Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Službeni e-naslov po prenehanju delovnega razmerja

+ -
Datum: 15.06.2021
Številka: 07121-1/2021/1103
Kategorije: Delovna razmerja, Zavarovanje osebnih podatkov

Informacijski pooblaščenec (v nadaljnjem besedilu IP) je prejel vaše vprašanje glede službenega e-naslova po prenehanju delovnega razmerja. Navedli ste, da ste maja 2021 sporazumno prekinili delovno razmerje. Po odhodu iz podjetja ste ugotovili, da je vaš službeni e-naslov še vedno aktiven in ga uporabljajo za interno komunikacijo. Na ta naslov še vedno prihajajo e-sporočila poslovnih partnerjev, po navodilu direktorice podjetja pa so bili narejeni tudi izpisi vaše celotne korespondence v času zaposlitve. Zanima vas, kako in katera pravna sredstva lahko uporabite zoper navedeno podjetje.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

Po stališču IP mora delodajalec ob prenehanju delovnega razmerja deaktivirati elektronski poštni predal nekdanjega delavca zaradi prenehanja pravne podlage (48. člen ZDR-1) za njegov obstoj.

 

Uvodoma pojasnjujemo, da IP ni pristojen presojati samega načina ravnanja delodajalca v primeru prenehanja delovnega razmerja. Pomembno je, da delodajalec v internih aktih vnaprej predpiše pravila in pogoje, ki veljajo v takšnem primeru, torej tudi postopek ravnanja z elektronsko pošto in njeno vsebino (ureditev deaktivacije predala, ločitev zasebne in službene pošte, izbris oziroma nadaljnja hramba vsebine ipd.) ter možnosti posameznika ob prenehanju zaposlitve (zlasti postopek izločitve zasebnih vsebin in morebiten postopek dostopanja do elektronske pošte v nujnih primerih).

 

Nesporno je elektronski naslov zaposlenega (npr. ime.priimek@podjetje.si) osebni podatek. Za vsako obdelavo osebnih podatkov pa je treba imeti zakonito in ustrezno pravno podlago. Te so določene v členu 6(1) Splošne uredbe o varstvu podatkov, in sicer:

  • privolitev posameznika (točka (a)),
  • sklenitev ali izvajanje pogodbe (točka (b)),
  • zakon (točka (c)),
  • zaščita življenjskih interesov posameznika (točka (d)),
  • izvajanje javnih nalog (točka (e)),
  • zakoniti interesi posameznika, kadar nad takimi interesi ne prevladajo interesi ali temeljne pravice in svoboščine drugega posameznika (točka (f)).

 

Splošno zakonsko podlago delodajalca za obdelavo osebnih podatkov, upoštevajoč točko c člena 6(1) Splošne uredbe o varstvu podatkov, predstavlja Zakon o delovnih razmerjih (Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19 in 203/20 – ZIUPOPDVE), ki v prvem odstavku 48. člena določa, da se osebni podatki delavcev lahko zbirajo, obdelujejo, uporabljajo in dostavljajo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem.

 

Po stališču IP mora delodajalec ob prenehanju delovnega razmerja deaktivirati elektronski poštni predal nekdanjega delavca zaradi prenehanja pravne podlage (48. člen ZDR-1) za njegov obstoj. S tem delodajalec zagotovi tudi točnost in ažurnost podatkov, saj elektronski naslov z imenom nekdanjega delavca ne ustreza več dejanskemu stanju. IP meni, da načeloma ni ustrezno, da delodajalec po prekinitvi delovnega razmerja elektronski naslov nekdanjega zaposlenega ohrani aktiven ter mu onemogoči dostop do predala, saj lahko zagotovi kontinuiteto dela tudi na drug zakonit način, npr. z ukinitvijo elektronskega naslova nekdanjega zaposlenega in hkratnim avtomatskim obvestilom o neobstoju tega naslova ter informacijo o morebitnem novem kontaktnem elektronskem naslovu. Omogočanje dostopa do elektronskega predala drugih oseb v času kakršnekoli odsotnosti delavca je namreč lahko sporno tako z vidika varovanja zasebnosti komunikacij kot tudi varstva osebnih podatkov.

 

V sklopu neobvezujočega mnenja IP ne more presojati konkretnih dejanj obdelav osebnih podatkov, temveč lahko to stori samo v okviru inšpekcijskega postopka, ki ga lahko uvede na predlog prijavitelja. Pri komunikaciji prek elektronske pošte predstavlja zbirko osebnih podatkov zgolj zbirka t.i. prometnih podatkov (elektronski naslovi, na katere je posameznik poslal elektronsko sporočilo in od katerih je sporočilo prejel; datum in čas pošiljanja in prejema sporočila; zadeva sporočila in drugi tehnični podatki v povezavi s sporočilom – priponka, velikost, itd.). Zato pri elektronski pošti Splošna uredba o varstvu podatkov in deloma ZVOP-1 varujeta le prometne podatke, medtem ko je sama vsebina elektronske pošte varovana v okviru določb o kršitvi tajnosti občil iz 139. člena Kazenskega zakonika oz. določb o zahtevi za prenehanje kršitve osebnostnih pravic iz 134. člena Obligacijskega zakonika. IP izpostavlja, da ni pristojen presojati o vprašanjih varstva tajnosti dopisovanja z vidika 37. člena Ustave (torej tajnosti vsebine morebitnih zasebnih sporočil), za katero je predvideno sodno varstvo.

 

Delodajalec ima pravico do oblasti nad svojimi sredstvi in pravico, da nadzira, ali je ta oprema uporabljena skladno z namenom, za katerega je bila zaposlenemu dana v uporabo, delavec pa lahko utemeljeno pričakuje določeno stopnjo zasebnosti na delovnem mestu, kar izhaja že iz 46. člena Zakona o delovnih razmerjih (ZDR-1). Ta določa, da delodajalec varuje in spoštuje delavčevo osebnost ter upošteva in ščiti njegovo zasebnost. Delodajalec mora v skladu s 24. in 25. členom ZVOP-1 ter členom 32 Splošne uredbe o varstvu podatkov zagotoviti ustrezne tehnične in organizacijske postopke in ukrepe, s katerimi bo preprečil nepooblaščeno obdelavo, uničenje, izgubo ali spremembo osebnih podatkov. Upravljavci osebnih podatkov morajo v svojih aktih predpisati postopke in ukrepe za zavarovanje osebnih podatkov in določiti osebe, ki so odgovorne za posamezne zbirke osebnih podatkov. Iz zapisanega izhaja, da mora upravljavec sorazmerno natančno predpisati postopke in ukrepe, s katerimi bo varoval elektronsko pošto zaposlenih (npr. Pravilnik o varnosti oz. Pravilnik glede uporabe službene elektronske pošte), ki naj bi tudi določali, kaj se zgodi z neaktivnimi predali elektronske pošte nekdanjih zaposlenih (npr. vsebina se ali izbriše ali pa se arhivira). Omogočanje dostopa do elektronskega predala v času odsotnosti (odhod zaposlenega, daljša bolniška odsotnost) je lahko sporno tako z vidika varovanja zasebnosti komunikacij (tako zaposlenega kot pošiljateljev) kot tudi varstva osebnih podatkov, saj je pravica do tajnosti zasebnega komuniciranja prek elektronske pošte zagotovljena že v 37. členu Ustave RS, kar pomeni, da gre za zelo pomembno in ustavno varovano pravico.

 

Zaposlenemu mora biti dana možnost, da pred prenehanjem delovnega razmerja še zadnjič vpogleda v svoje zasebne podatke in svoj predal elektronske pošte ter vsebino, ki se nanaša na njegovo zasebno elektronsko pošto, po lastni presoji izbriše oziroma shrani na drug podatkovni medij (USB ključ, idr.) ter obvesti svoje kontakte, da na ta elektronski naslov ne bo več dostopen. Pri tem je tudi arhivirana elektronska pošta, vezana na elektronski predal nekdanjega zaposlenega, še vedno zbirka osebnih podatkov, kar pomeni, da ukrepi za njeno zavarovanje veljajo kot obveznost delodajalca. Pogoji dostopanja do arhivske pošte s strani delodajalca so sicer precej milejši kakor v primeru, ko gre za delujoč poštni predal, vendar to ne pomeni, da lahko do vsebine arhivirane poštne baze dostopa kdorkoli, pač pa zgolj pooblaščena oseba in še to na podlagi utemeljenih razlogov. Torej je tudi v primeru arhivirane pošte baze delodajalec dolžan zagotoviti ustrezne varnostne ukrepe, s katerimi bo preprečil nepooblaščeno obdelavo osebnih podatkov. Načeloma mora torej delodajalec v določenem roku po prenehanju zaposlitve same poštne predale nekdanjih zaposlenih in njihovo vsebino zbrisati, zaposlenemu pa mora biti ob prekinitvi delovnega razmerja dana možnost prenosa oz. brisanja zasebnih vsebin na način, ki nudi tudi delodajalcu ustrezno možnost varovanja službene dokumentacije. Način, kako to delodajalec uredi in organizira ni posebej predpisan (npr. določitev komisije, načina prenosa in morebitne prisotnosti prič ob prenosu, izdelava primopredajnega zapisnika), zato tudi IP tega ne more komentirati v okviru mnenja.

 

Posameznik ima ločeno od ureditve razmerja z delodajalcem glede pridobivanja lastnih osebnih podatkov pravico vložiti zahtevo za seznanitev z lastnimi osebnimi podatki, ki jo ureja člen 15 Splošne uredbe o varstvu podatkov. V tem primeru ima posameznik pravico pridobiti zgolj osebne podatke, ki se nanašajo nanj. Več o tej pravici je na voljo na naši spletni strani https://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/.

 

Dodatna pojasnila lahko najdete v Smernicah o varstvu osebnih podatkov v delovnih razmerjih, ki se nahajajo na spletni strani https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/varstvo-osebnih-podatkov-v-delovnih-razmerjih.

 

Svetujemo, da si več o pravicah posameznika glede varstva podatkov preberete na naši spletni strani www.tiodlocas.si.

 

Vsa mnenja IP so objavljena in dostopna na naši spletni strani https://www.ip-rs.si/vop/. V zvezi z službenimi e-naslovi po prenehanju delovnega razmerja si lahko preberete mnenja, št. 0712-1/2019/1177 z dne 4. 6. 2019, št. 0712-1/2019/1929 z dne 21. 8. 2019, 0712-1/2019/1648 z dne 11. 7. 2019.

 

Prav tako so vsa ključna področja, ki jih ureja Splošna uredba o varstvu podatkov, predstavljena na https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/. Tu lahko najdete veliko koristnih nasvetov glede bistvenih obveznosti podjetij in drugih organizacij za pravilno izvajanje ukrepov varstva osebnih podatkov.

 

Lep pozdrav,

 

                                                                                                Mojca Prelesnik,

                                                                                                informacijska pooblaščenka

 

Pripravila:

Karolina Kušević, univ. dipl. prav.,

svetovalka IP

 

To mnenje je nastalo v okviru projekta »Programa pravice, enakost in državljanstvo 2014-2020«, ki ga financira Evropska unija.

Vsebina tega mnenja predstavlja neobvezno mnenje Informacijskega pooblaščenca in je izključno njegova odgovornost. Evropska komisija ne sprejema odgovornosti glede uporabe informacij, ki jih mnenje zajema.