Pravni nasveti

Varstvo osebnih podatkov v delovnih razmerjih

Pravni nasveti

Varstvo osebnih podatkov v delovnih razmerjih

Osebni podatki so kateri koli podatki, ki se nanašajo na določeno ali določljivo fizično osebo ne glede na to, v kakšni obliki so izraženi, kot na primer ime, priimek, identifikacijska številka oziroma EMŠO posameznika, davčna številka, kraj rojstva, naslov stalnega/začasnega prebivališča in podobno. Z navedenimi podatki pri sklepanju oziroma izvajanju delovnega razmerja razpolaga tudi delodajalec.

Dopustnost zbiranja podatkov

Delodajalci so v razmerju do svojega zaposlenega delavca upravljavci zbirk osebnih podatkov. Navedeno pomeni, da delodajalec na različne načine obdeluje (npr. zbira, vpisuje, spreminja, hrani) osebne podatke delavca ter tudi drugih posameznikov, kot na primer družinskih članov delavca ter kandidatov za zaposlitev. Obdelava osebnih podatkov je upravljavcu zbirk osebnih podatkov dopustna le, če ima upravljavec zbirke zanjo ustrezno pravno podlago ali pa je za obdelavo osebnih podatkov podana osebna privolitev posameznika.

Delodajalec kot upravljavec osebnih podatkov

Delodajalcem kot upravljavcem osebnih podatkov svojih zaposlenih je pravica upravljanja osebnih podatkov podeljena že s samim zakon, kar pomeni, da delodajalec za obdelavo osebnih podatkov svojih zaposlenih ne potrebuje osebne privolitve vsakega posameznega delavca. Skladno z 48. členom Zakona o delovnih razmerjih-1 (v nadaljevanju: ZDR-1) je delodajalcem omogočeno, da osebne podatke delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam, vendar samo če je to določeno z zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. V kolikor pravna podlaga za zbiranje osebnih podatkov delavcev ne obstoji več, jih je delodajalec dolžan takoj zbrisati ter jih prenehati uporabljati.

Pisna pogodba o obdelavi osebnih podatkov

Nemalokrat pa se delodajalci srečajo s posredovanjem osebnih podatkov svojih delavcev drugim zunanjim ponudnikom, ki za delodajalca opravljajo določene storitve, kot na primer računovodstvo. V takšnem primeru delodajalec nastopa kot upravljavec osebnih podatkov, družba, ki za delodajalca opravlja računovodstvo, pa kot obdelovalec osebnih podatkov. Obdelovalec osebnih podatkov je torej tista fizična ali pravna oseba, ki obdeluje osebne podatke v imenu in za račun upravljavca osebnih podatkov (v konkretnem primeru računovodstvo, ki vodi računovodske storitve za delodajalca). Skladno s trenutno še veljavnim Zakonom o varstvu osebnih podatkov-1 je moral imeti delodajalec že sedaj z zunanjim ponudnikom, ki za delodajalca obdeluje osebne podatke delavcev, sklenjeno pisno pogodbo, v kateri je opredeljeno, katere podatke obdelovalec za delodajalca obdeluje, na kakšen način jih obdeluje, na kakšen način se takšne podatke varuje itn.

Z uveljavitvijo Splošne uredbe o varstvu podatkov (v nadaljevanju: GDPR), ki se prične neposredno uporabljati v vseh državah članicah Evropske unije od dne 25. 5. 2018 dalje, se dolžnost upravljavca skleniti pisno pogodbo z zunanjimi ponudniki, ki obdelujejo podatke upravljavca, nadaljuje, pri čemer GDPR določa več varovalk za varovanje osebnih podatkov. Skladno z 28. členom GDPR je ena izmed novosti tudi ta, da obdelovalec osebnih podatkov ne more zaposliti drugega obdelovalca brez predhodnega posebnega ali splošnega dovoljenja upravljalca. Na takšen način se bodo preprečili primeri, ko se bodo osebni podatki s strani obdelovalca osebnih podatkov posredovali naprej, saj bo upravljavec tisti, ki bo moral za takšno posredovanje podati pisno dovoljenje ter bo tako v vsakem trenutku vedel, kdo vse ima možnost razpolaganja s podatki, ki jih kot upravljavec osebnih podatkov zbira.

Glede na nove zahteve GDPR mora torej delodajalec z obdelovalci osebnih podatkov na novo prilagoditi oziroma skleniti pisno pogodbo o obdelavi osebnih podatkov na način, da zadosti določilom GDPR. V odvetniški pisarni Tadej Vodičar, d. o. o., vam nudimo celovit pregled ter sestavo pogodb z obdelovalci osebnih podatkov.