Hrvaška: Zavrnitev pritožbe zaposlenega
Hrvaško Upravno sodišče v Rijeki je odločilo, da je imel delodajalec zakonit interes za izvedbo pregleda opreme in podatkov, saj je moral zaščititi delovanje svojih sistemov ter preprečiti morebitno škodo.
Sodba je bila objavljena 27. 5. 2026.
Hrvaško Upravno sodišče v Rijeki je obravnavalo spor med nekdanjim zaposlenim v družbi za proizvodnjo električne energije in hrvaškim nadzornim organom za varstvo osebnih podatkov (AZOP). Zadeva je izhajala iz varnostnega incidenta v hidroelektrarni, kjer je zaposleni opravljal naloge vzdrževanja računalniških sistemov.
Med bolniško odsotnostjo zaposlenega je prišlo do težav z delovanjem računalniške opreme v njegovem delovnem okolju. Delodajalec je zatrjeval, da je bilo za zagotavljanje neprekinjenega delovanja proizvodnih procesov potrebno pregledati in ponovno vzpostaviti delovanje določenih sistemov. Ob tem je izvedel interno preiskavo okoliščin, povezanih z incidentom, pri kateri je pregledal tudi podatke na računalnikih in podatkovnih nosilcih, povezanih z delovnim mestom zaposlenega.
Posameznik je menil, da je delodajalec pri tem nezakonito dostopal do njegovih osebnih podatkov, vključno s posebnimi vrstami osebnih podatkov. Poudarjal je, da so bili na napravah poleg službenih shranjeni tudi zasebni podatki ter podatki tretjih oseb. Poleg tega je zatrjeval, da bi moral imeti možnost dostopa do vseh osebnih podatkov, ki jih je delodajalec obdeloval v okviru preiskave.
Zoper ravnanje delodajalca je vložil prijavo pri hrvaškem nadzornem organu, ki pa ni ugotovil kršitev Splošne uredbe o varstvu podatkov. Posameznik je zato sprožil upravni spor.
Odločitev sodišča
Sodišče je pritrdilo stališču nadzornega organa in presodilo, da je bila obdelava osebnih podatkov v konkretnih okoliščinah zakonita.
Po oceni sodišča namen delodajalca ni bil pridobivanje osebnih podatkov zaposlenega, temveč odprava tehnične napake in ugotavljanje okoliščin varnostnega incidenta, ki je lahko vplival na delovanje kritične energetske infrastrukture. Računalniki in podatkovni nosilci so se nahajali v poslovnih prostorih delodajalca ter so bili povezani z delovno postajo, ki je bila del proizvodnega sistema hidroelektrarne.
Sodišče je posebej poudarilo pomen zagotavljanja varnosti omrežij in informacijskih sistemov, pri čemer se je sklicevalo na uvodno izjavo 49 GDPR. Presodilo je, da je imel delodajalec zakonit interes za izvedbo pregleda opreme in podatkov, saj je moral zaščititi delovanje svojih sistemov ter preprečiti morebitno škodo. Zato je bila obdelava dopustna na podlagi točke (f) prvega odstavka 6. člena GDPR. Poleg tega je sodišče ugotovilo, da je imel delodajalec tudi zakonske obveznosti glede zagotavljanja varnega in zanesljivega delovanja energetske infrastrukture, kar je predstavljalo dodatno pravno podlago po točki (c) prvega odstavka 6. člena GDPR.
Pri presoji sorazmernosti je sodišče ugotovilo, da je bila obdelava omejena na podatke, ki so bili povezani z delovnim okoljem zaposlenega in relevantni za ugotavljanje okoliščin incidenta. Pomembno vlogo je imelo tudi dejstvo, da so bili med pregledom najdeni različni osebni in zabavni materiali, ki po presoji sodišča niso bili povezani z opravljanjem delovnih nalog ter so lahko predstavljali dodatno varnostno tveganje za informacijske sisteme.
Posebej zanimiv je del odločitve, ki se nanaša na posebne vrste osebnih podatkov. Sodišče je ocenilo, da je bila interna preiskava potrebna zaradi uveljavljanja oziroma obrambe pravnih zahtevkov, zato je bila obdelava teh podatkov dopustna tudi na podlagi točke (f) drugega odstavka 9. člena GDPR.
Posameznik je zatrjeval še, da je bilo v postopek vključenih več subjektov, zato bi moral nadzorni organ preveriti obstoj skupnega upravljanja po 26. členu GDPR. Sodišče tega argumenta ni sprejelo. Ugotovilo je, da je preiskavo izvajala interna varnostna služba znotraj korporativne strukture istega upravljavca, zato ni šlo za razmerje med več upravljavci, ki bi zahtevalo poseben dogovor o skupnem upravljanju.
V zvezi s pravico dostopa je sodišče poudarilo, da je ta sicer eno temeljnih upravičenj posameznika po 15. členu GDPR. Kljub temu pa je treba zahtevo presojati tudi ob upoštevanju pravic in legitimnih interesov upravljavca. V konkretnem primeru je ocenilo, da bi razkritje zahtevanih informacij lahko ogrozilo interese delodajalca pri zaščiti njegovih informacijskih sistemov in poslovnih procesov.
Odločitev predstavlja pomemben primer tehtanja med pravicami zaposlenih do varstva osebnih podatkov in obveznostjo upravljavcev, da zagotavljajo varnost informacijskih sistemov ter delovanje kritične infrastrukture. Hkrati potrjuje, da lahko v določenih okoliščinah tudi obdelava posebnih vrst osebnih podatkov temelji na potrebi po uveljavljanju ali obrambi pravnih zahtevkov, če je takšna obdelava nujna in ustrezno omejena na namen preiskave.
Odločitev nadzornega organa je dostopna tukaj.
Vir: GDPRHub
Naslovna fotografija: Pexels
