Hramba elektronske pošte po odhodu zaposlenega

Informacijski pooblaščenec (v nadaljevanju IP) je po elektronski pošti prejel vašo prošnjo za mnenje glede hrambe elektronske pošte nekdanjega zaposlenega. Navajate, da zaposleni ob odhodu s podpisom primopredajnega zapisnika soglaša, da mu je bila dana možnost izbrisa osebne elektronske pošte iz svojega elektronskega predala (kot tudi vseh ostalih osebnih podatkov na računalniku, ki ga je uporabljal). V predalu načeloma še vedno ostaja elektronska pošta, ki je poslovne narave, del delovnega področja. Elektronska pošta je dokumentarno gradivo, ki bi ga zaposleni praviloma morali evidentirati kot vhodne ali izhodne dokumente v informacijskem sistemu za evidenco dokumentarnega gradiva. Kot navajate, skoraj zagotovo večina službenih elektronskih sporočil ni evidentiranih v dokumentnem sistemu, zato se občasno pojavlja potreba po dostopu do poštnega predala bivšega sodelavca. Sprašujete, kdo in v katerih primerih lahko do nje dostopa ob predpostavki,  da so bila izbrisana vsa osebna sporočila. Prav tako sprašujete, kako dolgo lahko hranite e-pošto bivših sodelavcev ter ali lahko elektronsko pošto bivšega sodelavca prenesete na osebo, ki bo prevzela njegovo delovno področje. Nadalje sprašujete, ali je za to potrebno soglasje bivšega sodelavca ne glede na to, da je predhodno že podpisal primopredajni zapisnik.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Uredba), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

IP uvodoma pojasnjuje, da v okviru komunikacije prek elektronske pošte predstavlja zbirko osebnih podatkov zgolj zbirka t.i. prometnih podatkov (elektronski naslovi, na katere je posameznik poslal elektronsko sporočilo in od katerih je sporočilo prejel; datum in čas pošiljanja in prejema sporočila; zadeva sporočila in drugi tehnični podatki v povezavi s sporočilom – priponka, velikost, itd.). Zato pri elektronski pošti Uredba in deloma ZVOP-1 varujeta le prometne podatke, medtem ko je sama vsebina elektronske pošte varovana v okviru določb o kršitvi tajnosti občil iz 139. člena Kazenskega zakonika oziroma določb o zahtevi za prenehanje kršitve osebnostnih pravic iz 134. člena Obligacijskega zakonika. Delodajalec ima pravico do oblasti nad svojimi sredstvi in pravico, da nadzira, ali je ta oprema uporabljena skladno z namenom, za katerega je bila zaposlenemu dana v uporabo, delavec pa lahko utemeljeno pričakuje določeno stopnjo zasebnosti na delovnem mestu, kar izhaja že iz 46. člena Zakona o delovnih razmerjih (ZDR-1). Ta določa, da delodajalec varuje in spoštuje delavčevo osebnost ter upošteva in ščiti njegovo zasebnost. IP na tem mestu izpostavlja, da v sklopu neobvezujočega mnenja vsekakor ne more presojati konkretnih dejanj obdelav, temveč lahko to stori šele v okviru inšpekcijskega postopka, zato v nadaljevanju podaja splošna pojasnila.

Delodajalec mora v skladu s še veljavnima 24. in 25. členom ZVOP-1 ter členom 32 Uredbe zagotoviti ustrezne tehnične in organizacijske postopke in ukrepe, s katerimi bo preprečil nepooblaščeno obdelavo, uničenje, izgubo ali spremembo osebnih podatkov. Upravljavci osebnih podatkov morajo v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov in določiti osebe, ki so odgovorne za posamezne zbirke osebnih podatkov. Iz zapisanega izhaja, da mora upravljavec sorazmerno natančno predpisati postopke in ukrepe, s katerimi bo varoval elektronsko pošto zaposlenih (npr. Pravilnik o varnosti oz. Pravilnik glede uporabe službene elektronske pošte), ki naj tudi določajo, kaj se zgodi z neaktivnimi predali elektronske pošte nekdanjih zaposlenih (npr. vsebina se ali izbriše ali pa se arhivira). IP poudarja, da mora biti zaposlenemu pred prenehanjem delovnega razmerja dana možnost, da še zadnjič vpogleda v svoje zasebne podatke in svoj predal elektronske pošte ter vsebino, ki se nanaša na njegovo zasebnost (osebne podatke) po lastni presoji izbriše oziroma shrani na drug podatkovni medij (USB ključ, idr.) ter obvesti svoje kontakte, da na ta elektronski naslov ne bo več dostopen. Hkrati IP izpostavlja, da je arhivirana elektronska pošta, vezana na elektronski predal nekdanjega zaposlenega, še vedno zbirka osebnih podatkov, kar pomeni, da ukrepi za zavarovanje po še veljavnem 24. in 25. členu ZVOP-1 ter členu 32 Uredbe zanjo veljajo kot obveznost delodajalca. Resda so pogoji dostopanja do arhivske pošte s strani delodajalca precej milejši kakor v primeru, ko gre za delujoč poštni predal, vendar to ne pomeni, da lahko do vsebine arhivirane poštne baze dostopa kdorkoli, pač pa zgolj pooblaščena oseba in še to na podlagi utemeljenih razlogov. Torej je tudi v primeru arhivirane pošte baze delodajalec dolžan zagotoviti ustrezne varnostne ukrepe, s katerimi bo preprečil nepooblaščeno obdelavo osebnih podatkov.

Na tem mestu vas IP usmerja na mnenje, v katerem je že odgovoril na podobno vprašanje, tudi glede rokov hrambe:

- Mnenje št. 0712-1/2017/1538 z dne 3.8.2017: https://www.ip-rs.si/varstvo-osebnih-podatkov/iskalnik-po-odlocbah-in-mnenjih/odlocbe-in-mnenja-vop/?tx_jzvopdecisions_pi1%5BshowUid%5D=2950

Dodatna pojasnila boste našli tudi v Smernicah o varstvu osebnih podatkov v delovnih razmerjih, ki se nahajajo na povezavi: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_-_Varstvo_OP_v_delovnih_razmerjih.pdf

Glede vašega vprašanja o pridobivanju soglasja nekdanjega zaposlenega, ki je predhodno že podpisal primopredajni zapisnik, IP ponovno izpostavlja, da izven inšpekcijskih postopkov ne more presojati konkretnih dejanj obdelave, zato splošno pojasnjuje. Za zakonito obdelavo osebnih podatkov mora obstajati pravna podlaga. V členu 6(1) Uredbe je določeno, da je obdelava zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem je treba upoštevati, da se zadnja točka (f) ne more uporabljati za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Obdelava osebnih podatkov je tako zakonita, če je izpolnjen (vsaj) eden od zgoraj naštetih pogojev, pri čemer obdelavo osebnih podatkov zaposlenih določa 48. člen ZDR-1 (v povezavi z osnovnim načelom sorazmernosti, kot ga opredeli člen 5 Uredbe). Če torej upravljavec razpolaga s ustrezno pravno podlago za hrambo podatkov in dostopanje do njih (npr. točke c ali e člena 6(1) Splošne uredbe) potem pridobivanje soglasja, kot ga določa člen 6(1)(a) Uredbe, ni potrebno niti primerno.

V upanju, da ste dobili odgovor na svoje vprašanje, vas lepo pozdravljamo.

Mojca Prelesnik, univ.dipl.prav.,

informacijska pooblaščenk

Pripravila:

Jasmina Mešić,
svetovalka pooblaščenca za preventivo