Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede zakonitosti izvajanja preverjanja ozadja zaposlenih oziroma kandidatov (background checks) in posredovanja njihovih osebnih podatkov za namen preverjanja ozadja tretjim osebam izven EU. Zanima vas, ali je izvajanje preverjanja ozadja zaposlenih oziroma kandidatov s strani delodajalca zakonito in pod kakšnimi pogoji.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
Upoštevajoč določbe ZDR-1 lahko delodajalec osebne podatke delavca oziroma kandidata obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Določba vključuje načelo najmanjšega obsega podatkov iz točke (c) prvega odstavka 5. člena Splošne uredbe, ki ga je treba upoštevati pri vsaki obdelavi osebnih podatkov. To določa, da morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Pogoje za izvajanje preverjanja ozadja zaposlenih in kandidatov IP podrobneje pojasnjuje v mnenju spodaj.
Glede vprašanja v zvezi s prenosom osebnih podatkov v tretje države vas napotujemo na našo spletno stran, kjer boste našli vsa pojasnila glede prenosa osebnih podatkov v tretje države in mednarodne organizacije.
O b r a z l o ž i t e v:
Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati. V okviru nezavezujočega mnenja vam lahko podamo zgolj splošna pojasnila in priporočila.
Delodajalci so upravljavci zbirk osebnih podatkov, saj na različne načine obdelujejo osebne podatke delavcev in tudi drugih posameznikov (npr. kandidatov za zaposlitev, družinskih članov delavcev). Obdelava osebnih podatkov je dopustna le, če imajo delodajalci zanjo ustrezno pravno podlago. Za obdelavo osebnih podatkov v okviru delovnih razmerij veljajo splošne pravne podlage za obdelavo osebnih podatkov, kot so določene v 6. členu Splošne uredbe (privolitev posameznika, izvajanje pogodbe, izpolnitev zakonske obveznosti, zaščita življenjskih interesov posameznika, opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, zakoniti interesi). Področje delovnega prava pa je specialno urejeno tudi v področni zakonodaji, predvsem v Zakonu o evidencah na področju dela in socialne varnosti (Uradni list RS, št. 40/06, 50/23 in 24/25; ZEPDSV) ter Zakonu o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 – ZIUPOPDVE, 119/21 – ZČmIS-A, 202/21 – odl. US, 15/22, 54/22 – ZUPŠ-1, 114/23 in 136/23 – ZIUZDS; ZDR-1). Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca šibkejša stranka, je zakonodajalec to področje uredil strožje. Zato je na tem področju obdelava osebnih podatkov na podlagi privolitve dopustna zgolj izjemoma pod pogojem, da zavrnitev privolitve nima posledic na delovno razmerje oziroma na delavčev pravni položaj. Glede na navedeno, privolitev ne bo primerna pravna podlaga za obdelavo osebnih podatkov za namen preverjanja ozadja zaposlenih ali kandidatov, saj posamezniki privolitve ne bi mogli zavrniti brez posledic na njihov pravni položaj.
ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati. ZEPDSV pa določa evidence, ki jih vodijo delodajalci, kdaj se te evidence začnejo voditi ter rok hrambe za dokumente in listine, ki so podlaga za vpis podatkov delavca v te evidence. Omenjene določbe ZDR-1 se uporabljajo tudi za osebne podatke kandidatov. Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca oziroma kandidata obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Določba vključuje načelo najmanjšega obsega podatkov iz točke (c) prvega odstavka 5. člena Splošne uredbe, ki ga je treba upoštevati pri vsaki obdelavi osebnih podatkov. To določa, da morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Delodajalec lahko obdeluje tiste delavčeve osebne podatke, ki jih določa ZEPDSV in v skladu z 48. členom ZDR-1 tiste osebne podatke, za katere izkaže, da jih potrebuje zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravice in obveznosti obeh, torej delavca in delodajalca.
Preverjanje kandidata pred zaposlitvijo
Preverjanje kandidatov pred zaposlitvijo je postopek, ki presega zgolj preverjanje točnosti podatkov, ki jih je kandidat sam navedel. Gre za situacije, kjer delodajalec sam pridobi podatke o ozadju in okoliščinah kandidata iz družbenih omrežij kandidata ali drugih virov in od tretjih oseb. Takšno preverjanje običajno ni obvezen del zaposlitvenega postopka in za večino delovnih mest ne bo potrebno. Preverjanje kandidata pred zaposlitvijo bi delodajalec lahko izvedel le, če:
(i) ima zakonsko obveznost, da takšno preverjanje izvede (npr. po Zakonu o tajnih podatkih v okviru pridobitve dovoljenja za dostop do tajnih podatkov in v okviru pridobivanja varnostnega dovoljenja za organizacijo), ali
(ii) prepozna pomembna in konkretna tveganja za delodajalca, stranke ali druge osebe v zvezi z določenim delovnim mestom. Narava in obseg teh tveganj je odvisna od delovnega mesta. Delodajalec bi v tem primeru lahko imel podlago v točki (f) prvega odstavka 6. člena Splošne uredbe (zakoniti interesi), pri čemer bi moral upravljavec izkazati da je to nujno potrebno zaradi uresničevanja zakonitih interesov upravljavca in da nad temi interesi ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se osebni podatki nanašajo (kandidata) – upravljavec mora opraviti t. i. test tehtanja. V skladu z drugim odstavkom 5. člena Splošne uredbe (načelo odgovornosti) mora upravljavec izvedbo testa tehtanja tudi dokumentirati. Presoja, kaj je »nujno« vključuje ugotavljanje, ali v praksi zakonitega interesa za obdelavo podatkov, ki ga zasleduje upravljavec, ni mogoče razumno enako učinkovito doseči z drugimi sredstvi, ki manj posegajo v temeljne svoboščine in pravice posameznikov, na katere se nanašajo osebni podatki, zlasti v pravici do spoštovanja zasebnega življenja in varstva osebnih podatkov[1]. Če obstajajo razumna, enako učinkovita, a manj invazivna sredstva, obdelave ni mogoče šteti za »nujno«[2]. V tem okviru je Sodišče EU izrecno poudarilo, da je treba pogoj glede nujnosti obdelave presojati skupaj z načelom »najmanjšega obsega podatkov« iz člena 5(1)(c) Splošne uredbe[3]. Sodišče je prav tako poudarilo, da se obdelava lahko izvaja »le v mejah nujno potrebnega« za uresničitev zakonitega interesa, ki je bil opredeljen[4]. Navedeno pomeni, da mora biti preverjanje sorazmerno ugotovljenemu tveganju in ciljno usmerjeno. Povedano drugače: delodajalec lahko zbira in obdeluje osebne podatke o kandidatu za delovno mesto le v takem obsegu, kot je zbiranje teh podatkov potrebno in ustrezno za opravljanje dela na delovnem mestu, na katero se kandidat prijavlja. Delodajalec lahko preverjanje ozadja izvede le, če je v danih okoliščinah utemeljeno in zakonitega interesa ne more učinkovito doseči z drugimi sredstvi, ki manj posegajo v temeljne svoboščine in pravice kandidatov. Rutinsko preverjanje vseh kandidatov ni dopustno, razen v primerih, ko takšno preverjanje zahteva zakon.
IP povzema, da je za vsako obdelavo osebnih podatkov treba torej najprej zagotoviti ustrezno pravno podlago[5]. Izbor ustrezne pravne podlage za posamezno obdelavo je stvar ocene konkretnih okoliščin, odgovornost za izbiro pa nosi upravljavec (delodajalec). Delodajalec mora pri zbiranju in obdelavi osebnih podatkov vedno izhajati iz načela najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo toliko osebnih podatkov, kolikor je nujno potrebno za dosego zakonitega namena obdelave.
IP nadalje pojasnjuje, da je v skladu z načelom pravičnosti in preglednosti iz točke (a) prvega odstavka 5. člena Splošne uredbe potrebno kandidate o preverjanju vnaprej ustrezno obvestiti (npr. v zaposlitvenem oglasu za delovno mesto). Upoštevajoč 14. člen Splošne uredbe mora delodajalec posamezniku zagotoviti najmanj naslednje informacije:
- o vrsti osebnih podatkov, ki jih potrebuje,
- zakaj osebne podatke potrebuje (namen obdelave) in o pravni podlagi za njihovo obdelavo - kadar obdelava temelji na točki (f) prvega odstavka 6. člena Splošne uredbe, tudi informacijo o zakonitih interesih, za uveljavljanje katerih si prizadeva upravljavec,
- kdo bo imel dostop do osebnih podatkov in ali namerava delodajalec osebne podatke prenesti uporabniku v tretji državi ter o obstoju ustreznih zaščitnih ukrepov za tak prenos,
- koliko časa bo osebne podatke hranil.
Glede na okoliščine, lahko delodajalec kandidate obvesti tudi o tem, v kateri fazi zaposlitvenega postopka bo preverjanje izvajal. V skladu z načelom pravičnosti in preglednosti ter načelom točnosti iz točke (d) prvega odstavka 5. člena Splošne uredbe je kandidatu potrebno omogočiti, da se do zbranih podatkov o njem opredeli, saj so lahko podatki, zbrani npr. iz javnih virov, netočni.
Preverjanje zaposlenih
Glede preverjanja zaposlenih velja vse zgoraj pojasnjeno glede preverjanja kandidatov za zaposlitev. Delodajalec lahko takšno preverjanje izvaja le, če ima za to podlago v zakonu ali drugo ustrezno pravno podlago iz 6. člena Splošne uredbe in je takšno preverjanje potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Obveznost za zagotovitev ustrezne pravne podlage za obdelavo osebnih podatkov je vedno na delodajalcu. Glede na to, da je delavec v času zaposlitve izpolnjeval vse pogoje za zaposlitev, bi delodajalec moral posebej izkazati, zakaj je takšno (naknadno) preverjanje potrebno (okoliščina, ko bi npr. delodajalec lahko izvedel preverjanje že zaposlenega delavca, bi nastala v primeru premestitve delavca na delovno mesto, kjer zakon za opravljaje dela na takšnem delovnem mestu zahteva takšno preverjanje, ali pa v primeru spremembe sistemizacije delovnega mesta, ko bi se za zasedbo določenega delovnega mesta kot naknaden pogoj po novem zahtevalo tudi izpolnjevanje kakšnih posebnih pogojev, ki bi utemeljevali takšno preverjanje).
Kot pojasnjeno že zgoraj, mora delodajalec pri obdelavi osebnih podatkov spoštovati vsa načela iz 5. člena Splošne uredbe, vključno z načelom najmanjšega obsega podatkov ter načelom pravičnosti in preglednosti, v skladu s katerim mora delavca o preverjanju tudi ustrezno seznaniti (npr. v internem aktu). Delodajalec mora delavcu zagotoviti vse informacije iz 14. člena Splošne uredbe, vključno s pravico delavca, da od upravljavca zahteva dostop do osebnih podatkov, popravek in da obdelavi ugovarja, kadar obdelava temelji na točki (e) ali (f) prvega odstavka 6. člena Splošne uredbe.
Prenos osebnih podatkov
Glede vprašanja v zvezi s prenosom osebnih podatkov v tretje države vas napotujemo na našo spletno stran, kjer boste našli vsa pojasnila glede prenosa osebnih podatkov v tretje države in mednarodne organizacije (dostopno na: https://www.ip-rs.si/varstvo-osebnih-podatkov/obveznosti-upravljavcev/prenos-osebnih-podatkov-v-tretje-dr%C5%BEave-in-mednarodne-organizacije/). Podrobnejše informacije glede prenosov v tretje države in mednarodne organizacije najdete tudi v naših smernicah, dostopnih na: https://www.ip-rs.si/publikacije/priro%C4%8Dniki-in-smernice/smernice-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov-gdpr/smernice-glede-prenosa-osebnih-podatkov-v-tretje-dr%C5%BEave-in-mednarodne-organizacije-po-splo%C5%A1ni-uredbi-o-varstvu-podatkov. Za razumljivejši pregled nad dopustnimi podlagami za prenose po Splošni uredbi, je IP izdelal tudi infografiko: https://www.ip-rs.si/fileadmin/user_upload/Pdf/infografike/Prenos_osebnih_podatkov_v_dveh_korakih.pdf
Lepo vas pozdravljamo.
Pripravila:
Sandra Kajtazović, univ. dipl. prav.
dr. Jelena Virant Burnik,
informacijska pooblaščenka
[1] Sodba sodišča EU, z dne 4. julija 2023, v zadevi C-252/21, Meta v. Bundeskartellamt (ECLI:EU:C:2023:537), odst. 108.
[2] Ibid.
[3] Sodba sodišča EU, z dne 4. julija 2023, v zadevi C-252/21, Meta v. Bundeskartellamt (ECLI:EU:C:2023:537), odst. 109.
[4] Sodba sodišča EU, z dne 4. julija 2023, v zadevi C-252/21, Meta v. Bundeskartellamt (ECLI:EU:C:2023:537), odst. 126.
[5] Za obdelavo posebnih vrst osebnih podatkov in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški Splošna uredba določa strožje pogoje. Obdelava posebnih vrst osebnih podatkov bo zakonita le, če velja ena od pravnih podlag iz drugega odstavka 9. člena Splošne uredbe. Pravne podlage za obdelavo osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški pa Splošna uredba ureja v 10. členu.