Na Informacijskega pooblaščenca je bilo naslovljeno vprašanje glede dopustnosti vpogleda v kadrovsko mapo zaposlenega s strani zunanjega presojevalca ISO standarda. Temeljno pravno podlago za obdelavo osebnih podatkov v delovnih razmerjih predstavlja 48. člen Zakona o delovnih razmerjih, ki določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.
V konkretnem primeru bi se vpogled v kadrovsko mapo zaposlenega s strani zunanjega presojevalca ISO standarda lahko utemeljil na podlagi točke (f) prvega odstavka 6. člena Splošne uredbe, torej na podlagi zakonitega interesa, za katerega si prizadeva upravljavec, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Informacijski pooblaščenec priporoča, da se presoja zakonitega interesa pisno dokumentira.
Ob povedanem je treba upoštevati načelo najmanjšega obsega podatkov ter zagotoviti ustrezno zavarovanje osebnih podatkov, npr. pogodbenika zavezati k varovanju zaupnosti ter prepovedi uporabe podatkov v druge namene.
Celotno mnenje Informacijskega pooblaščenca številka 07121-1/2023/842 z dne 22. 6. 2023 je dostopno tukaj.