavo forenzičnih kopij vsebine teh naprav) odredba preiskovalnega sodnika še ni potrebna, je pa potrebna za kasnejšo preiskavo, razen če se pridobi dovoljenja vseh pomembnih deležnikov. Za vpogled v vsebino zasebnih komunikacij je načeloma vedno potrebna odredba sodišča.
  2. Programska oprema za oddaljen dostop se praviloma uporablja tedaj, ko ni mogoče oziroma ni smotrno nuditi neposredne tehnične pomoči posameznim uporabnikom, nikakor pa se jih ne sme namestiti izključno z namenom nadzora nad delavci.
  3. Uporabniška imena in gesla za dostop do službenih računalnikov: hramba kopij surovih gesel je prepovedana. Gesla se lahko hrani v podatkovnih bazah le v takšni obliki, da jih nihče ne more prebrati, razkriti ali posredovati naprej, ne glede na njegova pooblastila. Mogoče je zgolj preveriti, ali določeno geslo, ki ga je vnesel uporabnik, ustreza tistemu, ki je shranjeno v podatkovni bazi, in sicer tako, da se to geslo spusti skozi isti kriptografski algoritem in potem primerja s shranjenim geslom. V primeru pozabljenega ali izgubljenega gesla lahko le pooblaščena oseba obstoječe geslo spremeni in uporabniku dodeli novega, ne sme pa imeti možnosti pozabljenega gesla prebrati v bazi in ga posredovati uporabniku. Vaše osebno geslo je samo vaše. Lahko vam ga spremenijo in dodelijo novega, ki si ga morate zamenjati, nihče pa nima pravice ne videti, ne zahtevati vašega gesla.
  4. Za namene pošiljanja čestitk in daril je obdelava osebnih podatkov dovoljena le, če je potrebna za uresničevanje pravic in obveznosti iz delovnega razmerja. V nasprotnem primeru je dopustna podlaga za pošiljanje čestitk in daril lahko le osebna privolitev zaposlenih. Zavrnitev podaje privolitve ne sme pomeniti nikakršnih negativnih pravnih posledic za zaposlene.
  5. Pošiljanje plačilnih list po e-pošti po mnenju IP ni najbolj varen način seznanitve delavcev z mesečno plačo. Če pa se delodajalec kljub temu odloči, da bo plačilne liste posredoval v e-obliki, jih mora, če vsebujejo tudi posebne kategorije podatkov, kriptirati. Če pa plačilne liste ne vsebujejo občutljivih osebnih podatkov, pa se jih lahko pošilja v šifriranih datotekah, ki naj bodo ločene od gesel za njihovo odpiranje. Ta gesla naj delodajalec delavcem sporoči osebno. Če bo delodajalec plačilne liste pošiljal na zasebne e-naslove delavcev, je pomembno, da ima za obdelavo e-naslovov tudi ustrezno pravno podlago (pisna privolitev). Če zaposleni ne želi posredovati e-naslova ali ga nima, mu bo moral delodajalec plačilno listo dostaviti na drugačen način.

Celotne smernice so dosegljive in jih lahko preberete že na tej povezavi.