Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Hramba e- sporočil nekdanjega zaposlenega

+ -
Datum: 20.02.2023
Številka: 07121-1/2023/219
Kategorije: Delovna razmerja, Pravne podlage, Privolitev, Rok hrambe OP, Varnost osebnih podatkov

Pri Informacijskem pooblaščencu (IP) smo prejeli vaše zaprosilo za mnenje glede hrambe elektronskih sporočil nekdanjega zaposlenega. Zanima vas, ali je v primeru, ko podjetje z nekdanjim zaposlenim sporazumno podpiše listino, s katero nekdanji zaposleni dovoli podjetju za določen/nedoločen čas vpogled v nabiralnik zaradi hrambe sporočil, pomembnih za poslovanje podjetja, način nadaljnje hrambe ter vpogled v poštni nabiralnik zakonsko vzdržen, ali pa se morajo podatki, kljub soglasju nekdanjega zaposlenega, brezpogojno izbrisati. 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 - ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pri elektronski pošti Splošna uredba in ZVOP-2 varujeta le prometne podatke, medtem ko je sama vsebina elektronske pošte varovana v okviru določb o kršitvi tajnosti občil iz 139. člena Kazenskega zakonika oziroma določb o zahtevi za prenehanje s kršitvami osebnostnih pravic iz 134. člena Obligacijskega zakonika. Obdelava osebnih podatkov je zakonita, v kolikor je izpolnjen (vsaj) eden izmed pogojev iz člena 6(1) Splošne uredbe, pri čemer obdelavo osebnih podatkov zaposlenih določa 48. člen ZDR-1 v povezavi z osnovnim načelom sorazmernosti iz člena 5 Splošne uredbe. Po mnenju IP bi bila privolitev nekdanjega zaposlenega kot pravna podlaga za obdelavo njegovih osebnih podatkov uporabljiva le izjemoma, kajti prostovoljnost podane privolitve je vprašljiva, glede na to, da je nekdanji zaposleni v razmerju do nekdanjega delodajalca šibkejša stranka in da obstajajo milejši, drugi načini, da nekdanji delodajalec dostopa do podatkov, pomembnih za poslovanje podjetja.

O b r a z l o ž i t e v: 

IP uvodoma izpostavlja, da v sklopu neobvezujočega mnenja vsekakor ne more presojati konkretnih dejanj obdelav, temveč lahko to stori šele v okviru inšpekcijskega postopka, zato v nadaljevanju podaja splošna pojasnila.

IP pojasnjuje, da v okviru komunikacije prek elektronske pošte predstavlja zbirko osebnih podatkov zgolj zbirka t.i. prometnih podatkov (elektronski naslovi, na katere je posameznik poslal elektronsko sporočilo in od katerih je sporočilo prejel; datum in čas pošiljanja in prejema sporočila; zadeva sporočila in drugi tehnični podatki v povezavi s sporočilom - priponka, velikost, itd.). Zato pri elektronski pošti Splošna uredba in ZVOP-2 varujeta le prometne podatke, medtem, ko je sama vsebina elektronske pošte varovana v okviru določb o kršitvi tajnosti občil iz 139. člena Kazenskega zakonika oziroma določb o zahtevi za prenehanje kršitve osebnostnih pravic iz 134. člena Obligacijskega zakonika.

IP splošno pojasnjuje, da Splošna uredba o varstvu podatkov v prvem odstavku 6. člena določa različne pravne podlage za zakonito obdelavo osebnih podatkov. Obdelava je tako zakonita le in kolikor je za konkretni namen obdelave in konkretne osebne podatke izpolnjen eden od naslednjih pogojev:

  1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;
  2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
  3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
  4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
  5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
  6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

IP nadalje pojasnjuje, da je področje delovnega prava specialno urejeno v posebnih zakonih, predvsem v Zakonu o delovnih razmerjih (ZDR-1; Uradni list RS, št. 21/13, 78/13 – popr., 47/15 – ZZSDT, 33/16 – PZ-F, 52/16, 15/17 – odl. US, 22/19 – ZPosS, 81/19, 203/20 - ZIUPOPDVE, 119/21 - ZČmIS-a) in Zakonu o evidencah na področju dela in socialne varnosti (ZEPDSV; Uradni list RS, št. 40/06). ZDR-1 v 48. členu določa, da se lahko osebni podatki delavcev zbirajo, obdelujejo, uporabljajo in posredujejo tretjim osebam samo, če je to določeno s tem ali drugim zakonom ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Nadalje v tretjem odstavku 48. člena določa, da se morajo osebni podatki delavcev, za zbiranje katerih ne obstoji več zakonska podlaga, takoj zbrisati in prenehati uporabljati.

Upoštevajoč določbe ZDR-1 lahko torej delodajalec osebne podatke delavca obdeluje samo, če ima za to podlago v zakonu ali če je to potrebno zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem. Pri tem so mišljene pravic in obveznosti obeh, tako delavca kot delodajalca. Delodajalec mora natančno izkazati, za kaj takšne osebne podatke potrebuje. Če okoliščine delovnega razmerja tega ne terjajo oziroma če delodajalec ne izkaže, da je obdelava osebnih podatkov delavca potrebna zaradi uresničevanja pravic in obveznosti iz delovnega razmerja ali v zvezi z delovnim razmerjem, jih ne sme obdelovati.

IP zaradi navedenega opozarja, da je nedopustno, da bi delodajalec po prekinitvi delovnega razmerja elektronski naslov nekdanjega zaposlenega ohranil aktiven na način, da bi njegovo pošto preusmeril na elektronski naslov drugega zaposlenega. IP tako pojasnjuje, da mora delodajalec ob prenehanju delovnega razmerja deaktivirati elektronski poštni predal zaradi prenehanja pravne podlage za njegov obstoj (48. člen ZDR-1). IP svetuje, da se ob tem hkrati vzpostavi avtomatsko obvestilo o neobstoju tega elektronskega naslova in podatkom, kam naj pošiljatelji naslovijo svoje sporočilo. Pri tem dodaja, da mora imeti delavec, ki odhaja, možnost, da iz službenega predala elektronske pošte bodisi izbriše sporočila in dokumente zasebne narave bodisi jih shrani na drug podatkovni medij (zgoščenko, USB ključ, ipd.) ter da obvesti svoje zasebne kontakte, da na tem elektronskem naslovu ne bo več dostopen. Ta možnost mora biti delavcu dana, rok za odziv pa mora biti razumen. Če delodajalec utemeljeno sumi, da bi delavec lahko izbrisal tudi pomembne podatke službene narave  (npr. podatke, ki predstavljajo intelektualno lastnino podjetja, poslovne skrivnosti) ali jih protipravno posredoval tretjim osebam, se takšen postopek lahko izvede komisijsko in zapisniško. Priporočljivo je, da delavec o izbrisu zasebnih vsebin podpiše izjavo, da na službenem računalniku ni več nobenih podatkov, katerih uporaba bi pomenila poseg v njegovo zasebnost. Izjava je lahko sestavni del primopredajnega zapisnika, s katerim zaposleni vrača službeno opremo delodajalcu.

Delodajalec ima pravico do oblasti nad svojimi sredstvi in pravico, da nadzira, ali je ta oprema uporabljena skladno z namenom, za katerega je bila zaposlenemu dana v uporabo, delavec pa lahko utemeljeno pričakuje določeno stopnjo zasebnosti na delovnem mestu, kar izhaja že iz 46. člena Zakona o delovnih razmerjih (ZDR-1). Ta določa, da delodajalec varuje in spoštuje delavčevo osebnost  ter upošteva in ščiti njegovo zasebnost.

IP dodatno pojasnjuje, da mora upravljavec (delodajalec) skladno z 32. členom Splošne uredbe določiti ustrezne tehnično-organizacijske ukrepe za zavarovanje osebnih podatkov, pri čemer mora med drugim poskrbeti tudi za to, da do podatkov ne dostopajo nepooblaščene osebe. ZVOP-2 sicer ne predpisuje podrobnejše določbe, o tem, da upravljavci osebnih podatkov v svojih aktih predpišejo postopke in ukrepe za zavarovanje osebnih podatkov ter določijo osebe, ki so odgovorne za določene zbirke osebnih podatkov, in osebe, ki lahko zaradi narave njihovega dela obdelujejo določene osebne, vendar obveznost upravljavca, da glede na konkretne okoliščine in tveganja sam določi primerne ukrepe za zavarovanje osebnih podatkov (vključno s pooblaščenimi osebami za dostop do podatkov) po mnenju IP izhaja že iz samih določb Splošne uredbe. Vsekakor je potrebno pri dostopu do delavčevega predala elektronske pošte izhajati iz dejstva, da lahko delavec na službeni elektronski naslov prejme tudi povsem zasebno pošto, pri čemer je to dejstvo dolžan spoštovati tudi delodajalec. Pri tem gre tudi za potencialno obdelavo osebnih podatkov tretjih oseb, ki so v komunikaciji z nekdanjim zaposlenim, za katero pa delodajalec nima nobene od pravnih podlag. Omogočanje dostopa do elektronskega predala v času odsotnosti (odhod zaposlenega, daljša bolniška odsotnost)  je tako sporno tako z vidika varovanja zasebnosti komunikacij (tako zaposlenega kot pošiljateljev) kot tudi varstva osebnih podatkov, saj je pravica do tajnosti zasebnega komuniciranja prek elektronske pošte zagotovljena že v 37. členu Ustave RS, kar pomeni, da gre za zelo pomembno in ustavno varovano pravico.

Glede privolitve za obdelavo osebnih podatkov delavcev pa IP izpostavlja, da privolitev v delovnih razmerjih v razmerju do zgoraj navedene delovnopravne zakonodaje velja le za tiste osebne podatke, ki niso vezani na uresničevanje pravic in obveznosti iz delovnega razmerja oziroma niso v zvezi z delovnim razmerjem posameznika. Zaradi izrazite neenakosti moči strank v delovnopravnih razmerjih oziroma zaradi varstva delavca, ki je v razmerju do delodajalca šibkejša stranka, je namreč zakonodajalec to področje uredil strožje. Zato pride obdelava osebnih podatkov na podlagi privolitve na tem področju v poštev zgolj izjemoma in pod pogojem, da lahko posameznik resnično brez kakršnihkoli posledic za delovno razmerje privolitev odkloni. V primeru nekdanjega zaposlenega pa privolitev po mnenju IP prav tako ne pride v poštev.

Poleg navedenega, iz 43. člena ZVOP- 2 izhaja, da je rok hrambe osebnih podatkov omejen na najkrajše možno obdobje in le, dokler je hramba pomembna za dosego namena obdelave, zaradi katerega so se osebnih podatki zbirali in nadalje obdelovali, razen če drug zakon za posamezne obdelave določa rok hrambe. Prav tako upravljavec ob upoštevanju narave obdelovanih podatkov in tveganj občasno ali na dokumentiran način preverja, če se upoštevajo določbe tega člena. Če drug zakon za posamezne vrste osebnih podatkov ne določa drugače, se po izpolnitvi namena obdelave osebni podatki izbrišejo, uničijo ali anonimizirajo oziroma se izvede drug postopek, ki onemogoča identifikacijo posameznika, na katerega se nanašajo osebni podatki, zlasti omejevanje dostopa do njih, njihovo blokiranje ali arhiviranje.

Lepo vas pozdravljamo,

 

Pripravila:

mag. Saša Zlatkovski,

državna nadzornica za

varstvo osebnih podatkov

 

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka