Na podlagi posredovanih informacij IP skladno z 58. členom Uredbe (EU) 2016/679 (Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (UZInfP) posreduje neobvezujoče mnenje v zvezi z omenjenim vprašanjem.
O b r a z l o ž i t e v:
IP najprej poudarja, da ustreznost določene programske rešitve (npr. mobilne aplikacije, ki bi merila delavčevo prisotnost na delovnem mestu s pomočjo lokacijskega sledenja) v okviru zadevnega mnenja ne more presojati, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti s Splošno uredbo o varstvu podatkov. Presojo o ustreznosti namreč lahko izvede le v okviru konkretnega inšpekcijskega postopka.
Pri tem uvodoma poudarja, da je treba za vsako obdelavo osebnih podatkov imeti ustrezno in zakonito pravno podlago. Te so določene v prvem odstavku 6. člena Splošne uredbe in so sledeče:
Ob tem je treba upoštevati, da se zadnja alineja ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.
Čeprav ZVOP-1 razlikuje med javnim in zasebnim sektorjem, je področje delovnega prava specialno urejeno za oba sektorja v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih in Zakonu o evidencah na področju dela in socialne varnosti. Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca zagotovo šibkejša stranka, je zakonodajalec to področje uredil strožje, zaradi česar na tem področju praviloma niti v zasebnem sektorju ne dopušča avtonomije strank v smislu, da bi delodajalec lahko brez podlage v zakonu od delavca zahteval katerekoli osebne podatke ali jih obdeloval na drugi pravni podlagi (npr. privolitev, pogodba, …). Delavec lahko namreč tudi na delovnem mestu utemeljeno pričakuje določeno stopnjo zasebnosti, delodajalec pa mora v skladu s 46. členom ZDR-1 varovati in spoštovati delavčevo osebnost ter upoštevati in ščititi delavčevo zasebnost.
Glede obdelave osebnih podatkov delavcev veljajo načeloma enaka pravila za delodajalce v zasebnem in javnem sektorju, pri čemer so za ugotavljanje zakonitosti konkretne obdelave pomembni posamezni področni predpisi. Upoštevajoč določbe 48. člena ZDR-1 lahko delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Tretji odstavek 48. člena še določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.
Pri obdelavi osebnih podatkov v razmerju delavec - delodajalec je treba upoštevati in razumeti tako interese delodajalca kot tudi interese delavca. Ugotavljanje delovne uspešnosti, čim bolj racionalna izraba delovnega časa in delovnih sredstev, učinkovitost in varnost delovnega procesa ter nadzor nad njim in preprečevanje morebitnih zlorab so argumenti, ki delodajalce ženejo k nadzoru zaposlenih. Kljub temu pa bi nad interesi močnejšega delodajalca v določenih okoliščinah morala prevladati pravica šibkejšega delavca do zasebnosti, do katere je (seveda v razumnih mejah) upravičen tudi na delovnem mestu. Delavca je namreč treba obravnavati kot posameznika, ki ima poleg obveznosti iz delovnega razmerja tudi pravice osebne narave.
Pri presoji o ustreznosti določenih rešitev (npr. uporabe zadevne aplikacije) pa mora delodajalec vedno izhajati iz načela najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.
IP še pojasnjuje, da mora delodajalec pred uvedbo aplikacije in uporabo lokacijskih podatkov v okviru aplikacije temeljito presoditi dopustnost in utemeljenost namena, zaradi katerega želi uvesti takšno tehnologijo. Poleg tega mora presoditi tudi njegovo primernost in sorazmernost; ali bi isti namen lahko zadovoljivo dosegel tudi z uvedbo ukrepov, ki manj posegajo v zasebnost, svobodo gibanja in dostojanstvo delavcev. Pred uvedbo takšne aplikacije je delodajalec dolžan s sprejetjem notranjega akta delavce seznaniti s tem, da se v okviru aplikacije za določen namen (ki ga opredeli delodajalec) uporabljajo lokacijski podatki. Delodajalec je dolžan delavca, ki uporablja aplikacijo, seznaniti z aplikacijo, načinom njenega delovanja, namenom njene namestitve s strani delodajalca ter s primeri in nameni, za katere bodo pridobljeni podatki uporabljeni. Ob tem mora poskrbeti tudi za zavarovanje zbirke osebnih podatkov, ki nastane na podlagi uporabe aplikacije. Gre za organizacijske in tehnične ukrepe, ki jih določata Splošna uredba o varstvu podatkov (32. člen) in ZVOP-1 (24. in 25. člen).
Glede na navedbe v vašem zaprosilu je po mnenju IP verjetno tudi, da gre za obliko obdelave iz Seznama dejanj obdelav osebnih podatkov, za katere velja zahteva po izvedbi ocene učinka v zvezi z varstvom osebnih podatkov po 4. odstavku 35. člena Splošne uredbe o varstvu podatkov in ko je torej predhodna izvedba ocene učinka v zvezi z varstvom osebnih podatkov obvezna.
Gre torej za vnaprejšnjo presojo, ali oziroma pod kakšnimi pogoji bi bila uporaba aplikacije, zlasti lokacijskih podatkov zakonita, sorazmerna, transparentna, varna itd. Zelo pomembno je izhajati iz težav, ki naj bi jih reševali z uvedbo aplikacije, pri čemer je treba realno oceniti, ali se bo na tak način dejansko doseglo zasledovane cilje (v vašem primeru je to, kot navajate, beleženje gibanja zaposlenih med delovnim časom) in ali teh ciljev ni mogoče doseči na drug način (npr. z drugačno organizacijo delovnega procesa na način, ki bi omogočal uporabo drugih sredstev za dosego cilja).
Dodatno IP še opozarja, da je treba v primeru uporabe takšnega načina beleženja prisotnosti, ki bi zahteval od zaposlenega, da si na svoj zasebni telefon namesti določeno aplikacijo, upoštevati tudi določbe 157. člena ZEKom-1, ki določa, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je naročnik ali uporabnik v to privolil potem, ko je bil predhodno jasno in izčrpno obveščen o upravljavcu in namenih obdelave teh podatkov. Privolitev mora biti torej podana kot predpogoj za zakonito namestitev aplikacije na zasebni telefon zaposlenega in za pridobivanje podatkov iz teh njihovih naprav. To pomeni, da morajo imeti zaposleni možnost zavrniti uporabo aplikacije brez posledic za delovno razmerje.
IP vam v danem primeru tako ne more podati enoznačnega odgovora glede zakonitosti obdelave podatkov v okviru konkretne mobilne aplikacije, temveč bi se lahko konkretno opredelil šele v postopku inšpekcijskega nadzora.
V kolikor menite, da upravljavec ni ravnal v skladu z določbami iz Splošne uredbe o varstvu podatkov, lahko pri IP vložite (anonimno) prijavo, na podlagi katere IP lahko prične voditi inšpekcijski postopek.
Več koristnih informacij glede obdelave osebnih podatkov v delovnem razmerju si lahko preberete tudi v Smernicah »Kako so moji podatki varovani v delovnem razmerju?«, ki so dostopne na povezavi (npr. na strani 17 glede obveščenosti delavca glede obdelave osebnih podatkov in strani 22 o obdelavi osebnih podatkov s sodobnimi tehnologijami).
O uporabi zasebnih naprav v službene namene pa je IP izdal smernice, ki so dostopne na povezavi.
Vir: Informacijski pooblaščenec (IP), 20. april 2022
Članki izražajo stališča avtorjev, in ne nujno organizacij, v katerih so zaposleni, ali uredništva portala IUS-INFO.
