Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaše vprašanje, če lahko kadrovski referent, ko ta dela od doma, s seboj domov odnese osebne mape zaposlenih, ki jih potrebuje za opravljanje delovnega procesa? Zanima vas, ali ob tem zadostuje zgolj potrdilo oz. dovoljenje nadrejenega ali morate dodatno pri takem ravnanju z osebnimi podatki zadostiti še ostalim ukrepom (npr. ustrezna hramba osebnih map).

Na podlagi informacij, ki ste jim jih posredovali, v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo nezavezujoče mnenje IP v zvezi z vprašanjem.

Vsak upravljavec osebnih podatkov (v vašem primeru praviloma podjetje kot delodajalec) mora glede na naravo podatkov, ki jih obdeluje, delovne procese in s tem povezana specifična tveganja zagotoviti ustrezne ukrepe za varnost osebnih podatkov, ki so vezani na konkretne okoliščine. Posebna skrb mora biti namenjena zaščiti posebnih kategorij osebnih podatkov, kot so zdravstveni podatki.

Delodajalec mora za varnost osebnih podatkov skrbeti, ne glede na to, ali delavec dela od doma ali v službenih prostorih delodajalca.

Vsakokratno dovoljenje za vsako posamično obdelavo osebnih podatkov ni nujno potrebno, saj dovoljenje oz. pooblastilo za obdelavo osebnih podatkov praviloma že izhaja iz pogodbe o zaposlitvi ali drugega posebnega pooblastila delavcu za rokovanje z osebnimi podatki pri opravljanju njegovega dela.  

O b r a z l o ž i t e v:

IP uvodoma pojasnjuje, da vprašanja v zvezi z organizacijo dela na domu, obveznostmi delavcev do delodajalca in vprašanja glede izpolnjevanja obveznosti iz delovnega razmerja ne spadajo na področje varstva osebnih podatkov za katere je pristojen IP, temveč gre zlasti za vidike, ki so običajno urejeni z delovnopravno zakonodajo in notranjimi pravili konkretne delovne organizacije. Ne glede na to vam v nadaljevanju podajamo splošne usmeritve s področja varstva osebnih podatkov, ki so vam lahko v pomoč pri iskanju odgovorov na vaša vprašanja.

Vsak upravljavec osebnih podatkov (v konkretnem primeru praviloma podjetje kot delodajalec) mora (ob pogoju zagotovitve ustrezne pravne podlage za obdelavo) glede na naravo podatkov, ki jih obdeluje, delovne procese in s tem povezana specifična tveganja zagotoviti ustrezne ukrepe za varnost osebnih podatkov, ki so vezani na konkretne okoliščine (32. člen Splošne uredbe).

Med ukrepi za zagotavljanje varnosti osebnih podatkov so nujni tako ukrepi za zagotavljanje, da do osebnih podatkov v posameznih zbirkah osebnih podatkov (npr. osebne mape zaposlenih) dostopajo zgolj pooblaščene osebe (npr. sprejem učinkovitih politik in pravil za rokovanje s službenimi gradivi od delu na domu; usposabljanje zaposlenih o ustreznem varovanju osebnih podatkov; ocenjevanje tveganj in uravnoteženje ukrepov za zagotavljanje varnosti glede na tip in občutljivost dokumentov; zagotavljanje varne hrambe in omejenega dostopa do občutljivih podatkov ipd.), kot tudi ustrezni drugi ukrepi in mehanizmi, s katerimi se poskrbijo, da se na razumen način obvladujejo in zmanjšajo tveganja za zlorabe. Torej pomembno je, da do podatkov, ki so kadrovske narave, dostopa na primer zgolj kadrovik, do podatkov službene narave zgolj osebe, ki opravljajo določene delovne naloge, ki se nanašajo na te dokumente, itd. Le s takšnim skrbnim pristopom se lahko onemogoči, da bi se osebe, ki niso za to pooblaščene, seznanile oz. kakorkoli vpogledovale v podatke, ki so sicer zbrani na zakoniti pravni podlagi.

V primeru obdelav posebnih vrst osebnih podatkov (npr. če bi se v osebnih mapah nahajali primeroma tudi zdravstveni osebni podatki)  je to še toliko pomembneje. Vsekakor mora delodajalec vedno poskrbeti za ustrezno varovanje osebnih podatkov na tak način, da so ti varovani proti nepooblaščenemu razkritju ali drugi vrsti zlorabe, saj to tveganje vedno obstaja, ne glede na to, ali delavec dela od doma ali v službenih prostorih delodajalca. Smiselno velja tudi v primeru, kadar bi se osebne mape zaposlenih vodile elektronsko in do njih zgolj dostopalo na daljavo (o tem glej tudi mnenje IP št. 07121-1/2022/599 z dne 2. 6. 2022).

Za zagotavljanje varnosti osebnih podatkov v fizični obliki pri delu na domu, bi morali delodajalci vzpostaviti celovite in ustrezne protokole in pravila, ki bi med drugim vključevali:

-       ukrepe glede varnega prenašanja dokumentov med pisarno in domom;

-       ukrepe glede varnega shranjevanja in hrambe dokumentov med prenosom in med opravljanjem dela na domu;

-       uvedba sistema za upravljanja z dokumenti za namen spremljanja, kateri dokumenti so se odnesli domov, kdo in kdaj ter za koliko časa jih je odnesel;

-       izvajanje ustreznega usposabljanja zaposlenih o ravnanju z osebnimi in drugimi zaupnimi podatki, vključno z navodili glede varnega uničenja, prenašanja in rokovanja, itd.

Poleg zgoraj naštetega, bi bilo treba opozoriti tudi na pravila za takojšnje poročanje o morebitnih varnostnih incidentih, določenih v 33. členu Splošne uredbe. Zgornje smernice, čeprav niso izčrpne ali kakorkoli predpisujoče, želijo zgolj sprožiti začetno skrbno razmišljanje pri vas kot upravljavcu osebnih podatkov za vzpostavitev takšnih varnostnih ukrepov, ki bi bili primerni in ustrezni glede na konkretno obdelavo v vašem konkretnem primeru. Odgovornost za oblikovanje in izvajanje teh varnostnih protokolov pa vendarle leži pri vas kot upravljavcu osebnih podatkov, pri čemer pa poudarjamo potrebo po prilagojenih pristopih za naslavljanje specifičnih okoliščin v povezavi z vašim delom in posebnih tveganj glede na tip in vrsto osebnih podatkov, ki se v konkretnih primerih obdelujejo.

Za dodatne informacije o vidikih varnosti (zlasti informacijske varnosti) na delovnem mestu vas dodatno napotujemo na brezplačni spletni tečaj »Varni v pisarni«, ki so ga zasnovali na Nacionalnem odzivnem centru za kibernetsko varnost (SI-CERT) s pomočjo Urada Vlade RS za informacijsko varnost. Brezplačni spletni tečaj je dostopen na povezavi: https://www.varnivpisarni.si

Več o ukrepih za varovanje osebnih podatkov si sicer lahko preberete na spletni strani https://upravljavec.si/zagotovite-varnost in na spletni strani Evropskega odbora za varstvo podatkov https://edpb.europa.eu/sme-data-protection-guide/secure-personal-data_en

IP v mnenju sicer ne more presojati, kateri ukrepi bi bili v konkretnem primeru ustrezni in kako bi bilo mogoče konkretno urediti izzive, ki jih v vašem vprašanju opisujete. To bi IP namreč lahko presodil zgolj v konkretnem inšpekcijskem postopku, kjer bi lahko celovito preveril dejansko stanje glede na konkretni primer. Prav tako IP ni pristojen za presojo, kateri delovnopravni mehanizmi so na voljo delodajalcu, v primeru kršitev internih aktov o delovnopravnih vprašanjih v povezavi z organizacijo dela na domu in s tem povezanim varovanjem osebnih podatkov. V zvezi z vašim vprašanjem glede posebnega dovoljenja delavcu za rokovanje z osebnimi podatki pri delu od doma še opozarjamo na določbo drugega odstavka 48. člena ZDR-1, ki določa, da osebne podatke delavcev lahko zbira, obdeluje, uporablja in posreduje tretjim osebam samo delodajalec ali delavec, ki ga delodajalec za to posebej pooblasti. Po mnenju IP praviloma velja, da vsakokratno dovoljenje za vsako posamično obdelavo osebnih podatkov ni nujno potrebno, saj dovoljenje oz. pooblastilo za obdelavo osebnih podatkov praviloma že izhaja iz pogodbe o zaposlitvi ali drugega posebnega pooblastila delavcu za rokovanje z osebnimi podatki pri opravljanju njegovega dela. Vsekakor pa tudi takšna možnost posamičnega vsakokratnega dovoljenja ni izključena. Upravljavec osebnih podatkov namreč lahko prosto določa, na kakšen način bo zadostil pogojem iz 32. člena Splošne uredbe in eden izmed ukrepov je lahko tudi izdaja izrecnega vsakokratnega dovoljenja za iznos osebnih map (oz. drugih osebnih podatkov) izven prostorov delodajalca. Glede na to, da Splošna uredba ne določa konkretnih postopkov in ukrepov za varovanje osebnih podatkov, IP tudi opozarja na možnost delodajalca, da z namenom zagotovitve varovanja osebnih podatkov v celoti prepove iznos (vseh ali zgolj nekaterih) osebnih podatkov iz prostorov delodajalca.

Če bi delodajalec sicer sumil, da je zaposleni nezakonito obdeloval osebne podatke (npr. osebne podatke razkrival nepooblaščenim osebam), lahko zoper delavca poda tudi prijavo na IP. Vsekakor bi v tem primeru IP moral v inšpekcijskem postopku ugotavljati, kako in s katerimi ukrepi je bilo varovanje osebnih podatkov urejeno pri delodajalcu in kako je delodajalec preverjal in zagotavljal spoštovanje teh ukrepov. Namen inšpekcijskega postopka je namreč primarno varovanje javnega interesa ter interesov pravnih in fizičnih oseb v zvezi z zakonskimi obveznostmi glede varovanja osebnih podatkov, primarna odgovornost za izvajanje in zagotavljanje obveznosti po Splošni uredbi in predpisih o varstvu osebnih podatkov pa je na upravljavcu (torej v opisanem primeru na delodajalcu in praviloma ne na delavcu).

Ob tem dodatno še poudarjamo, da je upravljavec v skladu s 33. členom Splošne uredbe dolžan v primeru, če bi prišlo do kršitve varnosti osebnih podatkov (npr. do nepooblaščenega razkritja, izgube osebnih podatkov ipd.) brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o incidentu obvestiti pristojni nadzorni organ (v Sloveniji je to Informacijski pooblaščenec), razen če ni verjetno, da bi bile s kršitvijo varnosti osebnih podatkov ogrožene pravice in svoboščine posameznikov.

Pripravil:

Grega Rudolf,

asistent svetovalca pri IP          

Mojca Prelesnik, univ.dipl.prav.,                                                 

informacijska pooblaščenka