Kodiranje osebnih podatkov v elektronskih sporočilih

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vaš dopis v katerem sprašujete, katere osebne podatke je po elektronski pošti potrebno pošiljati kodirano.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov oz. Uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Po 4. členu Splošne uredbe o varstvu podatkov (Uredba (EU) 2016/679, v nadaljevanju Uredba) je osebni podatek katera koli informacija v zvezi z določenim ali določljivim posameznikom. Uredba v 9. členu določa, da so posebna vrsta osebnih podatkov (po ZVOP-1 so to občutljivi osebni podatki) tisti podatki, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

Zakon o varstvu osebnih podatkov (ZVOP-1), ki se v tem delu še uporablja, v 14. členu določa, da morajo biti občutljivi osebni podatki pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njih, razen v primeru 5. točke 13. člena tega zakona. Drugi odstavek tega člena posebej ureja prenos občutljivih podatkov preko telekomunikacijskih omrežji. V tem odstavku je zapisano, da pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij se šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom. Uredba in ZVOP-1 pa od upravljavca ne zahtevata, da se med prenosom po telekomunikacijskih omrežjih na zgoraj opisan način zavaruje tudi t.i. navadne osebne podatke.

Lep pozdrav,

                                                                                               Mojca Prelesnik, univ.dipl.prav.,                                                 

                                                                                               Informacijska pooblaščenka

Pripravil:                                                                                                                                

Darko Mohar,

Projektni sodelavec