Pošiljanje plačilnih list na zasebni elektronski naslov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje, če lahko vašim zaposlenim pošiljate z geslom zaščitene plačilne liste na njihove zasebne elektronske naslove ali morate od njih pridobiti posebno soglasje. Zanima vas, ali velja kot ustrezno soglasje tudi povratna potrditev na e-mail oziroma ali bi moralo soglasje biti nujno fizično lastnoročno podpisano?

***

Na podlagi informacij, ki ste jih posredovali IP, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 76. členom Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (Uradni list RS, št. 177/20, v nadaljevanju ZVOPOKD), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo njihovo neobvezujoče mnenje v zvezi z vprašanjem.

1.     Delodajalec lahko zasebne elektronske naslove delavcev zbira in obdeluje (jih uporablja za pošiljanje plačilnih list), ko za tovrstni namen zagotovi ustrezno pravno podlago.

2.       Po mnenju IP bi bila ustrezna pravna podlaga v tovrstnem primeru le privolitev delavca, ki pa mora biti aktivna, prostovoljno podana, specifična, informirana in dokazljiva.

O b r a z l o ž i t e v:

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov preverjati primernosti izbrane pravne podlage ali namenov oziroma obsega obdelave osebnih podatkov v konkretnem primeru. IP tako v okviru mnenja ne sme, niti ne more presojati ustreznosti načina pošiljanja plačilnih list zaposlenih oz. namesto vas presojati ustreznosti oz. zakonitosti izbrane pravne podlage za obdelavo osebnih podatkov, saj je to odgovornost in naloga izključno konkretnega upravljavca, ki za svojo odločitev tudi odgovarja. 

V zvezi s tem nadalje pojasnjujemo, da je za vsako obdelavo osebnih podatkov, torej tudi za njihovo uporabo, razkritje in posredovanje ipd. (v vašem primeru za obdelavo zasebnih elektronskih naslovov zaposlenih v kontekstu pošiljanja plačilnih list), treba imeti ustrezno in zakonito pravno podlago. Pravne podlage so določene v členu 6 Splošne uredbe, kjer je dodatno za področje delovnih razmerij relevanten predvsem 48. člen Zakona o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmIS-A, 202/21 – odl. US, 15/22 in 54/22 – ZUPŠ-1; v nadaljevanju ZDR-1), skladno s katerim se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Navedena določba naj bi omejevala delodajalca pri zbiranju, omejitvi namenov in nadaljnji obdelavi delavčevih osebnih podatkov (npr. njihovih zasebnih elektronskih naslovov), ki niso potrebni za izvajanje pogodbe o zaposlitvi.

Za odgovor na vaše vprašanje je dodatno relevanten tudi Zakon o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06), ki pa posebej nikjer ne določa možnosti zbiranja zasebnih kontaktnih podatkov delavca (npr. njegov zasebni elektronski naslov), prav tako pa ti podatki po mnenju IP praviloma niso nujno potrebni za uresničevanje pravic in obveznosti iz delovnega razmerja. IP je tako stališča, da jih delodajalec lahko zbira le s privolitvijo delavca izrecno za namen lažjega in hitrejšega komuniciranja, ki naj bi bilo v interesu obeh. V tem primeru mora delodajalec natančno opredeliti, da posredovanje podatkov ni obvezno in da lahko delavec posreduje podatek, izključno če tako sam prostovoljno želi.  Delodajalec namreč lahko komunicira z delavcem tudi po navadni pošti oz. delavcu, če to zahteva organizacija delovnega procesa, dodeli službeno elektronsko pošto.

Z vidika jasnosti pa pojasnjujemo, da je za zakonitost obdelave osebnih podatkov dovolj, da je za obdelavo izpolnjena ena izmed pravnih podlag, ki jih določa člen 6(1) Splošne uredbe o varstvu podatkov. To pomeni, da v kolikor upravljavec osebne podatke obdeluje npr. na podlagi zakona (48. člen ZDR-1;  zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem) za te podatke dodatnih privolitev ni dolžan pridobivati kot velja tudi obratno.

Dodatno pa pri tem poudarjamo, da je obdelava delavčevih osebnih podatkov na podlagi njegove osebne privolitve – prav posebno v razmerju delavec - delodajalec sicer dopustna le izjemoma pod pogojem, da njena zavrnitev nima nikakršnih posledic na delovno razmerje oziroma na delavčev pravni položaj. Osebna privolitev v delovnih razmerjih torej je oziroma naj bo bolj izjema kot pravilo, saj je delodajalec v razmerju do delavca močnejša stranka in so možnosti za zlorabo tega instituta v delovnih razmerjih toliko večje. Tudi smernice Evropskega odbora za varstvo podatkov (v nadaljevanju EDPB)[1] glede privolitve kot pravne podlage za obdelavo osebnih podatkov v delovnih razmerjih poudarjajo neprostovoljno naravo razmerja delavec - delodajalec, kar ovira veljavnost te privolitve. Temeljni kriterij za dopustnost privolitve v delovnih razmerjih je po mnenju IP ter EDPB torej to, da podaja ali zavrnitev privolitve za zaposlene nima nikakršnih negativnih posledic. Vsekakor pa se kot veljavna privolitev po Splošni uredbi o varstvu podatkov šteje le aktivna in prostovoljno podana, specifična, informirana in nedvoumna vnaprejšnja privolitev posameznika v obdelavo podatkov, ki pa omogoča, da jo lahko upravljavec kadarkoli izkaže – torej tudi dokazljiva.

Glede vašega vprašanja o zadostnosti zaščite plačilne liste z geslom pred nameravanim pošiljanjem preko elektronske pošte pa dodatno izpostavljamo, da je presoja in odgovornost za zakonitost obdelave osebnih podatkov vedno na upravljavcu (v konkretnem primeru na vas kot delodajalcu). IP v okviru mnenja ne more namesto upravljavca presojati, ali so na strani upravljavca sprejeti ustrezni in dovoljšni zaščitni ukrepi za obdelavo osebnih podatkov zaposlenih, kajti to je odvisno od vsakokratnih okoliščin konkretnega primera (npr. ali gre za pošiljanje na elektronske naslove ponudnikov iz tretjih držav; vsebina poslanih dokumentov oz. vsebnost posebnih vrst osebnih podatkov itd.). IP namreč ne sme in ne more prevzeti odgovornosti posameznih subjektov za njihovo poslovanje, podobno kot to velja za druge inšpekcijske organe ter bi ustreznost vaše presoje in odločitve lahko preverjali izključno v inšpekcijskem oz. drugem upravnem postopku.

Nedvomno pa so upravljavci osebnih podatkov dolžni zagotoviti varovanje osebnih podatkov, ki jih v okviru svojega dela obdelujejo.  ZVOP-1 v 24. členu zahteva od upravljavcev osebnih podatkov izvedbo organizacijskih, tehničnih in logično-tehničnih postopkov in ukrepov, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov, kar se zagotavlja med drugim tudi z varovanjem prostorov in opreme. Gre za organizacijske in tehnične ukrepe, ki jih določata Splošna uredba o varstvu podatkov (32. člen) in ZVOP-1 (24. in 25. člen).  Podrobnejših postopkov in ukrepov niti ZVOP-1, niti Splošna uredba sicer ne določata, saj so ti odvisni od različnih okoliščin v katerih se osebni podatki v praksi obdelujejo. Nadalje, ZVOP-1 v 25. členu določa, da mora vsak upravljavec osebnih podatkov v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov ter določiti osebe, ki so odgovorne za določene zbirke osebnih podatkov in njihovo obdelavo, a ne določa natančne vsebine notranjega akta – pravilnika. Navedene določbe je potrebno upoštevati skupaj z določbami Splošne uredbe, ki podrobneje urejajo področje varnosti osebnih podatkov.

Če se delodajalec torej na podlagi zgornjih pojasnil odloči, da bo plačilne liste posredoval zaposlenim po elektronski pošti, IP priporoča, da upošteva zlasti naslednje:

  • če plačilna lista vsebuje podatek o članstvu v sindikatu, je podatke treba kriptirati;
  • da plačilne liste, čeprav ne vsebujejo posebne vrste osebnih podatkov, pošilja v šifriranih datotekah, ki naj bodo ločene od gesel za njihovo odpiranje, ta gesla pa naj delodajalec delavcem sporoči osebno;
  • poskrbeti mora za verodostojnost dokumenta.

Več o varstvu osebnih podatkov v delovnih razmerjih si lahko preberete tudi v smernicah IP Kako so moji podatki varovani v delovnem razmerju oz. v že objavljenih mnenjih IP, ki so dostopna na naši spletni strani: https://www.ip-rs.si/vop/, kjer si lahko poiščete in preberete mnenja glede na konkretno ključno besedo, ki vas zanima (npr. »delodajalec« ali »pošiljanje plačilnih list«). Za vas relevantno je še posebej mnenje št. 07121-1/2020/1516 z dne 2. 9. 2020.

Pripravil:                                                                                                                                  

Grega Rudolf,

asistent svetovalca pri IP          

Nazaj